Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Personnalisation de la détection des menaces à l’aide de listes d’entités et de listes d’adresses IP
Amazon GuardDuty surveille la sécurité de votre AWS environnement en analysant et en traitant les journaux de flux VPC, les journaux d' AWS CloudTrail événements et les journaux DNS. En activant un ou plusieurs [plans de GuardDuty protection axés sur les cas d'utilisation](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (sauf[Surveillance d’exécution](runtime-monitoring.md), vous pouvez étendre les fonctionnalités de surveillance qu'ils contiennent). GuardDuty
Grâce aux listes, GuardDuty vous pouvez personnaliser l'étendue de la détection des menaces dans votre environnement. Vous pouvez configurer GuardDuty pour arrêter de générer des résultats à partir de vos sources fiables et générer des résultats pour des sources malveillantes connues à partir de vos listes de menaces. GuardDuty continue de prendre en charge les anciennes listes d'adresses IP et étend la prise en charge aux listes d'entités (recommandé) qui peuvent contenir des adresses IP, des domaines ou les deux.
**Topics**
+ [Comprendre les listes d'entités et les listes d'adresses IP](#guardduty-threat-intel-list-entity-sets)
+ [Considérations importantes relatives aux GuardDuty listes](#guardduty-lists-entity-sets-considerations)
+ [Formats de liste](#prepare_list)
+ [Comprendre les statuts des listes](#guardduty-entity-list-statuses)
+ [Configuration des prérequis pour les listes d'entités et les listes d'adresses IP](guardduty-lists-prerequisites.md)
+ [Ajouter et activer une liste d'entités ou une liste d'adresses IP](guardduty-lists-create-activate.md)
+ [Mettre à jour une liste d'entités ou une liste d'adresses IP](guardduty-lists-update-procedure.md)
+ [Désactivation de la liste d'entités ou de la liste d'adresses IP](guardduty-lists-deactivate-procedure.md)
+ [Supprimer une liste d'entités ou une liste d'adresses IP](guardduty-lists-delete-procedure.md)
## Comprendre les listes d'entités et les listes d'adresses IP
GuardDuty propose deux approches de mise en œuvre : les listes d'entités (recommandées) et les listes d'adresses IP. Les deux approches vous aident à définir les sources fiables, qui cessent GuardDuty de générer des découvertes, et les menaces connues, qui sont GuardDuty utilisées pour générer des conclusions.
**Les listes d'entités** prennent en charge à la fois les adresses IP et les noms de domaine. Ils utilisent un accès direct à Amazon Simple Storage Service (Amazon S3) avec une seule autorisation IAM qui n'a aucune incidence sur les limites de taille des politiques IAM dans plusieurs régions.
**Les listes IP** ne prennent en charge que les adresses IP et leur utilisation [GuardDuty rôle lié à un service (SLR)](slr-permissions.md) (SLR), ce qui nécessite des mises à jour des politiques IAM par région, ce qui peut avoir une incidence sur les limites de taille des politiques IAM.
Les listes fiables (listes d'entités et listes d'adresses IP) incluent des entrées auxquelles vous faites confiance pour une communication sécurisée avec votre AWS infrastructure. GuardDuty ne génère pas de résultats pour les entrées répertoriées dans des sources fiables. À tout moment, vous ne pouvez ajouter qu'une seule liste d'entités de confiance et une seule liste d'adresses IP de confiance Compte AWS par région.
Les listes de menaces (listes d'entités et listes d'adresses IP) incluent des entrées que vous avez identifiées comme des sources malveillantes connues. Lorsqu'il GuardDuty détecte une activité impliquant ces sources, il génère des résultats pour vous avertir de problèmes de sécurité potentiels. Vous pouvez créer vos propres listes de menaces ou intégrer des flux de renseignements tiers sur les menaces. Cette liste peut être fournie par des renseignements tiers sur les menaces ou créée spécifiquement pour votre organisation. En plus de générer des résultats en raison d'une activité potentiellement suspecte, il génère GuardDuty également des résultats basés sur une activité impliquant des entrées de vos listes de menaces. À tout moment, vous pouvez télécharger jusqu'à six listes d'entités menaçantes et listes d'adresses IP de menaces Compte AWS par région.
**Note**
Pour migrer des listes d'adresses IP vers les listes d'entités[Conditions requises pour les listes d'entités](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), suivez, puis ajoutez et activez la liste d'entités requise. Ensuite, vous pouvez choisir de désactiver ou de supprimer la liste d'adresses IP correspondante.
## Considérations importantes relatives aux GuardDuty listes
Avant de commencer à travailler avec des listes, prenez connaissance des points suivants :
+ Les listes d'adresses IP et les listes d'entités s'appliquent uniquement au trafic destiné aux adresses IP et aux domaines routables publiquement.
+ Dans une liste d'entités, les entrées s'appliquent aux CloudTrail journaux de flux VPC dans Amazon VPC et aux résultats des journaux de requêtes DNS de Route53 Resolver.
Dans une liste d'adresses IP, les entrées s'appliquent aux CloudTrail journaux de flux VPC contenus dans les résultats d'Amazon VPC, mais pas aux résultats des journaux de requêtes DNS de Route53 Resolver.
+ Si vous incluez la même adresse IP ou le même domaine à la fois dans les listes de confiance et de menaces, cette entrée de la liste de confiance aura priorité. GuardDuty ne générera pas de résultat s'il existe une activité associée à cette entrée.
+ Dans un environnement multi-comptes, seul le compte GuardDuty administrateur peut gérer les listes. Ce paramètre s'applique automatiquement aux comptes des membres. GuardDuty génère des résultats basés sur une activité impliquant des adresses IP (et des domaines) malveillants connus provenant des sources de menace du compte administrateur, et ne génère pas de résultats basés sur une activité impliquant des adresses IP (et des domaines) provenant des sources fiables du compte administrateur. Pour de plus amples informations, veuillez consulter [Plusieurs comptes sur Amazon GuardDuty](guardduty_accounts.md).
+ Seules IPv4 les adresses sont acceptées. IPv6 les adresses ne sont pas prises en charge.
+ Une fois que vous avez activé, désactivé ou supprimé une liste d'entités ou une liste d'adresses IP, le processus devrait être terminé en 15 minutes. Dans certains scénarios, l'exécution de ce processus peut prendre jusqu'à 40 minutes.
+ GuardDuty utilise une liste pour détecter les menaces uniquement lorsque le statut de la liste devient **Actif**.
+ Chaque fois que vous ajoutez ou mettez à jour une entrée dans l'emplacement du compartiment S3 de la liste, vous devez réactiver la liste. Pour de plus amples informations, veuillez consulter [Mettre à jour une liste d'entités ou une liste d'adresses IP](guardduty-lists-update-procedure.md).
+ Les listes d'entités et les adresses IP ont des quotas différents. Pour de plus amples informations, veuillez consulter [GuardDuty quotas](guardduty_limits.md).
## Formats de liste
GuardDuty accepte plusieurs formats de fichier pour vos listes et listes d'entités, avec un maximum de 35 Mo par fichier. Chaque format a des exigences et des fonctionnalités spécifiques.
### Texte brut (TXT)
Ce format prend en charge les adresses IP, les plages d'adresses CIDR et les noms de domaine. Chaque entrée doit apparaître sur une ligne distincte.
**Example **Exemple de liste d'entités****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **Exemple de liste d'adresses IP****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression (STIX)
Ce format prend en charge les adresses IP, le bloc CIDR et les noms de domaine. STIX vous permet d'inclure un contexte supplémentaire dans vos informations sur les menaces. GuardDuty traite les adresses IP, les plages d'adresses CIDR et les noms de domaine à partir des indicateurs STIX.
**Example **Exemple de liste d'entités****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **Exemple de liste d'adresses IP****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange (OTX)TM CSV
Ce format prend en charge le bloc CIDR, les adresses IP individuelles et les domaines. Ce format de fichier comporte des valeurs séparées par des virgules.
**Example **Exemple de liste d'entités****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **Exemple de liste d'adresses IP****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeInformations sur les menaces TM iSight CSV
Ce format prend en charge le bloc CIDR, les adresses IP individuelles et les domaines. Les exemples de listes suivants utilisent le format `FireEyeTM` CSV.
**Example **Exemple de liste d'entités****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **Exemple de liste d'adresses IP****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
Au format ProofPoint CSV, vous pouvez ajouter des adresses IP ou des noms de domaine dans une seule liste. La liste d'exemples suivante utilise le format CSV `Proofpoint`. La fourniture d'une valeur pour le `ports` paramètre est facultative. Lorsque vous ne le fournissez pas, laissez une virgule (,) à la fin.
**Example **Exemple de liste d'entités****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **Exemple de liste d'adresses IP****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultFil de réputation TM
La liste d'exemples suivante utilise le format `AlienVault`.
**Example **Exemple de liste d'entités****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **Exemple de liste d'adresses IP****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## Comprendre les statuts des listes
Lorsque vous ajoutez une liste d'entités ou une liste d'adresses IP, GuardDuty affiche le statut de cette liste. La colonne **État** indique si la liste est effective et si une action est requise. La liste suivante décrit les valeurs de statut valides :
+ **Actif** — Indique que la liste est actuellement utilisée pour la détection personnalisée des menaces.
+ **Inactif** — Indique que la liste n'est actuellement pas utilisée. Pour utiliser cette liste GuardDuty à des fins de détection des menaces dans votre environnement, consultez Étape 3 : Activation d'une liste d'entités ou d'une liste d'adresses IP dans[Ajouter et activer une liste d'entités ou une liste d'adresses IP](guardduty-lists-create-activate.md).
+ **Erreur** — Indique que la liste présente un problème. Passez le curseur sur le statut pour afficher les détails de l'erreur.
+ **Activation** : indique que le processus d'activation de la liste GuardDuty a été lancé. Vous pouvez continuer à surveiller le statut de cette liste. S'il n'y a pas d'erreur, le statut doit passer à **Actif**. Tant que le statut reste **Activation**, vous ne pouvez effectuer aucune action sur cette liste. Quelques minutes peuvent être nécessaires pour que le statut de la liste passe à **Actif**.
+ **Désactivation** : indique que le processus de désactivation de la liste GuardDuty a été lancé. Vous pouvez continuer à surveiller le statut de cette liste. S'il n'y a pas d'erreur, le statut doit passer à **Inactif**. Tant que le statut reste **Désactivation**, vous ne pouvez effectuer aucune action sur cette liste.
+ **Supprimer en attente** — Indique que la liste est en cours de suppression. Bien que le statut reste « **Supprimer en attente** », vous ne pouvez effectuer aucune action sur cette liste.
# Configuration des prérequis pour les listes d'entités et les listes d'adresses IP
GuardDuty utilise des listes d'entités et des listes d'adresses IP pour personnaliser la détection des menaces dans votre AWS environnement. Les listes d'entités (recommandées) prennent en charge à la fois les adresses IP et les noms de domaine, tandis que les listes d'adresses IP ne prennent en charge que les adresses IP. Avant de commencer à créer ces listes, vous devez ajouter les autorisations requises pour le type de liste que vous souhaitez utiliser.
## Conditions requises pour les listes d'entités
Lorsque vous ajoutez des listes d'entités, GuardDuty lit vos listes de renseignements fiables et de renseignements sur les menaces à partir de compartiments S3. Le rôle que vous utilisez pour créer des listes d'entités doit disposer de l'`s3:GetObject`autorisation pour que les compartiments S3 contiennent ces listes.
**Note**
Dans un environnement multi-comptes, seul le compte GuardDuty administrateur peut gérer les listes, qui s'appliquent automatiquement aux comptes des membres.
Si vous n'avez pas encore l'`s3:GetObject`autorisation pour l'emplacement du compartiment S3, utilisez l'exemple de politique suivant et remplacez-le *amzn-s3-demo-bucket* par l'emplacement de votre compartiment S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## Conditions requises pour les listes d'adresses IP
Les différentes identités IAM nécessitent des autorisations spéciales pour pouvoir utiliser des listes d'adresses IP fiables et des listes de menaces. GuardDuty Une identité avec la stratégie gérée [AmazonGuardDutyFullAccess\$1v2 (recommandé)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) attachée peut uniquement renommer et désactiver les listes d'adresses IP approuvées et les listes des menaces chargées .
Pour accorder à différentes identités un accès complet à la gestion des listes d'adresses IP approuvées et des listes des menaces (en plus de renommer et de désactiver, cela inclut l'ajout, l'activation, la suppression et la mise à jour de l'emplacement ou du nom des listes), assurez-vous que les actions suivantes sont présentes dans la stratégie d'autorisations attachée à un utilisateur, un groupe ou un rôle :
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**Important**
Ces actions ne sont pas incluses dans la politique gérée `AmazonGuardDutyFullAccess`.
### Utilisation du chiffrement SSE-KMS avec des listes d'entités et des listes d'adresses IP
GuardDuty prend en charge le chiffrement SSE AES256 et SSE-KMS pour vos listes. SSE-C n'est pas pris en charge. Pour plus d'informations sur les types de chiffrement pour S3, consultez la section [Protection des données à l'aide du chiffrement côté serveur.](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)
Que vous utilisiez des listes d'entités ou des listes d'adresses IP, si vous utilisez SSE-KMS, ajoutez l'instruction suivante à votre AWS KMS key politique. *123456789012*Remplacez-le par votre propre identifiant de compte.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# Ajouter et activer une liste d'entités ou une liste d'adresses IP
Les listes d'entités et les listes d'adresses IP vous aident à personnaliser les fonctionnalités de détection des menaces dans GuardDuty. Pour plus d'informations sur ces listes, consultez[Comprendre les listes d'entités et les listes d'adresses IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets). Pour gérer les données fiables et les informations sur les menaces de votre AWS environnement, il est GuardDuty recommandé d'utiliser des listes d'entités. Avant de commencer, consultez [Configuration des prérequis pour les listes d'entités et les listes d'adresses IP](guardduty-lists-prerequisites.md).
Choisissez l'une des méthodes d'accès suivantes pour ajouter et activer une liste d'entités fiables, une liste d'entités de menace, une liste d'adresses IP fiables ou une liste d'adresses IP de menace.
------
#### [ Console ]
**(Facultatif) Étape 1 : récupération de l'URL d'emplacement de votre liste**
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation, choisissez **Compartiments**.
1. Choisissez le nom du compartiment Amazon S3 contenant la liste spécifique que vous souhaitez ajouter.
1. Choisissez le nom de l'objet (liste) pour en afficher les détails.
1. Sous l'onglet **Propriétés**, copiez l'**URI S3** de cet objet.
**Étape 2 : ajout de données fiables ou de renseignements sur les menaces**
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le panneau de navigation, choisissez **Listes**.
1. Sur la page **Listes**, choisissez **l'onglet Listes d'entités** ou **Listes d'adresses IP**.
1. En fonction de l'onglet que vous avez sélectionné, choisissez d'ajouter une liste de confiance ou une liste de menaces.
1. Dans la boîte de dialogue pour ajouter une liste fiable ou une liste de menaces, procédez comme suit :
1. Pour **Nom de la liste**, saisissez un nom pour votre liste.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.
1. Pour **Emplacement**, indiquez l'emplacement où vous avez chargé votre liste. Si vous ne l'avez pas encore fait, veuillez consulter [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage).
S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.
**Format de l'URL de localisation :**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (Facultatif) Pour **le propriétaire attendu du compartiment**, vous pouvez saisir l' Compte AWS ID propriétaire du compartiment Amazon S3 spécifié dans le champ **Emplacement**.
Lorsque vous ne spécifiez pas de propriétaire d' Compte AWS ID, le GuardDuty comportement est différent pour les listes d'entités et les listes d'adresses IP. Pour les listes d'entités, GuardDuty validera que le compte membre actuel possède le compartiment S3 spécifié dans le champ **Emplacement**. Pour les listes d'adresses IP, si vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, aucune validation GuardDuty n'est effectuée.
S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de la liste.
1. Cochez la case **I agree**.
1. Choisissez **Ajouter une liste**. Par défaut, l'**état** de la liste ajoutée est **Inactif**. Pour que la liste soit effective, vous devez l'activer.
**Étape 3 : Activation d'une liste d'entités ou d'adresses IP**
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le panneau de navigation, choisissez **Listes**.
1. Sur la page **Listes**, sélectionnez l'onglet dans lequel vous souhaitez activer la liste : listes d'**entités ou listes** d'**adresses IP**.
1. Sélectionnez la liste que vous souhaitez activer. Cela activera le menu **Action** et **Édition**.
1. Choisissez **Action**, puis sélectionnez **Activer**.
------
#### [ API/CLI ]
**Pour ajouter et activer une liste d'entités de confiance**
1. Exécutez [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante :
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.
**Pour ajouter et activer des listes d'entités menaçantes**
1. Exécutez [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante :
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.
**Pour ajouter et activer une liste d'adresses IP fiables**
1. Exécutez [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID de détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP fiables.
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste d'adresses IP fiables, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
**Pour ajouter et activer des listes d'adresses IP de menaces**
1. Exécutez [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de remplacer le par l'`detector-id`ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste des adresses IP des menaces.
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste d'adresses IP des menaces, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
------
Une fois que vous avez activé une liste d'entités ou une liste d'adresses IP, l'entrée en vigueur de cette liste peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
# Mettre à jour une liste d'entités ou une liste d'adresses IP
Les listes d'entités et les listes d'adresses IP vous aident à personnaliser les fonctionnalités de détection des menaces dans GuardDuty. Pour plus d'informations sur ces listes, consultez[Comprendre les listes d'entités et les listes d'adresses IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets).
Vous pouvez mettre à jour le nom d'une liste, l'emplacement du compartiment S3, l'ID de compte du propriétaire attendu du compartiment et les entrées d'une liste existante. Si vous mettez à jour les entrées d'une liste, vous devez suivre les étapes pour réactiver la liste GuardDuty afin d'utiliser la dernière version de la liste. Après avoir mis à jour ou activé une liste d'entités ou une liste d'adresses IP, l'entrée en vigueur de cette liste peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
**Note**
Si le statut d'une liste est **Activation**, **Désactivation** ou **Supprimer en attente**, vous devez attendre quelques minutes avant d'effectuer une action. Pour plus d'informations sur ces statuts, consultez[Comprendre les statuts des listes](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Choisissez l'une des méthodes d'accès pour mettre à jour une liste d'entités ou une liste d'adresses IP.
------
#### [ Console ]
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le panneau de navigation, choisissez **Listes**.
1. Sur la page **Listes**, sélectionnez l'onglet approprié : Listes d'**entités ou listes** d'**adresses IP**.
1. Sélectionnez une liste (fiable ou menaçante) que vous souhaitez mettre à jour. Cela activera le menu **Action** et **Édition**.
1. Choisissez **Modifier**.
1. Dans la boîte de dialogue pour mettre à jour la liste, spécifiez les détails que vous souhaitez mettre à jour.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.
S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.
1. (Facultatif) Pour **le propriétaire attendu du compartiment**, vous pouvez saisir l' Compte AWS ID propriétaire du compartiment Amazon S3 spécifié dans le champ **Emplacement**.
Lorsque vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, le GuardDuty comportement est différent pour les listes d'entités et les listes d'adresses IP. Pour les listes d'entités, GuardDuty validera que le compte membre actuel possède le compartiment S3 spécifié dans le champ **Emplacement**. Pour les listes d'adresses IP, si vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, aucune validation GuardDuty n'est effectuée.
S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de la liste.
1. Cochez la case **J'accepte**, puis choisissez **Mettre à jour la liste**.
------
#### [ API/CLI ]
Pour commencer les procédures suivantes, vous avez besoin de l'ID, tel que`trustedEntitySetId`,`threatEntitySetId`, ou `trustedIpSet``threatIpSet`, qui est associé à la ressource de liste que vous souhaitez mettre à jour.
**Pour mettre à jour et activer une liste d'entités de confiance**
1. Exécutez [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez mettre à jour cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui met à jour `name` la liste et active également cette liste :
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.
**Pour mettre à jour et activer une liste d'entités menaçantes**
1. Exécutez [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui met à jour `name` la liste et active également cette liste :
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.
**Pour mettre à jour et activer une liste d'adresses IP fiables**
1. Exécutez [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez mettre à jour cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui active également la liste :
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP fiables, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
**Pour ajouter et activer des listes d'adresses IP de menaces**
1. Exécutez [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1).
Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui active également la liste :
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste des adresses IP des menaces, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.
Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.
------
# Désactivation de la liste d'entités ou de la liste d'adresses IP
Lorsque vous ne souhaitez plus GuardDuty utiliser une liste, vous pouvez la désactiver. La fin du processus peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). Une fois la liste désactivée, les entrées de la liste d'entités ou de la liste d'adresses IP n'auront aucune incidence sur la détection des menaces dans GuardDuty.
Choisissez l'une des méthodes d'accès pour désactiver la liste.
------
#### [ Console ]
**Pour désactiver la liste d'entités ou la liste d'adresses IP**
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le panneau de navigation, choisissez **Listes**.
1. Sur la page **Liste**, sélectionnez l'onglet dans lequel vous souhaitez désactiver la liste : **listes d'entités** ou **liste d'adresses IP**.
1. Dans l'onglet sélectionné, sélectionnez la liste que vous souhaitez désactiver.
1. Choisissez **Actions**, puis sélectionnez **Désactiver**.
1. Confirmez l'action et choisissez **Désactiver**.
------
#### [ API/CLI ]
Pour commencer les procédures suivantes, vous avez besoin de l'ID, tel que `trustedEntitySetId` `threatEntitySetId``trustedIpSet`,, ou`threatIpSet`, associé à la ressource de liste que vous souhaitez désactiver.
**Pour désactiver une liste d'entités de confiance**
1. Exécutez [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez désactiver cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante :
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous désactiverez la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont. *shown in red*
**Pour désactiver les listes d'entités menaçantes**
1. Exécutez [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez désactiver cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante :
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
**Pour désactiver une liste d'adresses IP fiables**
1. Exécutez la [mise à jour IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez désactiver cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID de détecteur du compte membre pour lequel vous désactiverez la liste d'adresses IP fiables.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**Pour désactiver la liste d'adresses IP des menaces**
1. Exécutez [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html). Assurez-vous de fournir la liste `detectorId` d'adresses IP du compte membre pour lequel vous souhaitez désactiver cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de remplacer le par l'`detector-id`ID du détecteur du compte membre pour lequel vous désactiverez la liste d'adresses IP des menaces.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# Supprimer une liste d'entités ou une liste d'adresses IP
Lorsque vous ne souhaitez plus conserver une entrée de liste dans votre ensemble d'entités ou d'adresses IP, vous pouvez la supprimer. Le processus peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
Si le statut de la liste est **Activation** ou **Désactivation**, vous devez attendre quelques minutes avant d'effectuer une action. Pour de plus amples informations, veuillez consulter [Comprendre les statuts des listes](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Choisissez l'une des méthodes d'accès pour supprimer la liste.
------
#### [ Console ]
**Pour supprimer une liste d'entités ou une liste d'adresses IP**
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le panneau de navigation, choisissez **Listes**.
1. Sur la page **Liste**, sélectionnez l'onglet dans lequel vous souhaitez supprimer la liste : **listes d'entités** ou **liste d'adresses IP**.
1. Dans l'onglet sélectionné, sélectionnez la liste que vous souhaitez supprimer.
1. Choisissez **Actions**, puis **Supprimer**.
Le statut de la liste deviendra **Supprimer en attente**. La suppression de la liste peut prendre quelques minutes.
------
#### [ API/CLI ]
Pour commencer les procédures suivantes, vous avez besoin de l'ID, tel que`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, ou`threatIpSet`, qui est associé à la ressource de liste que vous souhaitez supprimer.
**Pour supprimer une liste d'entités de confiance**
1. Exécutez [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante :
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
**Pour désactiver les listes d'entités menaçantes**
1. Exécutez [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante :
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
**Pour supprimer une liste d'adresses IP fiables**
1. Exécutez [Supprimer IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID de détecteur du compte membre pour lequel vous allez supprimer la liste d'adresses IP fiables.
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
**Pour supprimer la liste des adresses IP des menaces**
1. Exécutez [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des adresses IP des menaces.
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.
------