Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengelola GuardDuty temuan Amazon
<a name="findings_management"></a>

GuardDuty menawarkan beberapa fitur penting untuk membantu Anda mengurutkan, menyimpan, dan mengelola temuan Anda. Fitur-fitur ini akan membantu Anda menyesuaikan temuan dengan lingkungan spesifik Anda, mengurangi kebisingan dari temuan bernilai rendah, dan membantu Anda fokus pada ancaman terhadap AWS lingkungan unik Anda. Tinjau topik di halaman ini untuk memahami bagaimana Anda dapat menggunakan fitur ini untuk meningkatkan nilai temuan keamanan di lingkungan Anda.

**Topik:**

[Dasbor ringkasan di Amazon GuardDuty](guardduty-summary.md)  
Pelajari tentang komponen dasbor ringkasan yang tersedia di GuardDuty konsol.

[Penyaringan temuan di GuardDuty](guardduty_filter-findings.md)  
Pelajari cara memfilter GuardDuty temuan berdasarkan kriteria yang Anda tentukan.

[Aturan penindasan di GuardDuty](findings_suppression-rule.md)  
Pelajari cara memfilter temuan secara otomatis yang GuardDuty memberi tahu Anda melalui aturan penekanan. Aturan penekanan mengarsipkan temuan secara otomatis berdasarkan filter.

[Menyesuaikan deteksi ancaman dengan daftar entitas dan daftar alamat IP](guardduty_upload-lists.md)  
Sesuaikan lingkup GuardDuty pemantauan menggunakan Daftar IP dan Daftar Ancaman berdasarkan alamat IP yang dapat dirutekan secara publik. Daftar IP tepercaya mencegah temuan non-DNS dihasilkan dari IP yang Anda anggap tepercaya, sementara Daftar Intel Ancaman akan mengingatkan GuardDuty Anda tentang aktivitas yang ditentukan pengguna. IPs

[Mengekspor temuan yang dihasilkan ke Amazon S3](guardduty_exportfindings.md)  
Ekspor temuan yang dihasilkan ke bucket Amazon S3 sehingga Anda dapat menyimpan catatan melewati periode retensi temuan 90 hari di. GuardDuty Gunakan data historis ini untuk melacak potensi aktivitas mencurigakan di akun Anda dan mengevaluasi apakah langkah-langkah perbaikan yang disarankan berhasil.

[Memproses GuardDuty temuan dengan Amazon EventBridge](guardduty_findings_eventbridge.md)  
Siapkan notifikasi otomatis untuk GuardDuty temuan melalui EventBridge acara Amazon. Anda juga dapat mengotomatiskan tugas-tugas lain EventBridge untuk membantu Anda menanggapi temuan. 

[Memahami CloudWatch Log dan alasan melewatkan sumber daya selama Perlindungan Malware untuk pemindaian EC2](malware-protection-auditing-scan-logs.md)  
Pelajari cara mengaudit CloudWatch Log untuk Perlindungan GuardDuty Malware untuk EC2 dan alasan mengapa instans Amazon EC2 yang terkena dampak atau volume Amazon EBS mungkin telah dilewati selama proses pemindaian. 

[Melaporkan positif palsu dalam Perlindungan Malware untuk EC2](malware-protection-false-positives.md)  
Pelajari cara melaporkan potensi deteksi ancaman positif palsu di Perlindungan Malware untuk EC2.

[Melaporkan hasil pemindaian objek S3 sebagai positif palsu dalam Perlindungan Malware untuk S3Melaporkan hasil pemindaian objek S3 positif palsu](report-malware-protection-s3-false-positives.md)  
Pelajari cara melaporkan potensi deteksi ancaman positif palsu di Perlindungan Malware untuk S3.

[Melaporkan positif palsu dalam Perlindungan Malware untuk Backup](malware-protection-backup-false-positives.md)  
Pelajari cara melaporkan potensi deteksi ancaman positif palsu di Perlindungan Malware untuk Pencadangan.

# Dasbor ringkasan di Amazon GuardDuty
<a name="guardduty-summary"></a>

Dasbor GuardDuty **Ringkasan** memberikan tampilan agregat dari GuardDuty temuan yang dihasilkan Akun AWS di Anda saat ini Wilayah AWS. 

Jika Anda menggunakan akun GuardDuty administrator, dasbor menyediakan statistik dan data gabungan untuk akun dan akun anggota di organisasi Anda. 

**Melihat dasbor Ringkasan**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   GuardDuty menampilkan dasbor **Ringkasan** secara default saat Anda membuka konsol. 

1. Pada halaman **Ringkasan**, pilih yang diinginkan Wilayah AWS dari pemilih Wilayah di sudut kanan atas konsol.

1. Dari menu pemilih rentang tanggal, pilih rentang tanggal yang ingin Anda lihat ringkasannya. Secara default, dasbor menampilkan data untuk hari ini, **Hari ini**.
**catatan**  
Jika tidak ada temuan yang dihasilkan selama rentang tanggal yang dipilih, dasbor tidak akan memiliki data apa pun untuk ditampilkan. Anda dapat menyegarkan dasbor, atau menyesuaikan rentang tanggal.

**Topics**
+ [Ikhtisar](#understanding-guardduty-summary-overview)
+ [Temuan](#understanding-guardduty-summary-findings-widget)
+ [Jenis temuan yang paling umum](#understanding-guardduty-summary-most-common-finding-types)
+ [Temuan berdasarkan tingkat keparahan](#understanding-guardduty-summary-findings-by-sev)
+ [Akun dengan sebagian besar temuan](#understanding-guardduty-summary-account-with-findings)
+ [Sumber daya dengan temuan](#understanding-guardduty-summary-resources-with-findings)
+ [Temuan yang paling tidak terjadi](#understanding-guardduty-summary-least-occurring-findings)
+ [Cakupan rencana perlindungan](#understanding-guardduty-summary-protection-plans-coverage)

## Ikhtisar
<a name="understanding-guardduty-summary-overview"></a>

Bagian ini menyediakan data berikut:
+ **Urutan serangan**: Menunjukkan jumlah temuan urutan serangan yang GuardDuty dihasilkan di akun Anda di Wilayah saat ini.

  GuardDuty mendeteksi potensi serangan multi-tahap di akun Anda. Anda dapat memilih *nomor* di bawah **Urutan serangan** untuk melihat detailnya di halaman **Temuan**.
+ **Total temuan**: Menunjukkan jumlah total temuan yang dihasilkan di akun Anda di Wilayah saat ini. Ini termasuk temuan individu dan temuan urutan serangan.
+ **Sumber daya dengan temuan**: Menunjukkan jumlah sumber daya yang terkait dengan temuan, dan berpotensi dikompromikan. 
+ **Akun dengan temuan**: Menunjukkan jumlah akun di mana setidaknya satu temuan dihasilkan. Jika Anda adalah akun mandiri, nilai di bidang ini adalah **1**. 

Untuk rentang waktu **7 hari terakhir dan 30 hari** **terakhir**, panel **Ikhtisar** dapat menunjukkan perbedaan persentase dalam temuan yang dihasilkan minggu ke minggu (WoW) atau bulan ke bulan (MoM), masing-masing. Jika tidak ada temuan yang dihasilkan pada minggu atau bulan sebelumnya, maka tanpa data untuk membandingkan, perbedaan persentase mungkin tidak tersedia. 

![\[Bagian Ikhtisar di dasbor GuardDuty Ringkasan.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)


Jika Anda adalah akun GuardDuty administrator, semua bidang ini menyediakan data yang diringkas di semua akun anggota di organisasi Anda.

## Temuan
<a name="understanding-guardduty-summary-findings-widget"></a>

Widget **Temuan** menampilkan hingga delapan temuan teratas. Temuan ini terdaftar berdasarkan tingkat keparahannya, dengan temuan *kritis* ditampilkan terlebih dahulu.

Secara default, Anda dapat melihat semua temuan. Untuk hanya melihat data temuan urutan serangan, aktifkan **urutan serangan Top saja**.

Dalam daftar ini, Anda dapat memilih temuan apa pun untuk melihat detailnya.

![\[Widget temuan di dasbor GuardDuty Ringkasan.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)


## Jenis temuan yang paling umum
<a name="understanding-guardduty-summary-most-common-finding-types"></a>

Bagian ini menyediakan diagram lingkaran yang menggambarkan lima jenis temuan paling umum yang dihasilkan di Wilayah saat ini. Saat mengarahkan kursor ke setiap sektor diagram lingkaran, Anda dapat mengamati hal-hal berikut:
+ **Jumlah temuan**: Menunjukkan berapa kali temuan ini dihasilkan dalam rentang tanggal yang dipilih.
+ **Keparahan**: Menunjukkan tingkat keparahan temuan.
+ **Persentase**: Menunjukkan proporsi jenis temuan ini relatif terhadap total.
+ **Terakhir dihasilkan**: Menunjukkan berapa banyak waktu yang telah berlalu sejak jenis temuan ini terakhir terdeteksi.

## Temuan berdasarkan tingkat keparahan
<a name="understanding-guardduty-summary-findings-by-sev"></a>

Bagian ini menampilkan diagram batang yang menunjukkan jumlah total temuan selama rentang tanggal yang dipilih. Bagan memecah temuan berdasarkan tingkat keparahan (*Kritis*, *Tinggi*, *Sedang*, dan *Rendah*), dan membantu Anda melihat jumlah temuan untuk tanggal tertentu dalam kisaran tersebut.

Untuk melihat hitungan untuk setiap tingkat keparahan pada tanggal tertentu, arahkan kursor ke bilah yang sesuai di bagan.

## Akun dengan sebagian besar temuan
<a name="understanding-guardduty-summary-account-with-findings"></a>

Bagian ini menyediakan data berikut:
+ **Akun**: Menunjukkan Akun AWS ID tempat temuan dibuat.
+ **Hitungan temuan**: Menunjukkan berapa kali temuan dibuat untuk ID akun ini.
+ **Terakhir dihasilkan**: Menunjukkan berapa banyak waktu yang telah berlalu sejak jenis temuan terakhir dibuat untuk ID akun ini.
+ **Filter keparahan**: Secara default, data ditampilkan untuk jenis temuan tingkat keparahan tinggi. Opsi yang memungkinkan untuk bidang ini adalah **Semua tingkat keparahan, Tingkat** **keparahan kritis**, **Tingkat keparahan tinggi**, dan **Tingkat keparahan sedang**.

## Sumber daya dengan temuan
<a name="understanding-guardduty-summary-resources-with-findings"></a>

Bagian ini menyediakan data berikut:
+ **Sumber Daya**: Menampilkan jenis sumber daya yang berpotensi terpengaruh dan jika sumber daya ini milik akun Anda, Anda dapat mengakses tautan cepat untuk melihat detail sumber daya. Jika Anda adalah akun GuardDuty administrator, Anda dapat melihat detail sumber daya yang berpotensi terkena dampak dengan mengakses GuardDuty konsol dengan kredensil akun anggota pemilik.
+ **Akun**: Menunjukkan Akun AWS ID tempat sumber daya ini berada.
+ **Hitungan temuan**: Menunjukkan berapa kali sumber daya ini dikaitkan dengan temuan.
+ **Terakhir dihasilkan**: Menunjukkan berapa banyak waktu yang telah berlalu sejak jenis temuan yang terkait dengan sumber daya ini terakhir dihasilkan.
+ **Filter tipe sumber daya**: Secara default, data ditampilkan untuk semua jenis sumber daya. Dengan menggunakan filter ini, Anda dapat memilih untuk melihat data untuk jenis sumber daya tertentu, seperti **Instance**, **AccessKey**, **Lambda**, dan lainnya. 
+ **Filter keparahan**: Secara default, data ditampilkan untuk **Semua tingkat keparahan**. Dengan menggunakan filter ini, Anda dapat memilih untuk melihat data untuk tingkat keparahan lainnya. Pilihan yang mungkin adalah **Tingkat keparahan kritis**, **Tingkat keparahan tinggi**, **tingkat keparahan sedang**, dan **Semua tingkat keparahan**.

## Temuan yang paling tidak terjadi
<a name="understanding-guardduty-summary-least-occurring-findings"></a>

Bagian ini menyoroti menemukan jenis yang jarang terjadi di AWS lingkungan Anda. Widget ini dirancang untuk membantu Anda mengidentifikasi dan menyelidiki potensi pola ancaman yang muncul.

Widget ini menampilkan data berikut:
+ **Jenis pencarian**: Menunjukkan nama tipe temuan.
+ **Hitungan temuan**: Menunjukkan berapa kali jenis temuan ini dihasilkan dalam rentang waktu yang dipilih.
+ **Terakhir dihasilkan**: Menunjukkan berapa banyak waktu yang telah berlalu sejak jenis temuan ini terakhir dihasilkan.
+ **Filter keparahan**: Secara default, data ditampilkan untuk jenis temuan tingkat keparahan tinggi. Opsi yang memungkinkan untuk bidang ini adalah **Tingkat keparahan kritis, Tingkat** **keparahan tinggi**, **Tingkat keparahan sedang**, dan **Semua tingkat keparahan**.

## Cakupan rencana perlindungan
<a name="understanding-guardduty-summary-protection-plans-coverage"></a>

Bagian ini menampilkan statistik untuk akun anggota di organisasi Anda. Ini menunjukkan jumlah akun anggota yang telah diaktifkan GuardDuty (deteksi ancaman dasar) di Wilayah saat ini. Hanya GuardDuty administrator yang didelegasikan yang dapat melihat statistik untuk akun anggota dalam organisasi mereka. Saat Anda membuat AWS organisasi baru, mungkin diperlukan waktu hingga 24 jam untuk menghasilkan statistik untuk seluruh organisasi.

**Cara menggunakan widget ini**
+ **Konfigurasi**: Jika rencana perlindungan tidak dikonfigurasi, pilih **Konfigurasi** di bawah kolom **Tindakan**.
+ **Melihat akun yang diaktifkan**: Arahkan kursor ke bilah di kolom **Akun yang diaktifkan** untuk melihat berapa banyak akun yang telah mengaktifkan setiap paket perlindungan. Untuk melihat detail akun lebih lanjut, pilih bilah hijau, dan pilih **Lihat akun**.  
![\[Lihat status pemberdayaan paket perlindungan untuk akun anggota, di dasbor GuardDuty Ringkasan.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)

# Penyaringan temuan di GuardDuty
<a name="guardduty_filter-findings"></a>

Filter temuan memungkinkan Anda melihat temuan yang sesuai dengan kriteria yang Anda tentukan dan memfilter temuan yang tidak sesuai. Anda dapat dengan mudah membuat filter pencarian menggunakan GuardDuty konsol Amazon, atau Anda dapat membuatnya dengan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API menggunakan JSON. Tinjau bagian berikut untuk memahami cara membuat filter di konsol. Untuk menggunakan filter ini untuk mengarsipkan temuan yang masuk secara otomatis, lihat[Aturan penindasan di GuardDuty](findings_suppression-rule.md).

Saat Anda membuat filter, pertimbangkan daftar berikut:
+ Anda dapat menentukan minimum satu atribut dan maksimum hingga 50 atribut sebagai kriteria untuk filter tertentu. 
+ Saat Anda menggunakan operator **Sama** atau **Tidak sama dengan** untuk memfilter nilai atribut, seperti ID Akun, Anda dapat menentukan maksimum 50 nilai.
+ Setiap atribut kriteria filter dievaluasi sebagai operator `AND`. Beberapa nilai untuk atribut yang sama dievaluasi sebagai `AND/OR`.
+ Untuk informasi tentang jumlah maksimum filter tersimpan yang dapat Anda buat Akun AWS di masing-masing filter Wilayah AWS, lihat[GuardDuty kuota](guardduty_limits.md).

Bagian berikut memberikan petunjuk tentang cara membuat dan menyimpan filter menggunakan GuardDuty konsol, dan perintah API dan CLI. Pilih metode akses pilihan Anda untuk melanjutkan.

## Membuat dan menyimpan set filter di GuardDuty konsol
<a name="filter_console"></a>

Filter pencarian dapat dibuat dan diuji melalui GuardDuty konsol. Anda dapat menyimpan filter yang dibuat melalui konsol untuk digunakan dalam aturan penekanan atau operasi filter mendatang. Filter terbuat dari setidaknya satu kriteria filter. Terdiri dari satu atribut filter yang dipasangkan dengan setidaknya satu nilai.

**Untuk membuat dan menyimpan kriteria filter (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Di panel navigasi kiri, pilih **Temuan**.

1. Pada halaman **Temuan**, pilih bilah *Filter temuan* di sebelah menu **Aturan tersimpan**. Ini akan menampilkan daftar **filter Properti** yang diperluas.  
![\[Memilih filter properti untuk memfilter temuan di GuardDuty konsol.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/guardduty-findings-page-console.png)

1. Dari daftar filter yang diperluas, pilih atribut berdasarkan yang ingin Anda filter tabel temuan.

   **Misalnya, untuk melihat temuan yang sumber daya yang berpotensi terkena dampak adalah **S3Bucket**, pilih tipe Resource.** 

1. Untuk **Operator**, pilih salah satu yang akan membantu Anda memfilter temuan untuk mendapatkan hasil yang diinginkan. Untuk melanjutkan contoh dari langkah sebelumnya, pilih **Jenis sumber daya =**. Ini akan menampilkan daftar jenis sumber daya di GuardDuty.   
![\[Memilih sama dengan atau tidak sama dengan operator untuk memfilter temuan di GuardDuty konsol.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)

   **Jika kasus penggunaan Anda mengharuskan mengecualikan temuan spesifik, Anda dapat memilih **Tidak sama** atau\$1 **= operator.

1. Tentukan nilai untuk filter properti yang dipilih. Jika perlu, pilih **Terapkan**. Untuk melanjutkan contoh dari langkah sebelumnya, Anda dapat memilih **S3Bucket**.

   Ini akan menampilkan temuan yang cocok dengan filter yang diterapkan.

1. Untuk menambahkan lebih dari satu kriteria filter, ulangi langkah 3-6. 

   Untuk daftar lengkap atribut, lihat[Filter properti di GuardDuty](#filter_criteria).

1. 

**(Opsional) simpan atribut dan nilai yang ditentukan sebagai filter**

   Untuk menerapkan kombinasi filter ini lagi di masa mendatang, Anda dapat menyimpan atribut yang ditentukan dan nilainya sebagai set filter.

   1. Setelah Anda membuat kriteria filter dengan satu atau beberapa filter properti, pilih *panah* di menu **Hapus filter**.  
![\[Menyimpan set filter di GuardDuty konsol untuk dapat memfilter temuan lagi.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)

   1. Masukkan **nama** set filter. Nama harus 3-64 karakter. Karakter yang boleh digunakan adalah a-z, A-Z, 0-9, titik (.), tanda hubung (-), dan garis bawah (\$1).

   1. **Deskripsi** adalah opsional. Jika Anda memasukkan deskripsi, itu dapat memiliki hingga 512 karakter.

   1. Pilih **Buat**.

## Membuat dan menyimpan set filter dengan menggunakan GuardDuty API dan CLI
<a name="guardduty-creating-filters-using-api-cli"></a>

Anda dapat membuat dan menguji filter temuan dengan menggunakan perintah API atau CLI. Filter terbuat dari setidaknya satu kriteria filter. Terdiri dari satu atribut filter yang dipasangkan dengan setidaknya satu nilai. Anda dapat menyimpan filter untuk membuat [Aturan penekanan](findings_suppression-rule.md) atau melakukan operasi filter lainnya nanti. 

**Untuk membuat filter pencarian menggunakan API/CLI**
+ Jalankan [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API dengan menggunakan ID detektor regional Akun AWS tempat Anda ingin membuat filter. 

  Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
+ Atau, Anda dapat menggunakan CLI [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) untuk membuat dan menyimpan filter. Anda dapat menggunakan satu atau beberapa kriteria filter dari[Filter properti di GuardDuty](#filter_criteria).

  Gunakan contoh berikut dengan mengganti nilai placeholder yang ditunjukkan dengan warna merah.  
**Contoh 1**: Buat filter baru untuk melihat semua temuan yang cocok dengan jenis temuan tertentu  
Contoh berikut membuat filter yang cocok dengan semua `PortScan` temuan untuk instance yang dibuat dari gambar tertentu. Nilai placeholder ditampilkan dalam warna merah. Ganti nilai-nilai ini dengan nilai yang sesuai untuk akun Anda. Misalnya, ganti *12abc34d567e8fa901bc2d34EXAMPLE* dengan ID detektor regional Anda.  

  ```
  aws guardduty create-filter \
  --detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
  --name FilterExampleName \
  --finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
  ```  
**Contoh 2**: Buat filter baru untuk melihat semua temuan yang cocok dengan tingkat keparahan  
Contoh berikut membuat filter yang cocok dengan semua temuan yang terkait dengan `HIGH` tingkat keparahan. Nilai placeholder ditampilkan dalam warna merah. Ganti nilai-nilai ini dengan nilai yang sesuai untuk akun Anda. Misalnya, ganti *12abc34d567e8fa901bc2d34EXAMPLE* dengan ID detektor regional Anda.  

  ```
  aws guardduty create-filter \
  --detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
  --name FilterExampleName \
  --finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
  ```
+ Untuk API/CLI, [Temuan tingkat keparahan](guardduty_findings-severity.md) direpresentasikan sebagai angka. Untuk menyaring temuan berdasarkan tingkat keparahan, gunakan nilai berikut:
  + Untuk `LOW` tingkat keparahan, gunakan `{ "severity": { "Equals": ["1", "2", "3"] } }`
  + Untuk `MEDIUM` tingkat keparahan, gunakan `{ "severity": { "Equals": ["4", "5", "6"] } }`
  + Untuk `HIGH` tingkat keparahan, gunakan `{ "severity": { "Equals": ["7", "8"] } }`
  + Untuk `CRITICAL` tingkat keparahan, gunakan `{ "severity": { "Equals": ["9", "10"] } }`
  + Untuk temuan dengan beberapa tingkat keparahan, gunakan nilai placeholder yang mirip dengan contoh berikut: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`

    Contoh ini akan menunjukkan temuan yang memiliki `CRITICAL` tingkat keparahan `HIGH` atau tingkat keparahan.
**catatan**  
Jika Anda menentukan contoh dengan hanya satu nilai numerik, bukan semua nilai numerik yang terkait dengan tingkat keparahan, API dan CLI mungkin menampilkan temuan yang difilter. Saat Anda menggunakan set filter tersimpan ini di GuardDuty konsol, itu tidak akan berfungsi seperti yang diharapkan. Ini karena GuardDuty konsol menganggap nilai filter sebagai`CRITICAL`,, `HIGH``MEDIUM`, dan`LOW`. Misalnya, filter yang dibuat dengan perintah CLI yang menyertakan `{ "severity": { "Equals": ["9"] } }` diharapkan menampilkan output yang sesuai di API/CLI. Namun, filter yang disimpan ini mencakup tingkat keparahan sebagian saat digunakan di GuardDuty konsol dan tidak akan menampilkan output yang diharapkan. Hal ini membuat API dan CLI perlu menentukan semua nilai yang terkait dengan setiap tingkat keparahan.

## Filter properti di GuardDuty
<a name="filter_criteria"></a>

Apabila Anda membuat filter atau mengurutkan temuan menggunakan operasi API, Anda harus menentukan kriteria filter di JSON. Kriteria filter ini berkorelasi dengan detail JSON temuan. Tabel berikut berisi daftar nama tampilan konsol untuk atribut filter dan nama bidang JSON setaranya.


| Nama bidang konsol | Nama bidang JSON | 
| --- | --- | 
| account-id | accountId | 
| ID Temuan | id | 
| Region | region | 
| Kepelikan | kepelikan Anda dapat memfilter jenis temuan berdasarkan tingkat keparahan jenis temuan. Untuk informasi lebih lanjut tentang nilai tingkat keparahan, lihat[Tingkat keparahan GuardDuty temuan](guardduty_findings-severity.md). Jika Anda menggunakan `severity` dengan API, AWS CLI, atau CloudFormation, itu diberi nilai numerik. Untuk informasi selengkapnya, lihat [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) di Referensi *Amazon GuardDuty * API. | 
| Tipe temuan | jenis | 
| Diperbarui pada | updatedAt | 
| Access key ID | sumber daya. accessKeyDetails. accessKeyId | 
| ID principal | sumber daya. accessKeyDetails.Prinsipalid | 
| nama pengguna | sumber daya. accessKeyDetails.Nama pengguna | 
| Jenis pengguna | sumber daya. accessKeyDetails.UserType | 
| ID profil instans IAM | Resource.instanceDetails. iamInstanceProfile.id | 
| ID Instans | resource.instanceDetails.instanceId | 
| ID citra instans | resource.instanceDetails.imageId | 
| Kunci tag contoh | resource.instanceDetails.tags.key | 
| Nilai tag instance | resource.instanceDetails.tags.value | 
| IPv6 alamat | resource.instanceDetails.networkInterfaces.ipv6Addresses | 
|  IPv4 Alamat pribadi | Resource.instanceDetails.NetworkInterfaces. privateIpAddresses. privateIpAddress | 
| Nama DNS publik | Resource.instanceDetails.NetworkInterfaces. publicDnsName | 
| IP Publik | resource.instanceDetails.networkInterfaces.publicIp | 
| ID grup keamanan | resource.instanceDetails.networkInterfaces.securityGroups.groupId | 
| Nama grup keamanan | resource.instanceDetails.networkInterfaces.securityGroups.groupName | 
| ID Subnet | resource.instanceDetails.networkInterfaces.subnetId | 
| ID VPC | resource.instanceDetails.networkInterfaces.vpcId | 
| ARN Outpost | resource.instanceDetails.outpostARN | 
| Tipe sumber daya | resource.resourceType | 
| Izin bucket | resource.s3 BucketDetails .publicaccess.effectivePermission | 
| Nama Bucket  | sumber BucketDetails daya.s3 .nama | 
| Kunci tanda bucket | BucketDetailsresource.s3 .tags.key | 
| Nilai tanda bucket | BucketDetailsresource.s3 .tags.value | 
| Tipe bucket | sumber BucketDetails daya.s3 .type | 
| Tipe tindakan | service.action.actionType | 
| Panggilan API | service.action. awsApiCallAction.API | 
| Tipe pemanggil API | service.action. awsApiCallAction.callerType | 
| Kode Kesalahan API | service.action. awsApiCallAction.ErrorCode | 
| Kota pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.city.cityname | 
| Negara pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.country.countryName | 
| Alamat pemanggil IPv4 API | service.action. awsApiCallTindakan. remoteIpDetails.iPaddressV4 | 
| Alamat pemanggil IPv6 API | service.action. awsApiCallTindakan. remoteIpDetails.iPaddressV6 | 
| ID ASN pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.organisasi.asn | 
| Nama ASN pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.organisasi.asNorg | 
| Nama layanan pemanggil API | service.action. awsApiCallAction.ServiceName | 
| Domain permintaan DNS | service.action. dnsRequestAction.domain | 
| Akhiran domain permintaan DNS | service.action. dnsRequestAction. domainWithSuffix | 
| Koneksi jaringan diblokir | service.action. networkConnectionAction.diblokir | 
| Arah koneksi jaringan | service.action. networkConnectionAction.connectionDirection | 
| Port lokal koneksi jaringan | service.action. networkConnectionAction. localPortDetails.pelabuhan | 
| Protokol koneksi jaringan | service.action. networkConnectionAction.protokol | 
| Kota koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.city.cityname | 
| Negara koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.country.countryName | 
|  IPv4 Alamat jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.iPaddressV4 | 
|  IPv6 Alamat jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.iPaddressV6 | 
| ID ASN IP jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.organisasi.asn | 
| Nama ASN IP jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.organisasi.asNorg | 
| Port jarak jauh koneksi jaringan | service.action. networkConnectionAction. remotePortDetails.pelabuhan | 
| Akun jarak jauh berafiliasi | service.action. awsApiCallTindakan. remoteAccountDetails.berafiliasi | 
| Alamat penelepon API Kubernetes IPv4  | service.action. kubernetesApiCallTindakan. remoteIpDetails.iPaddressV4 | 
| Alamat penelepon API Kubernetes IPv6  | service.action. kubernetesApiCallTindakan. remoteIpDetails.iPaddressV6 | 
| Namespace Kubernetes | service.action. kubernetesApiCallAction.namespace | 
| ID ASN pemanggil API Kubernetes | service.action. kubernetesApiCallTindakan. remoteIpDetails.organisasi.asn | 
| URI permintaan panggilan API Kubernetes | service.action. kubernetesApiCallAction.requesturi | 
| Kode status API Kubernetes | service.action. kubernetesApiCallAction.statusCode | 
| Koneksi jaringan IPv4 alamat lokal | service.action. networkConnectionAction. localIpDetails.iPaddressV4 | 
| Koneksi jaringan IPv6 alamat lokal | service.action. networkConnectionAction. localIpDetails.iPaddressV6 | 
| Protokol | service.action. networkConnectionAction.protokol | 
| Nama layanan panggilan API | service.action. awsApiCallAction.ServiceName | 
| ID akun pemanggil API | service.action. awsApiCallTindakan. remoteAccountDetails.AccountID | 
| Nama daftar ancaman | Service.additionalInfo. threatListName | 
| Peran sumber daya | service.resourceRole | 
| Nama cluster EKS | sumber daya. eksClusterDetails.nama | 
| Nama beban kerja Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.nama | 
| Namespace beban kerja Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.namespace | 
| Nama pengguna Kubernetes | Resource.kubernetesDetails. kubernetesUserDetails.nama pengguna | 
| Gambar kontainer Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.containers.image | 
| Awalan gambar kontainer Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.containers.imagePrefix | 
| Pindai ID | layanan. ebsVolumeScandetail.scanID | 
| Nama ancaman pemindaian volume EBS | layanan. ebsVolumeScandetail.Skandeteksi. threatDetectedByName.ThreatNames.Name | 
| Nama ancaman pemindaian objek S3 | layanan. malwareScanDetails.ancaman.nama | 
| Tingkat keparahan ancaman | layanan. ebsVolumeScandetail.Skandeteksi. threatDetectedByNama.ThreatNames.Keparahan | 
| Berkas SHA | layanan. ebsVolumeScandetail.Skandeteksi. threatDetectedByName.ThreatNames.filepaths.hash | 
| Nama cluster ECS | sumber daya. ecsClusterDetails.nama | 
| Gambar kontainer ECS | sumber daya. ecsClusterDetails.taskdetails.containers.image | 
| Definisi tugas ECS ARN | sumber daya. ecsClusterDetails.taskdetails.definitionARN | 
| Gambar kontainer mandiri | Resource.containerdetails.image | 
| Id Instans Database | sumber daya. rdsDbInstanceDetail. dbInstanceIdentifier | 
| Id Kluster Basis Data | sumber daya. rdsDbInstanceDetail. dbClusterIdentifier | 
| Mesin basis data | sumber daya. rdsDbInstanceDetail.Engine | 
| Pengguna basis data | sumber daya. rdsDbUserDetail.pengguna | 
| Kunci tag contoh basis data | sumber daya. rdsDbInstancedetails.tags.key | 
| Nilai tag instance database | sumber daya. rdsDbInstancedetails.tags.value | 
| SHA-256 yang dapat dieksekusi | Service.RuntimeDetails.Process.ExecutableSha256 | 
| Nama proses | Service.runtimedetails.process.name | 
| Jalur yang dapat dieksekusi | Service.runtimedetails.process.executablePath | 
| Nama fungsi Lambda | Resource.lambdaDetails.FunctionName | 
| Fungsi Lambda ARN | Sumber daya.lambdaDetails.FunctionARN | 
| Tombol tag fungsi Lambda | Sumber daya.lambdadetails.tags.key | 
| Nilai tag fungsi Lambda | Resource.lambdadetails.tags.value | 
| Domain permintaan DNS | service.action. dnsRequestAction. domainWithSuffix | 

# Aturan penindasan di GuardDuty
<a name="findings_suppression-rule"></a>

Aturan penekanan adalah satu set kriteria, yang terdiri dari atribut filter yang dipasangkan dengan sebuah nilai, digunakan untuk memfilter temuan dengan secara otomatis mengarsipkan temuan baru yang sesuai dengan kriteria yang ditentukan. Aturan penekanan dapat digunakan untuk memfilter temuan bernilai rendah, temuan positif palsu, atau ancaman yang tidak ingin Anda tindaklanjuti, agar lebih mudah mengenali ancaman keamanan dengan dampak paling besar terhadap lingkungan Anda.

 Setelah membuat aturan penekanan, temuan baru yang sesuai dengan kriteria yang ditentukan dalam aturan akan diarsipkan secara otomatis selama aturan penekanan berlaku. Anda dapat menggunakan filter yang ada untuk membuat aturan penekanan atau membuat aturan penekanan dari filter baru yang Anda tentukan. Anda dapat mengonfigurasi aturan penekanan untuk menekan seluruh tipe temuan, atau menentukan kriteria filter yang lebih terperinci guna menekan instans spesifik dari tipe temuan tertentu. Anda dapat mengedit aturan penindasan kapan saja.

Temuan yang ditekan tidak dikirim ke AWS Security Hub CSPM Amazon Simple Storage Service, Amazon Detective, atau EventBridge Amazon, mengurangi tingkat kebisingan jika Anda GuardDuty mengkonsumsi temuan melalui Security Hub CSPM, SIEM pihak ketiga, atau aplikasi peringatan dan tiket lainnya. Jika Anda telah mengaktifkan[Perlindungan Malware untuk EC2](malware-protection.md), GuardDuty temuan yang ditekan tidak akan memulai pemindaian malware.

GuardDuty terus menghasilkan temuan bahkan ketika mereka cocok dengan aturan penekanan Anda, namun, temuan tersebut secara otomatis ditandai sebagai **diarsipkan**. Temuan yang diarsipkan disimpan GuardDuty selama 90 hari dan dapat dilihat kapan saja selama periode tersebut. Anda dapat melihat temuan yang ditekan di GuardDuty konsol dengan memilih **Diarsipkan** dari tabel temuan, atau melalui GuardDuty API menggunakan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API dengan `findingCriteria` kriteria sama dengan true. `service.archived` 

**catatan**  
Dalam lingkungan multi-akun, hanya GuardDuty administrator yang dapat membuat aturan penindasan.

## Menggunakan aturan penekanan dengan Extended Threat Detection
<a name="using-suppression-rules-with-extended-threat-detection"></a>

GuardDuty Extended Threat Detection secara otomatis mendeteksi serangan multi-tahap yang menjangkau sumber data, berbagai jenis AWS sumber daya, dan waktu, dalam file. Akun AWS Ini menghubungkan peristiwa di berbagai sumber data untuk mengidentifikasi skenario yang menampilkan diri sebagai ancaman potensial terhadap AWS lingkungan Anda, dan kemudian menghasilkan temuan urutan serangan. Untuk informasi selengkapnya, lihat [Cara kerja Extended Threat Detection](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works).

Saat Anda membuat aturan penekanan yang mengarsipkan temuan, Extended Threat Detection tidak dapat menggunakan temuan yang diarsipkan ini saat menghubungkan peristiwa untuk urutan serangan. Aturan penekanan yang luas dapat memengaruhi kemampuan GuardDuty untuk mendeteksi perilaku yang selaras dengan mendeteksi serangan multi-tahap. Temuan yang diarsipkan karena aturan penekanan tidak dianggap sebagai sinyal untuk urutan serangan. Misalnya, jika Anda membuat aturan penekanan yang mengarsipkan semua temuan terkait kluster EKS alih-alih menargetkan aktivitas tertentu yang diketahui, tidak GuardDuty akan dapat menggunakan temuan tersebut untuk mendeteksi urutan serangan di mana aktor ancaman mengeksploitasi wadah, memperoleh token istimewa, dan mengakses sumber daya yang sensitif.

Pertimbangkan rekomendasi berikut dari GuardDuty:
+ Lanjutkan menggunakan aturan penindasan untuk mengurangi peringatan dari aktivitas tepercaya yang diketahui.
+ Jaga agar aturan penindasan tetap fokus pada perilaku tertentu yang tidak GuardDuty ingin Anda hasilkan temuannya.

## Kasus penggunaan umum untuk aturan penekanan dan contoh
<a name="guardduty_suppression-best-practices"></a>

Jenis temuan berikut memiliki kasus penggunaan umum untuk menerapkan aturan penekanan. Pilih nama temuan untuk mempelajari lebih lanjut tentang temuan itu. Tinjau deskripsi kasus penggunaan untuk memutuskan apakah Anda ingin membuat aturan penekanan untuk tipe temuan tersebut.

**penting**  
GuardDuty merekomendasikan agar Anda membangun aturan penekanan secara reaktif dan hanya untuk temuan yang telah berulang kali Anda identifikasi positif palsu di lingkungan Anda.
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)— Gunakan aturan penekanan untuk mengarsipkan temuan yang dihasilkan secara otomatis saat jaringan VPC dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway lokal daripada dari Gateway Internet VPC.

  Temuan ini dibuat saat jaringan dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway on-premise, bukan dari Gateway Internet VPC (IGW). Konfigurasi umum, seperti penggunaan [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/), atau koneksi VPN VPC, dapat mengakibatkan lalu lintas dirutekan dengan cara ini. Jika ini adalah perilaku yang diharapkan, Anda disarankan untuk menggunakan aturan penekanan dan membuat aturan yang terdiri dari dua kriteria filter. Kriteria pertama adalah **tipe temuan**, yaitu `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`. Kriteria filter kedua adalah ** IPv4 alamat pemanggil API dengan alamat** IP atau rentang CIDR dari gateway internet lokal Anda. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan alamat IP pemanggil API.

  ```
  Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
  ```
**catatan**  
Untuk menyertakan beberapa pemanggil API, IPs Anda dapat menambahkan filter IPv4 alamat API Caller baru untuk masing-masing.
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis saat menggunakan aplikasi penilaian kerentanan. 

  Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut **Tipe temuan** dengan nilai `Recon:EC2/Portscan`. Kriteria filter kedua harus sesuai dengan instans yang menghosting alat penilaian kerentanan ini. Anda dapat menggunakan atribut **ID citra instans** atau atribut nilai **Tanda**, tergantung kriteria yang diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan AMI tertentu.

  ```
  Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
  ```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis ketika ditargetkan ke instans bastion.

  Jika target upaya brute force adalah host benteng, ini mungkin mewakili perilaku yang diharapkan untuk lingkungan Anda AWS . Jika demikian, kami menyarakan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut **Tipe temuan** dengan nilai `UnauthorizedAccess:EC2/SSHBruteForce`. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut **ID citra instans** atau atribut nilai **Tanda**, tergantung kriteria yang diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan nilai tanda instans tertentu.

  ```
  Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
  ```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis ketika ditargetkan ke instans yang sengaja diekspos.

  Mungkin ada kasus di mana instans sengaja diekspos, misalnya jika instans meng-host server web. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut **Tipe temuan** dengan nilai `Recon:EC2/PortProbeUnprotectedPort`. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut **ID citra instans** atau atribut nilai **Tanda**, tergantung kriteria yang dapat diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan kunci tanda instans tertentu di konsol.

  ```
  Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
  ```

### Aturan penekanan yang direkomendasikan untuk temuan Runtime Monitoring
<a name="runtime-monitoring-suppress-finding"></a>
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)dihasilkan ketika proses di dalam wadah berkomunikasi dengan soket Docker. Mungkin ada wadah di lingkungan Anda yang mungkin perlu mengakses soket Docker untuk alasan yang sah. Akses dari wadah tersebut akan menghasilkan PrivilegeEscalation:Runtime/DockerSocketAccessed temuan. Jika ini adalah kasus di AWS lingkungan Anda, kami sarankan Anda menyiapkan aturan penekanan untuk jenis temuan ini. Kriteria pertama harus menggunakan bidang **Jenis Finding** dengan nilai sama dengan`PrivilegeEscalation:Runtime/DockerSocketAccessed`. Kriteria filter kedua adalah bidang **jalur yang dapat dieksekusi** dengan nilai yang sama dengan proses `executablePath` dalam temuan yang dihasilkan. Atau, kriteria filter kedua dapat menggunakan bidang **Executable SHA-256** dengan nilai yang sama dengan proses `executableSha256` dalam temuan yang dihasilkan.
+ Cluster Kubernetes menjalankan server DNS mereka sendiri sebagai pod, seperti. `coredns` Oleh karena itu, untuk setiap pencarian DNS dari sebuah pod, GuardDuty menangkap dua peristiwa DNS — satu dari pod dan yang lainnya dari pod server. Ini dapat menghasilkan duplikat untuk temuan DNS berikut:
  + [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
  + [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
  + [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
  + [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
  + [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
  + [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
  + [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
  + [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
  + [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
  + [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
  + [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)

  Temuan duplikat akan mencakup pod, container, dan detail proses yang sesuai dengan pod server DNS Anda. Anda dapat membuat aturan penindasan untuk menekan temuan duplikat ini menggunakan bidang ini. Kriteria filter pertama harus menggunakan bidang **jenis Finding** dengan nilai sama dengan tipe temuan DNS dari daftar temuan yang disediakan sebelumnya di bagian ini. Kriteria filter kedua dapat berupa **jalur Executable** dengan nilai yang sama dengan server DNS Anda `executablePath` atau **Executable SHA-256** dengan nilai yang sama dengan server DNS Anda dalam temuan yang dihasilkan. `executableSHA256` Sebagai kriteria filter ketiga opsional, Anda dapat menggunakan kolom **image kontainer Kubernetes** dengan nilai yang sama dengan image kontainer pod server DNS Anda dalam temuan yang dihasilkan.

# Membuat aturan penindasan di GuardDuty
<a name="create-suppression-rules-guardduty"></a>

Aturan penekanan adalah seperangkat kriteria yang mencakup penggunaan atribut filter dan memberikan nilai yang Anda tidak GuardDuty ingin menghasilkan jenis temuan. Jenis temuan yang cocok dengan kriteria ini diarsipkan secara otomatis. Untuk mengurangi kebisingan, temuan yang ditekan tidak dikirim ke salah satu Layanan AWS yang dapat Anda integrasikan. Untuk informasi selengkapnya tentang kasus penggunaan umum untuk membuat aturan penekanan, lihat[Aturan penekanan](findings_suppression-rule.md).

Anda dapat memvisualisasikan, membuat, dan mengelola aturan penekanan dengan menggunakan halaman **Aturan Supresi** di konsol. GuardDuty Aturan penekanan juga dapat dihasilkan dari filter tersimpan yang ada. Untuk informasi selengkapnya tentang membuat filter, lihat[Penyaringan temuan di GuardDuty](guardduty_filter-findings.md). 

 Kriteria filter dapat mencakup kecocokan persis menggunakan **Equals** dan **NotEquals**operator, **pencocokan wildcard menggunakan **Pertandingan**** dan **NotMatches**operator atau **kecocokan perbandingan** menggunakan **GreaterThan**GreaterThanEquals****, **LessThan**dan **LessThanEquals**operator. Informasi lebih lanjut tentang operator yang tersedia dapat ditemukan di [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)halaman. 

Pilih metode akses pilihan Anda untuk membuat aturan penindasan untuk GuardDuty menemukan tipe.

------
#### [ Console ]

**Untuk membuat aturan penindasan menggunakan konsol:**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1.  Pada halaman **aturan Suppression**, klik pada aturan **Create suppression untuk membuka formulir **Create suppression** rule**. 

1.  Masukkan **Nama** untuk aturan penindasan. Nama harus 3-64 karakter. Karakter yang boleh digunakan adalah a-z, A-Z, 0-9, titik (.), tanda hubung (-), dan garis bawah (\$1). 

1.  **Deskripsi** adalah opsional. Jika Anda memasukkan deskripsi, itu dapat memiliki hingga 512 karakter. Karakter yang boleh digunakan adalah a-z, A-Z, 0-9, titik (.), tanda hubung (-), titik dua (:), kurug (\$1\$1()[]), garis miring (/), dan spasi. 

1.  **Rank** adalah opsional. Ini bisa menjadi nilai numerik dari 1 hingga jumlah total filter dan aturan penekanan, ditambah 1. 

1.  Di bawah bagian **Atribut**, pilih **Kunci** dan **Operator** dari drop-down. 

1.  Masukkan nilai “string” atau “date” dari datepicker berdasarkan kunci yang dipilih. Jika itu adalah nilai string, ketik teks dan tekan enter. Beberapa nilai dapat ditambahkan dalam kasus nilai string. 

1.  Kriteria tambahan dapat ditambahkan dengan memilih **Tambah Kriteria** untuk menambahkan set **Kunci**, **Operator**, dan **Nilai** lainnya. 

1.  Pilih **Create suppression rule** untuk membuat dan menyimpan aturan suppression. 

Anda juga dapat membuat aturan penekanan dari filter tersimpan yang ada. Untuk informasi selengkapnya tentang membuat filter, lihat[Penyaringan temuan di GuardDuty](guardduty_filter-findings.md).

**Untuk membuat aturan penekanan dari filter tersimpan:**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Pada halaman **Temuan**, dari menu **Aturan tersimpan**, pilih aturan set filter tersimpan. Ini akan secara otomatis menampilkan set filter dan temuan yang sesuai dengan kriteria.

1. Anda juga dapat menambahkan lebih banyak kriteria filter ke aturan tersimpan ini. Jika Anda tidak memerlukan kriteria filter tambahan, lewati langkah ini. Untuk menambahkan satu atau beberapa kriteria filter, ikuti langkah 3 hingga 7 [Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page) inci, lalu lanjutkan dengan langkah-langkah berikut. 

1. Setelah Anda menambahkan kriteria filter dan mengonfirmasi bahwa temuan yang difilter memenuhi persyaratan Anda, pilih **Buat aturan penekanan**.

1. Masukkan **Nama** untuk aturan penindasan.Nama harus 3-64 karakter. Karakter yang boleh digunakan adalah a-z, A-Z, 0-9, titik (.), tanda hubung (-), dan garis bawah (\$1).

1. **Deskripsi** adalah opsional. Jika Anda memasukkan deskripsi, itu dapat memiliki hingga 512 karakter.

1. Pilih **Buat**.

1.  Jika Anda tidak perlu menambahkan kriteria filter tambahan ke aturan yang disimpan, ikuti langkah 4 hingga 7 untuk membuat filter. 

------
#### [ API/CLI ]

**Untuk membuat aturan penekanan menggunakan API:**

1. Anda dapat membuat aturan penekanan melalui [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API. Untuk melakukannya, tentukan kriteria filter dalam file JSON mengikuti format contoh terperinci di bawah ini. Contoh di bawah ini akan menekan temuan tingkat keparahan rendah yang tidak diarsipkan yang memiliki permintaan DNS ke domain. `test.example.com` Untuk temuan tingkat keparahan sedang, daftar masukan adalah`["4", "5", "7"]`. Untuk temuan tingkat keparahan tinggi, daftar masukan akan`["6", "7", "8"]`. Untuk temuan tingkat keparahan kritis, daftar masukan adalah`["9", "10"]`. Anda juga dapat memfilter berdasarkan satu nilai dalam daftar.

   Contoh berikut menambahkan filter untuk temuan tingkat keparahan rendah untuk fungsi lambda dengan awalan nama fungsi "MyFunc" dan tag fungsi dengan awalan bukan sebagai "” TestTag 

   ```
   {
       "Criterion": {
           "service.action.dnsRequestAction.domain": {
               "Equals": [
                   "test.example.com"
               ]
           },
           "severity": {
               "Equals": [
                   "1",
                   "2",
                   "3"
               ]
           }
       }
   }
   ```

    Anda dapat membuat aturan penekanan menggunakan karakter wildcard\$1 dan? . Wildcard dalam filter didukung hanya menggunakan **Pertandingan** dan **NotMatches**operator. Untuk mencocokkan sejumlah karakter, Anda dapat menggunakan\$1 dalam nilai atribut dan untuk mencocokkan satu karakter, Anda dapat menggunakan? dalam nilai atribut. Filter mendukung maksimal 5 atribut di bawah kondisi wildcard tunggal dan maksimal 5 karakter wildcard dalam satu atribut. Contoh berikut menambahkan filter untuk nama Lambda yang cocok dengan awalan “MyFunc" tetapi bukan fungsi Lambda dengan tag dengan "TestTag" sebagai awalan diikuti oleh 0-2 karakter. 

   ```
   {
       "Criterion": {
           "resource.lambdaDetails.functionName": {
               "Matches": [
                   "MyFunc*"
               ]
           },
           "resource.lambdaDetails.tags.key": {
               "NotMatches": [
                   "TestTag??"
               ]
           }
       }
   }
   ```

   Untuk daftar nama bidang JSON dan konsolnya yang setara, lihat [Filter properti di GuardDuty](guardduty_filter-findings.md#filter_criteria).

   Untuk menguji kriteria filter Anda, gunakan kriteria JSON yang sama di [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API, dan konfirmasikan bahwa temuan yang benar telah dipilih. Untuk menguji kriteria filter Anda menggunakan AWS CLI ikuti contoh menggunakan detectorId dan file.json Anda sendiri.

   Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

   ```
   aws guardduty list-detector
   ```

   ```
   aws guardduty list-findings \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --region us-east-1 \
   --finding-criteria file://criteria.json
   ```
**catatan**  
 Pencocokan wildcard tidak tersedia untuk ListFindings dan GetFindingsStatistics. Kriteria yang mengandung wildcard tidak dapat divalidasi menggunakan ListFindings dan. GetFindingsStatistics 

1. Unggah filter Anda untuk digunakan sebagai aturan penekanan dengan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API atau dengan menggunakan AWS CLI mengikuti contoh di bawah ini dengan ID detektor Anda sendiri, nama untuk aturan penekanan, dan file.json.

   Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

   ```
   aws guardduty create-filter \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --region us-east-1 \
   --action ARCHIVE \
   --name yourfiltername \
   --finding-criteria file://criteria.json
   ```

Anda dapat melihat daftar filter Anda secara terprogram dengan API. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html) Anda dapat melihat detail filter individual dengan memberikan nama filter ke [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html)API. Perbarui filter menggunakan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html)atau menghapusnya dengan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html)API.

------

# Memperbarui aturan penindasan di GuardDuty
<a name="update-suppression-rules-guardduty"></a>

 Bagian ini menyediakan langkah-langkah untuk memperbarui aturan penindasan dalam aturan Anda Akun AWS secara spesifik Wilayah AWS. 

 Anda dapat memperbarui aturan penekanan yang ada dari halaman **Aturan Supresi** di konsol. GuardDuty GuardDuty mendukung pembaruan deskripsi filter penekanan, peringkat dan kriteria filter dari GuardDuty konsol atau dengan menggunakan GuardDuty CLI/API. Memperbarui aturan penekanan mengikuti batasan yang sama pada nilai bidang untuk deskripsi, peringkat, dan kriteria seperti[Membuat aturan penekanan](create-suppression-rules-guardduty.md). 

Jika Anda adalah akun anggota, akun administrator Anda dapat mengambil tindakan ini atas nama Anda. Untuk informasi selengkapnya, lihat [Akun administrator dan hubungan akun anggota](administrator_member_relationships.md). 

 Pilih metode akses pilihan Anda untuk menghapus aturan penekanan untuk GuardDuty findingtypes. 

------
#### [ Console ]

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1.  Pada halaman **Aturan Supresi**, pilih aturan penekanan yang akan diperbarui. 

1.  Dari dropdown **Tindakan**, pilih **Perbarui aturan penekanan**. 

1. Ini membuka bentuk aturan penindasan yang ada.

1.  Buat perubahan pada bagian **Deskripsi**, **Peringkat**, dan **Atribut** sesuai kebutuhan. 

1.  Pilih **Perbarui aturan penekanan** untuk memperbarui aturan Suppression. 

------
#### [ API/CLI ]

**Untuk memperbarui aturan penekanan menggunakan API:**

1.  Anda dapat memperbarui aturan penekanan melalui UpdateFilter API. Hanya **deskripsi**, **peringkat**, dan **kriteria** yang dapat diperbarui menggunakan UpdateFilter API. Ketiga bidang ini bersifat opsional. 

1. Untuk memperbarui filter yang ada, Anda memerlukan nama filter yang akan Anda perbarui.

1. Jika Anda ingin memperbarui kriteria yang ada, buat file JSON dengan kriteria yang diperbarui mirip dengan cara Anda pertama kali membuat filter. Contoh kriteria untuk menekan temuan tingkat keparahan rendah yang tidak diarsipkan yang memiliki permintaan DNS ke domain test.example.com. Untuk temuan tingkat keparahan sedang, daftar masukan adalah ["4", “5", “7"]. Untuk temuan tingkat keparahan tinggi, daftar masukan adalah ["6", “7", “8"]. Untuk temuan tingkat keparahan kritis, daftar masukan adalah ["9", “10"]. Anda juga dapat memfilter berdasarkan satu nilai dalam daftar. Contoh berikut menambahkan filter untuk temuan tingkat keparahan rendah.

   ```
   {
       "Criterion": {
           "service.action.dnsRequestAction.domain": {
               "Equals": [
                   "test.example.com"
               ]
           },
           "severity": {
               "Equals": [
                   "1",
                   "2",
                   "3"
               ]
           }
       }
   }
   ```

    Untuk daftar nama bidang JSON dan konsolnya yang setara, lihat [Filter properti di GuardDuty](guardduty_filter-findings.md#filter_criteria). 

    Untuk menguji kriteria filter Anda, gunakan kriteria JSON yang sama di [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API, dan konfirmasikan bahwa temuan yang benar telah dipilih. Untuk menguji kriteria filter Anda menggunakan AWS CLI ikuti contoh menggunakan detectorId dan file.json Anda sendiri. 

   Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

   ```
   aws guardduty list-detectors --region us-east-1
   ```

1.  Jika Anda ingin memperbarui deskripsi, Anda dapat menyertakan parameter deskripsi dalam panggilan CLI. 

1.  Jika Anda ingin memperbarui peringkat, Anda dapat menyertakan parameter peringkat dalam panggilan CLI. 

1.  Jika Anda ingin memperbarui dari filter penekanan ke filter biasa, gunakan parameter tindakan dan nilai sebagai **ARCHIVE** dalam panggilan CLI. 

1.  Perbarui API filter yang ada atau dengan menggunakan contoh AWS CLI berikut ini dengan ID detektor Anda sendiri, nama untuk aturan penekanan, dan file.json. 

1.  Berikut ini adalah contoh CLI yang memperbarui semua parameter yang dijelaskan di atas. Anda dapat memilih parameter spesifik yang akan diperbarui untuk kasus penggunaan Anda dari perintah - 

   ```
   aws guardduty update-filter \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --region us-east-1 \
   --action ARCHIVE \
   --rank 1 \
   --description "Updated description" \
   --finding-criteria file://criteria.json
   ```

------

# Menghapus aturan penindasan di GuardDuty
<a name="delete-suppression-rules-guardduty"></a>

Bagian ini menyediakan langkah-langkah untuk menghapus aturan penindasan dalam aturan Anda Akun AWS secara spesifik Wilayah AWS.

Anda mungkin ingin menghapus aturan penekanan yang tidak lagi menggambarkan perilaku yang diharapkan di lingkungan Anda. Anda tidak lagi ingin menekan jenis temuan terkait sehingga GuardDuty dapat menghasilkan tipe temuan.

Jika Anda adalah akun anggota, akun administrator Anda dapat mengambil tindakan ini atas nama Anda. Untuk informasi selengkapnya, lihat [Akun administrator dan hubungan akun anggota](administrator_member_relationships.md).

Pilih metode akses pilihan Anda untuk menghapus aturan penekanan untuk GuardDuty menemukan jenis.

------
#### [ Console ]

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Pada halaman **Aturan Supresi**, pilih aturan penekanan yang akan dihapus.

1.  Dari dropdown **Tindakan**, pilih **Hapus aturan penekanan**. 

1.  Ini meminta pop-up konfirmasi. Pilih **Hapus** untuk melanjutkan penghapusan. Atau pilih **Batal** untuk membatalkan operasi. 

------
#### [ API/CLI ]

Jalankan API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html). Tentukan nama filter dan ID detektor terkait untuk Wilayah tertentu. 

Atau, Anda dapat menggunakan AWS CLI contoh berikut dengan mengganti nilai yang diformat*red*:

```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

------

# Menyesuaikan deteksi ancaman dengan daftar entitas dan daftar alamat IP
<a name="guardduty_upload-lists"></a>

Amazon GuardDuty memantau keamanan AWS lingkungan Anda dengan menganalisis dan memproses Log Aliran VPC, log AWS CloudTrail peristiwa, dan log DNS. Dengan mengaktifkan satu atau beberapa [rencana GuardDuty perlindungan yang berfokus pada kasus penggunaan](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (kecuali[Pemantauan Runtime](runtime-monitoring.md), Anda dapat memperluas kemampuan pemantauan di dalamnya. GuardDuty 

Dengan daftar, GuardDuty membantu Anda menyesuaikan ruang lingkup deteksi ancaman di lingkungan Anda. Anda dapat mengonfigurasi GuardDuty untuk berhenti menghasilkan temuan dari sumber tepercaya Anda dan menghasilkan temuan untuk sumber berbahaya yang diketahui dari daftar ancaman Anda. GuardDuty terus mendukung daftar alamat IP lama dan memperluas dukungan ke daftar entitas (disarankan) yang dapat berisi alamat IP, domain, atau keduanya. 

**Topics**
+ [Memahami daftar entitas dan daftar alamat IP](#guardduty-threat-intel-list-entity-sets)
+ [Pertimbangan penting untuk daftar GuardDuty](#guardduty-lists-entity-sets-considerations)
+ [Format daftar](#prepare_list)
+ [Memahami status daftar](#guardduty-entity-list-statuses)
+ [Menyiapkan prasyarat untuk daftar entitas dan daftar alamat IP](guardduty-lists-prerequisites.md)
+ [Menambahkan dan mengaktifkan daftar entitas atau daftar IP](guardduty-lists-create-activate.md)
+ [Memperbarui daftar entitas atau daftar alamat IP](guardduty-lists-update-procedure.md)
+ [Menonaktifkan daftar entitas atau daftar alamat IP](guardduty-lists-deactivate-procedure.md)
+ [Menghapus daftar entitas atau daftar alamat IP](guardduty-lists-delete-procedure.md)

## Memahami daftar entitas dan daftar alamat IP
<a name="guardduty-threat-intel-list-entity-sets"></a>

GuardDuty menawarkan dua pendekatan implementasi: daftar entitas (direkomendasikan) dan daftar IP. Kedua pendekatan membantu Anda menentukan sumber tepercaya, yang berhenti GuardDuty dari menghasilkan temuan dan ancaman yang diketahui, yang GuardDuty digunakan untuk menghasilkan temuan.

**Daftar entitas** mendukung alamat IP dan nama domain. Mereka menggunakan akses langsung Amazon Simple Storage Service (Amazon S3) dengan izin IAM tunggal yang tidak memengaruhi batas ukuran kebijakan IAM di beberapa Wilayah. 

**Daftar IP** hanya mendukung alamat IP dan penggunaan [GuardDuty peran terkait layanan (SLR)](slr-permissions.md) (SLR), yang memerlukan pembaruan kebijakan IAM per Wilayah, yang dapat memengaruhi batas ukuran kebijakan IAM.

Daftar tepercaya (baik daftar entitas maupun daftar alamat IP) menyertakan entri yang Anda percayai untuk komunikasi aman dengan AWS infrastruktur Anda. GuardDuty tidak menghasilkan temuan untuk entri yang tercantum dalam sumber tepercaya. Pada waktu tertentu, Anda hanya dapat menambahkan satu daftar entitas tepercaya dan satu daftar alamat IP tepercaya Akun AWS per Wilayah.

Daftar ancaman (baik daftar entitas dan daftar alamat IP) termasuk entri yang telah Anda identifikasi sebagai sumber berbahaya yang dikenal. Ketika GuardDuty mendeteksi aktivitas yang melibatkan sumber-sumber ini, itu menghasilkan temuan untuk mengingatkan Anda tentang potensi masalah keamanan. Anda dapat membuat daftar ancaman Anda sendiri atau memasukkan umpan intelijen ancaman pihak ketiga. Daftar ini dapat disediakan oleh intelijen ancaman pihak ketiga atau dibuat khusus untuk organisasi Anda. Selain menghasilkan temuan karena aktivitas yang berpotensi mencurigakan, GuardDuty juga menghasilkan temuan berdasarkan aktivitas yang melibatkan entri dari daftar ancaman Anda. Pada waktu tertentu, Anda dapat mengunggah hingga enam daftar entitas ancaman dan daftar alamat IP ancaman Akun AWS per Wilayah.

**catatan**  
Untuk bermigrasi dari daftar alamat IP ke daftar entitas, ikuti[Prasyarat untuk daftar entitas](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), lalu tambahkan dan aktifkan daftar entitas yang diperlukan. Setelah ini, Anda dapat memilih untuk menonaktifkan atau menghapus daftar alamat IP yang sesuai.

## Pertimbangan penting untuk daftar GuardDuty
<a name="guardduty-lists-entity-sets-considerations"></a>

Sebelum Anda mulai bekerja dengan daftar, baca pertimbangan berikut:
+ Daftar alamat IP dan daftar entitas hanya berlaku untuk lalu lintas yang ditujukan untuk alamat IP dan domain yang dapat dirutekan secara publik.
+ Dalam daftar entitas, entri berlaku untuk, Log Aliran VPC di Amazon VPC CloudTrail, dan temuan log kueri DNS Route53 Resolver.

  Dalam daftar alamat IP, entri berlaku untuk CloudTrail dan Log Aliran VPC di temuan Amazon VPC, tetapi tidak untuk temuan log kueri DNS Route53 Resolver.
+ Jika Anda menyertakan alamat IP atau domain yang sama dalam daftar tepercaya dan ancaman, maka entri ini dalam daftar tepercaya akan diutamakan. GuardDuty tidak akan menghasilkan temuan jika ada aktivitas yang terkait dengan entri ini.
+ Dalam lingkungan multi-akun, hanya akun GuardDuty administrator yang dapat mengelola daftar. Pengaturan ini secara otomatis berlaku untuk akun anggota. GuardDuty menghasilkan temuan berdasarkan aktivitas yang melibatkan alamat IP berbahaya yang diketahui (dan domain) dari sumber ancaman akun administrator, dan tidak menghasilkan temuan berdasarkan aktivitas yang melibatkan alamat IP (dan domain) dari sumber tepercaya akun administrator. Untuk informasi selengkapnya, lihat [Beberapa akun di Amazon GuardDuty](guardduty_accounts.md).
+ Hanya IPv4 alamat yang diterima. IPv6 alamat tidak didukung.
+ Setelah Anda mengaktifkan, menonaktifkan, atau menghapus daftar entitas atau daftar alamat IP, proses diperkirakan selesai dalam waktu 15 menit. Dalam skenario tertentu, mungkin diperlukan waktu hingga 40 menit untuk menyelesaikan proses ini.
+ GuardDuty menggunakan daftar untuk deteksi ancaman hanya ketika status daftar menjadi **Aktif**.
+ Setiap kali Anda menambahkan atau memperbarui entri di lokasi bucket S3 daftar, Anda harus mengaktifkan daftar lagi. Untuk informasi selengkapnya, lihat [Memperbarui daftar entitas atau daftar alamat IP](guardduty-lists-update-procedure.md).
+ Daftar entitas dan alamat IP memiliki kuota yang berbeda. Untuk informasi selengkapnya, lihat [GuardDuty kuota](guardduty_limits.md).

## Format daftar
<a name="prepare_list"></a>

GuardDuty menerima beberapa format file untuk daftar dan daftar entitas Anda, dengan maksimum 35 MB per file. Setiap format memiliki persyaratan dan kemampuan khusus. 

### Plaintext (TXT)
<a name="guardduty-list-format-plaintext"></a>

Format ini mendukung alamat IP, rentang CIDR, dan nama domain. Setiap entri harus muncul pada baris terpisah.

**Example **Contoh untuk daftar entitas****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```

**Example **Contoh untuk daftar alamat IP****  

```
192.0.2.0/24
198.51.100.1
203.0.113.1
```

### Ekspresi Informasi Ancaman Terstruktur (STIX)
<a name="guardduty-list-format-stix"></a>

Format ini mendukung alamat IP, blok CIDR, dan nama domain. STIX memungkinkan Anda untuk memasukkan konteks tambahan dengan intelijen ancaman Anda. GuardDuty memproses alamat IP, rentang CIDR, dan nama domain dari indikator STIX. 

**Example **Contoh untuk daftar entitas****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Contoh untuk daftar alamat IP****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>
```

### Buka Pertukaran Ancaman (OTX) TM CSV
<a name="guardduty-list-format-open-threat-exchange-csv"></a>

Format ini mendukung blok CIDR, alamat IP individual, dan domain. Format file ini memiliki nilai yang dipisahkan koma. 

**Example **Contoh untuk daftar entitas****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```

**Example **Contoh untuk daftar alamat IP****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```

### FireEyeCSV Intelijen Ancaman TM iSight
<a name="guardduty-list-format-fireeye-sight-threat-intel"></a>

Format ini mendukung blok CIDR, alamat IP individual, dan domain. Daftar contoh berikut menggunakan format `FireEyeTM` CSV.

**Example **Contoh untuk daftar entitas****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```

**Example **Contoh untuk daftar alamat IP****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```

### Bukti TM ET Intelijen Umpan CSV
<a name="guardduty-list-format-proofpoint"></a>

Dalam format ProofPoint CSV, Anda dapat menambahkan IP baik alamat atau nama domain dalam satu daftar. Daftar contoh berikut menggunakan format `Proofpoint` CSV. Memberikan nilai untuk `ports` parameter adalah opsional. Ketika Anda tidak menyediakannya, tinggalkan tanda koma (,) di bagian akhir.

**Example **Contoh untuk daftar entitas****  

```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

**Example **Contoh untuk daftar alamat IP****  

```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

### AlienVaultUmpan Reputasi TM
<a name="guardduty-list-format-alien-vault-reputation-feed"></a>

Daftar contoh berikut menggunakan `AlienVault` format.

**Example **Contoh untuk daftar entitas****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```

**Example **Contoh untuk daftar alamat IP****  

```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```

## Memahami status daftar
<a name="guardduty-entity-list-statuses"></a>

Saat Anda menambahkan daftar entitas atau daftar alamat IP, GuardDuty menampilkan status daftar tersebut. Kolom **Status** menunjukkan apakah daftar efektif dan jika ada tindakan yang diperlukan. Daftar berikut menjelaskan nilai status yang valid:
+ **Aktif** - Menunjukkan daftar sedang digunakan untuk deteksi ancaman kustom.
+ **Tidak aktif** - Menunjukkan bahwa daftar saat ini tidak digunakan. GuardDuty Untuk menggunakan daftar ini untuk deteksi ancaman di lingkungan Anda, lihat Langkah 3: Mengaktifkan daftar entitas atau daftar alamat IP di[Menambahkan dan mengaktifkan daftar entitas atau daftar IP](guardduty-lists-create-activate.md).
+ **Kesalahan** - Menunjukkan bahwa ada masalah dengan daftar. Arahkan kursor ke status untuk melihat detail kesalahan. 
+ **Mengaktifkan** — Menunjukkan bahwa GuardDuty telah memulai proses mengaktifkan daftar. Anda dapat terus memantau status untuk daftar ini. Jika tidak ada kesalahan, status harus diperbarui ke **Aktif**. Meskipun status tetap **Aktif,** Anda tidak dapat melakukan tindakan apa pun di daftar ini. Mungkin perlu beberapa menit agar status daftar berubah menjadi **Aktif**.
+ **Menonaktifkan** - Menunjukkan bahwa GuardDuty telah memulai proses menonaktifkan daftar. Anda dapat terus memantau status untuk daftar ini. Jika tidak ada kesalahan, status harus diperbarui ke Tidak **Aktif**. Meskipun status tetap **Menonaktifkan**, Anda tidak dapat melakukan tindakan apa pun di daftar ini.
+ **Hapus Tertunda** — Menunjukkan bahwa daftar sedang dalam proses dihapus. Meskipun status tetap **Hapus Tertunda**, Anda tidak dapat melakukan tindakan apa pun di daftar ini.

# Menyiapkan prasyarat untuk daftar entitas dan daftar alamat IP
<a name="guardduty-lists-prerequisites"></a>

GuardDuty menggunakan daftar entitas dan daftar alamat IP untuk menyesuaikan deteksi ancaman di AWS lingkungan Anda. Daftar entitas (disarankan) mendukung alamat IP dan nama domain, sedangkan daftar alamat IP hanya mendukung alamat IP. Sebelum Anda mulai membuat daftar ini, Anda harus menambahkan izin yang diperlukan untuk jenis daftar yang ingin Anda gunakan.

## Prasyarat untuk daftar entitas
<a name="guardduty-entity-list-prerequisites"></a>

Saat Anda menambahkan daftar entitas, GuardDuty baca daftar intelijen tepercaya dan ancaman Anda dari bucket S3. Peran yang Anda gunakan untuk membuat daftar entitas harus memiliki `s3:GetObject` izin untuk bucket S3 berisi daftar ini.

**catatan**  
Dalam lingkungan multi-akun, hanya akun GuardDuty administrator yang dapat mengelola daftar, yang secara otomatis berlaku untuk akun anggota.

Jika Anda belum memiliki `s3:GetObject` izin untuk lokasi bucket S3, gunakan contoh kebijakan berikut dan ganti *amzn-s3-demo-bucket* dengan lokasi bucket S3 Anda.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}
```

------

## Prasyarat untuk daftar alamat IP
<a name="guardduty-ip-address-list-prerequisites"></a>

Berbagai identitas IAM memerlukan izin khusus untuk bekerja dengan daftar IP tepercaya dan daftar ancaman di. GuardDuty Identitas dengan kebijakan [AmazonGuardDutyFullAccess\$1v2 (disarankan)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) terkelola terlampir hanya dapat mengganti nama dan menonaktifkan daftar IP tepercaya yang diunggah dan daftar ancaman.

Untuk memberikan berbagai identitas akses penuh untuk bekerja dengan daftar IP tepercaya dan daftar ancaman (selain mengganti nama dan menonaktifkan, ini termasuk menambahkan, mengaktifkan, menghapus, dan memperbarui lokasi atau nama daftar), pastikan bahwa tindakan berikut ada dalam kebijakan izin yang dilampirkan ke pengguna, grup, atau peran: 

```
{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```

**penting**  
Tindakan ini tidak termasuk dalam kebijakan yang `AmazonGuardDutyFullAccess` dikelola.

### Menggunakan enkripsi SSE-KMS dengan daftar entitas dan daftar IP
<a name="encrypt-list"></a>

GuardDuty mendukung enkripsi SSE- AES256 dan SSE-KMS untuk daftar Anda. SSE-C tidak didukung. Untuk informasi selengkapnya tentang jenis enkripsi untuk S3, lihat [Melindungi data menggunakan enkripsi sisi server](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). 

Terlepas dari apakah Anda menggunakan daftar entitas atau daftar IP, jika Anda menggunakan SSE-KMS, tambahkan pernyataan berikut ke kebijakan Anda. AWS KMS key Ganti *123456789012* dengan ID akun Anda sendiri.

```
{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}
```

# Menambahkan dan mengaktifkan daftar entitas atau daftar IP
<a name="guardduty-lists-create-activate"></a>

Daftar entitas dan daftar alamat IP membantu Anda menyesuaikan kemampuan deteksi ancaman GuardDuty. Untuk informasi selengkapnya tentang daftar ini, lihat[Memahami daftar entitas dan daftar alamat IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets). Untuk mengelola data intelijen tepercaya dan ancaman untuk AWS lingkungan Anda, GuardDuty rekomendasikan untuk menggunakan daftar entitas. Sebelum Anda memulai, lihat [Menyiapkan prasyarat untuk daftar entitas dan daftar alamat IP](guardduty-lists-prerequisites.md).

Pilih salah satu metode akses berikut untuk menambahkan dan mengaktifkan daftar entitas tepercaya, daftar entitas ancaman, daftar IP tepercaya, atau daftar IP ancaman.

------
#### [ Console ]

**(Opsional) langkah 1: Mengambil URL lokasi daftar Anda**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Di panel navigasi, pilih **Bucket**.

1. Pilih nama bucket Amazon S3 yang berisi daftar spesifik yang ingin Anda tambahkan.

1. Pilih nama objek (daftar) untuk melihat detailnya.

1. Di bawah tab **Properties**, salin **URI S3** untuk objek ini.

**Langkah 2: Menambahkan data intelijen tepercaya atau ancaman**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Di panel navigasi, pilih **Daftar**.

1. Pada halaman **Daftar**, pilih tab **Daftar entitas** atau **daftar alamat IP**.

1. Berdasarkan tab yang Anda pilih, pilih untuk menambahkan daftar tepercaya atau daftar ancaman.

1. Di kotak dialog untuk menambahkan daftar tepercaya atau ancaman, lakukan langkah-langkah berikut:

   1. Untuk **nama Daftar**, masukkan nama untuk daftar Anda.

      **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

      Untuk daftar alamat IP, nama daftar Anda harus unik di dalam Akun AWS dan Wilayah.

   1. Untuk **Lokasi**, berikan lokasi tempat Anda mengunggah daftar Anda. Jika Anda belum memilikinya, lihat[Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage).

      Hanya berlaku untuk ancaman kustom dan kumpulan entitas tepercaya kustom — Jika Anda memberikan URL lokasi yang tidak cocok dengan format yang didukung berikut, maka Anda akan menerima pesan galat selama penambahan daftar dan aktivasi.

**Format URL lokasi:**
      + https://s3.amazonaws.com/bucket.name/file.txt
      + https://s3-aws-region.amazonaws.com/bucket.name/file.txt
      + http://bucket.s3.amazonaws.com/file.txt
      + http://bucket.s3-aws-region.amazonaws.com/file.txt
      + s3://bucket.name/file.txt

   1. **(Opsional) Untuk **pemilik bucket yang Diharapkan**, Anda dapat memasukkan Akun AWS ID yang memiliki bucket Amazon S3 yang ditentukan di bidang Lokasi.**

      Bila Anda tidak menentukan pemilik Akun AWS ID, maka GuardDuty berperilaku berbeda untuk daftar entitas dan daftar alamat IP. **Untuk daftar entitas, GuardDuty akan memvalidasi bahwa akun anggota saat ini memiliki bucket S3 yang ditentukan di bidang Lokasi.** Untuk daftar alamat IP, jika Anda tidak menentukan pemilik Akun AWS ID, GuardDuty tidak akan melakukan validasi apa pun.

      Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar.

   1. Pilih kotak centang **Saya setuju**.

   1. Pilih **Tambah daftar**. Secara default, **Status** daftar yang ditambahkan **tidak aktif**. Agar daftar menjadi efektif, Anda harus mengaktifkan daftar.

**Langkah 3: Mengaktifkan daftar entitas atau daftar alamat IP**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Di panel navigasi, pilih **Daftar**.

1. Pada halaman **Daftar**, pilih tab di mana Anda ingin mengaktifkan daftar - Daftar **entitas atau daftar** **alamat IP**.

1. Pilih satu daftar yang ingin Anda aktifkan. Ini akan mengaktifkan menu **Action** and **Edit**.

1. Pilih **Action**, lalu pilih **Activate**. 

------
#### [ API/CLI ]

**Untuk menambah dan mengaktifkan daftar entitas tepercaya**

1. Jalankan [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda buat daftar entitas tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut: 

   ```
   aws guardduty create-trusted-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan membuat daftar entitas tepercaya, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Apakah Anda menentukan nilai untuk parameter ini atau tidak, GuardDuty memvalidasi bahwa Akun AWS ID yang terkait dengan `--detector-id` nilai ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

   Hanya berlaku untuk ancaman kustom dan kumpulan entitas tepercaya kustom — Jika Anda memberikan URL lokasi yang tidak cocok dengan format yang didukung berikut, maka Anda akan menerima pesan galat selama penambahan daftar dan aktivasi.

**Untuk menambah dan mengaktifkan daftar entitas ancaman**

1. Jalankan [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda buat daftar entitas ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut: 

   ```
   aws guardduty create-threat-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan membuat daftar entitas tepercaya, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Apakah Anda menentukan nilai untuk parameter ini atau tidak, GuardDuty memvalidasi bahwa Akun AWS ID yang terkait dengan `--detector-id` nilai ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

   Hanya berlaku untuk ancaman kustom dan kumpulan entitas tepercaya kustom — Jika Anda memberikan URL lokasi yang tidak cocok dengan format yang didukung berikut, maka Anda akan menerima pesan galat selama penambahan daftar dan aktivasi.

**Untuk menambah dan mengaktifkan daftar alamat IP tepercaya**

1. Jalankan [Buat IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda buat daftar alamat IP tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   Untuk daftar alamat IP, nama daftar Anda harus unik di dalam Akun AWS dan Wilayah.

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut dan pastikan untuk mengganti `detector-id` dengan ID detektor dari akun anggota yang akan Anda perbarui daftar alamat IP tepercaya.

   ```
   aws guardduty create-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan membuat daftar IP tepercaya, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Jika Anda tidak menentukan ID akun yang memiliki bucket S3, GuardDuty tidak akan melakukan validasi apa pun. Saat Anda menentukan ID akun untuk `expected-bucket-owner` parameter, GuardDuty validasi bahwa Akun AWS ID ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

**Untuk menambah dan mengaktifkan daftar IP ancaman**

1. Jalankan [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda buat daftar alamat IP ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

   Untuk daftar alamat IP, nama daftar Anda harus unik di dalam Akun AWS dan Wilayah.

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut dan pastikan untuk mengganti `detector-id` dengan ID detektor dari akun anggota yang akan Anda perbarui daftar IP ancaman.

   ```
   aws guardduty create-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan membuat daftar IP ancaman, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Jika Anda tidak menentukan ID akun yang memiliki bucket S3, GuardDuty tidak akan melakukan validasi apa pun. Saat Anda menentukan ID akun untuk `expected-bucket-owner` parameter, GuardDuty validasi bahwa Akun AWS ID ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

------

Setelah Anda mengaktifkan daftar entitas atau daftar alamat IP, mungkin perlu beberapa menit agar daftar ini efektif. Lihat informasi yang lebih lengkap di [Pertimbangan penting untuk daftar GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).

# Memperbarui daftar entitas atau daftar alamat IP
<a name="guardduty-lists-update-procedure"></a>

Daftar entitas dan daftar alamat IP membantu Anda menyesuaikan kemampuan deteksi ancaman GuardDuty. Untuk informasi selengkapnya tentang daftar ini, lihat[Memahami daftar entitas dan daftar alamat IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets).

Anda dapat memperbarui nama daftar, lokasi bucket S3, ID akun pemilik bucket yang diharapkan, dan entri dalam daftar yang ada. Jika Anda memperbarui entri dalam daftar, Anda harus mengikuti langkah-langkah untuk mengaktifkan daftar lagi GuardDuty untuk menggunakan versi terbaru dari daftar. Setelah Anda memperbarui atau mengaktifkan daftar entitas atau daftar alamat IP, mungkin perlu beberapa menit agar daftar ini efektif. Untuk informasi selengkapnya, lihat [Pertimbangan penting untuk daftar GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).

**catatan**  
Jika status daftar adalah Mengaktifkan, **Menonaktifkan****, atau Menghapus** **Pending**, Anda harus menunggu beberapa menit sebelum melakukan tindakan apa pun. Untuk informasi tentang status ini, lihat[Memahami status daftar](guardduty_upload-lists.md#guardduty-entity-list-statuses).

Pilih salah satu metode akses untuk memperbarui daftar entitas atau daftar alamat IP.

------
#### [ Console ]

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Di panel navigasi, pilih **Daftar**.

1. Pada halaman **Daftar**, pilih tab yang sesuai - **Daftar entitas atau daftar** **alamat IP**.

1. Pilih satu daftar (tepercaya atau ancaman) yang ingin Anda perbarui. Ini akan mengaktifkan menu **Action** and **Edit**.

1. Pilih **Edit**.

1. Di kotak dialog untuk memperbarui daftar, tentukan detail yang ingin Anda perbarui.

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

   Untuk daftar alamat IP, nama daftar Anda harus unik di dalam Akun AWS dan Wilayah.

   Hanya berlaku untuk ancaman kustom dan kumpulan entitas tepercaya kustom — Jika Anda memberikan URL lokasi yang tidak cocok dengan format yang didukung berikut, maka Anda akan menerima pesan galat selama penambahan daftar dan aktivasi.

1. **(Opsional) Untuk **pemilik bucket yang Diharapkan**, Anda dapat memasukkan Akun AWS ID yang memiliki bucket Amazon S3 yang ditentukan di bidang Lokasi.**

   Bila Anda tidak menentukan pemilik Akun AWS ID, maka GuardDuty berperilaku berbeda untuk daftar entitas dan daftar alamat IP. **Untuk daftar entitas, GuardDuty akan memvalidasi bahwa akun anggota saat ini memiliki bucket S3 yang ditentukan di bidang Lokasi.** Untuk daftar alamat IP, jika Anda tidak menentukan pemilik Akun AWS ID, GuardDuty tidak akan melakukan validasi apa pun.

   Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar.

1. Pilih kotak centang **Saya setuju**, lalu pilih **Perbarui daftar**. 

------
#### [ API/CLI ]

Untuk memulai dengan prosedur berikut, Anda memerlukan ID, seperti,`trustedEntitySetId`,`threatEntitySetId`, atau `trustedIpSet``threatIpSet`, yang terkait dengan sumber daya daftar yang ingin Anda perbarui. 

**Untuk memperbarui dan mengaktifkan daftar entitas tepercaya**

1. Jalankan [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda perbarui daftar entitas tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut yang `name` memperbarui daftar dan juga mengaktifkan daftar ini: 

   ```
   aws guardduty update-trusted-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --trusted-entity-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan membuat daftar entitas tepercaya, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Apakah Anda menentukan nilai untuk parameter ini atau tidak, GuardDuty memvalidasi bahwa Akun AWS ID yang terkait dengan `--detector-id` nilai ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

   Hanya berlaku untuk ancaman kustom dan kumpulan entitas tepercaya kustom — Jika Anda memberikan URL lokasi yang tidak cocok dengan format yang didukung berikut, maka Anda akan menerima pesan galat selama penambahan daftar dan aktivasi.

**Untuk memperbarui dan mengaktifkan daftar entitas ancaman**

1. Jalankan [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda buat daftar entitas ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut yang `name` memperbarui daftar dan juga mengaktifkan daftar ini: 

   ```
   aws guardduty update-threat-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --threat-entity-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan membuat daftar entitas ancaman, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Apakah Anda menentukan nilai untuk parameter ini atau tidak, GuardDuty memvalidasi bahwa Akun AWS ID yang terkait dengan `--detector-id` nilai ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

   Hanya berlaku untuk ancaman kustom dan kumpulan entitas tepercaya kustom — Jika Anda memberikan URL lokasi yang tidak cocok dengan format yang didukung berikut, maka Anda akan menerima pesan galat selama penambahan daftar dan aktivasi.

**Untuk memperbarui dan mengaktifkan daftar alamat IP tepercaya**

1. Jalankan [Buat IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda perbarui daftar alamat IP tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

   Untuk daftar alamat IP, nama daftar Anda harus unik di dalam Akun AWS dan Wilayah.

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut yang juga mengaktifkan daftar:

   ```
   aws guardduty update-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --ip-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota yang akan Anda perbarui daftar IP tepercaya, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Jika Anda tidak menentukan ID akun yang memiliki bucket S3, GuardDuty tidak akan melakukan validasi apa pun. Saat Anda menentukan ID akun untuk `expected-bucket-owner` parameter, GuardDuty validasi bahwa Akun AWS ID ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

**Untuk menambah dan mengaktifkan daftar IP ancaman**

1. Jalankan [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda buat daftar alamat IP ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

   **Kendala penamaan daftar** — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (\$1). 

   Untuk daftar alamat IP, nama daftar Anda harus unik di dalam Akun AWS dan Wilayah.

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut yang juga mengaktifkan daftar:

   ```
   aws guardduty update-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --threat-intel-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota yang akan Anda perbarui daftar IP ancaman, dan nilai placeholder lainnya. *shown in red*

   Jika Anda tidak ingin mengaktifkan daftar yang baru dibuat ini, ganti parameternya `--activate` dengan`--no-activate`.

   Parameter `expected-bucket-owner` bersifat opsional. Jika Anda tidak menentukan ID akun yang memiliki bucket S3, GuardDuty tidak akan melakukan validasi apa pun. Saat Anda menentukan ID akun untuk `expected-bucket-owner` parameter, GuardDuty validasi bahwa Akun AWS ID ini memiliki bucket S3 yang ditentukan dalam parameter. `--location` Jika GuardDuty menemukan bahwa bucket S3 ini bukan milik ID akun yang ditentukan, Anda akan mendapatkan kesalahan pada saat mengaktifkan daftar ini.

------

# Menonaktifkan daftar entitas atau daftar alamat IP
<a name="guardduty-lists-deactivate-procedure"></a>

Ketika Anda tidak lagi GuardDuty ingin menggunakan daftar, Anda dapat menonaktifkannya. Mungkin perlu beberapa menit untuk menyelesaikan proses. Untuk informasi selengkapnya, lihat [Pertimbangan penting untuk daftar GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). Setelah daftar dinonaktifkan, entri dalam daftar entitas atau daftar alamat IP tidak akan memengaruhi deteksi ancaman. GuardDuty 

Pilih salah satu metode akses untuk menonaktifkan daftar.

------
#### [ Console ]

**Untuk menonaktifkan daftar entitas atau daftar alamat IP**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Di panel navigasi, pilih **Daftar**.

1. Pada halaman **Daftar**, pilih tab di mana Anda ingin menonaktifkan daftar - Daftar **entitas atau daftar** **alamat IP**. 

1. Di tab yang dipilih, pilih daftar yang ingin Anda nonaktifkan. 

1. Pilih **Tindakan**, lalu pilih **Nonaktifkan**. 

1. Konfirmasikan tindakan dan pilih **Nonaktifkan**.

------
#### [ API/CLI ]

Untuk memulai dengan prosedur berikut, Anda memerlukan ID, seperti,`trustedEntitySetId`,`threatEntitySetId`, atau `trustedIpSet``threatIpSet`, yang terkait dengan sumber daya daftar yang ingin Anda nonaktifkan. 

**Untuk menonaktifkan daftar entitas tepercaya**

1. Jalankan [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda nonaktifkan daftar entitas tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut: 

   ```
   aws guardduty update-trusted-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --trusted-entity-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan menonaktifkan daftar entitas tepercaya, dan nilai placeholder lainnya. *shown in red*

**Untuk menonaktifkan daftar entitas ancaman**

1. Jalankan [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda nonaktifkan daftar entitas ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut: 

   ```
   aws guardduty update-threat-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-entity-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan membuat daftar entitas ancaman, dan nilai placeholder lainnya. *shown in red*

**Untuk menonaktifkan daftar alamat IP tepercaya**

1. Jalankan [Pembaruan IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda nonaktifkan daftar alamat IP tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut dan pastikan untuk mengganti `detector-id` dengan ID detektor dari akun anggota yang Anda akan menonaktifkan daftar alamat IP tepercaya.

   ```
   aws guardduty update-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --ip-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

**Untuk menonaktifkan daftar IP ancaman**

1. Jalankan [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda nonaktifkan daftar alamat IP ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut dan pastikan untuk mengganti `detector-id` dengan ID detektor dari akun anggota yang akan Anda nonaktifkan daftar IP ancaman.

   ```
   aws guardduty update-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-intel-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

------

# Menghapus daftar entitas atau daftar alamat IP
<a name="guardduty-lists-delete-procedure"></a>

Bila Anda tidak lagi ingin menyimpan entri daftar di set entitas atau set alamat IP Anda, Anda dapat menghapusnya. Mungkin perlu beberapa menit untuk menyelesaikan proses. Untuk informasi selengkapnya, lihat [Pertimbangan penting untuk daftar GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). 

Jika status daftar Mengaktifkan atau ****Menonaktifkan****, Anda harus menunggu beberapa menit sebelum melakukan tindakan apa pun. Untuk informasi selengkapnya, lihat [Memahami status daftar](guardduty_upload-lists.md#guardduty-entity-list-statuses).

Pilih salah satu metode akses untuk menghapus daftar.

------
#### [ Console ]

**Untuk menghapus daftar entitas atau daftar alamat IP**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Di panel navigasi, pilih **Daftar**.

1. Pada halaman **Daftar**, pilih tab di mana Anda ingin menghapus daftar - Daftar **entitas atau daftar** **alamat IP**. 

1. Di tab yang dipilih, pilih daftar yang ingin Anda hapus. 

1. Pilih **Tindakan**, lalu pilih **Hapus**. 

   Status daftar akan berubah menjadi **Delete Pending**. Mungkin perlu beberapa menit untuk daftar dihapus.

------
#### [ API/CLI ]

Untuk memulai dengan prosedur berikut, Anda memerlukan ID, seperti`trustedEntitySetId`,, `threatEntitySetId``trustedIpSet`, atau`threatIpSet`, yang terkait dengan sumber daya daftar yang ingin Anda hapus. 

**Untuk menghapus daftar entitas tepercaya**

1. Jalankan [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda hapus daftar entitas tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut: 

   ```
   aws guardduty delete-trusted-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --trusted-entity-set-id d4b94fc952d6912b8f3060768example
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan menghapus daftar entitas tepercaya, dan nilai placeholder lainnya. *shown in red*

**Untuk menonaktifkan daftar entitas ancaman**

1. Jalankan [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda hapus daftar entitas ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut: 

   ```
   aws guardduty delete-threat-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-entity-set-id d4b94fc952d6912b8f3060768example
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan menghapus daftar entitas ancaman, dan nilai placeholder lainnya. *shown in red*

**Untuk menghapus daftar alamat IP tepercaya**

1. Jalankan [Hapus IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda hapus daftar alamat IP tepercaya ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut dan pastikan untuk mengganti `detector-id` dengan ID detektor dari akun anggota yang akan Anda hapus daftar alamat IP tepercaya.

   ```
   aws guardduty delete-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --ip-set-id d4b94fc952d6912b8f3060768example
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan menghapus daftar entitas ancaman, dan nilai placeholder lainnya. *shown in red*

**Untuk menghapus daftar IP ancaman**

1. Jalankan [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html). Pastikan untuk memberikan akun `detectorId` anggota yang ingin Anda hapus daftar alamat IP ancaman ini. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId` 

1. Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut dan pastikan untuk mengganti `detector-id` dengan ID detektor dari akun anggota yang akan Anda hapus daftar IP ancaman.

   ```
   aws guardduty delete-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-intel-set-id d4b94fc952d6912b8f3060768example
   ```

   Ganti `detector-id` dengan ID detektor akun anggota tempat Anda akan menghapus daftar entitas ancaman, dan nilai placeholder lainnya. *shown in red*

------

# Mengekspor GuardDuty temuan yang dihasilkan ke ember Amazon S3
<a name="guardduty_exportfindings"></a>

GuardDuty mempertahankan temuan yang dihasilkan untuk jangka waktu 90 hari. GuardDuty mengekspor temuan aktif ke Amazon EventBridge (EventBridge). Anda dapat secara opsional mengekspor temuan yang dihasilkan ke bucket Amazon Simple Storage Service (Amazon S3). Ini akan membantu Anda melacak data historis aktivitas yang berpotensi mencurigakan di akun Anda dan mengevaluasi apakah langkah-langkah perbaikan yang disarankan berhasil.

Setiap temuan aktif baru yang GuardDuty dihasilkan secara otomatis diekspor dalam waktu sekitar 5 menit setelah temuan dihasilkan. Anda dapat mengatur frekuensi seberapa sering pembaruan temuan aktif diekspor ke EventBridge. Frekuensi yang Anda pilih berlaku untuk mengekspor kemunculan baru temuan yang ada ke EventBridge, bucket S3 Anda (saat dikonfigurasi), dan Detektif (saat terintegrasi). Untuk informasi tentang bagaimana GuardDuty menggabungkan beberapa kejadian temuan yang ada, lihat. [GuardDuty menemukan agregasi](finding-aggregation.md)

Saat mengonfigurasi setelan untuk mengekspor temuan ke bucket Amazon S3, GuardDuty gunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data temuan di bucket S3. Ini mengharuskan Anda untuk menambahkan izin ke bucket S3 dan AWS KMS kuncinya sehingga GuardDuty dapat menggunakannya untuk mengekspor temuan di akun Anda.

**Topics**
+ [Pertimbangan-pertimbangan](#guardduty-export-findings-considerations)
+ [Langkah 1 - Izin diperlukan untuk mengekspor temuan](#guardduty_exportfindings-permissions)
+ [Langkah 2 - Melampirkan kebijakan ke kunci KMS Anda](#guardduty-exporting-findings-kms-policy)
+ [Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3](#guardduty_exportfindings-s3-policies)
+ [Langkah 4 - Mengekspor temuan ke bucket S3 (Konsol)](#guardduty_exportfindings-new-bucket)
+ [Langkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui](#guardduty_exportfindings-frequency)

## Pertimbangan-pertimbangan
<a name="guardduty-export-findings-considerations"></a>

Sebelum melanjutkan dengan prasyarat dan langkah-langkah untuk mengekspor temuan, pertimbangkan konsep-konsep kunci berikut:
+ **Pengaturan ekspor bersifat regional** - Anda perlu mengonfigurasi opsi ekspor di setiap Wilayah tempat Anda menggunakan GuardDuty.
+ **Mengekspor temuan ke bucket Amazon S3 di Wilayah AWS berbagai (Lintas wilayah**) GuardDuty — mendukung pengaturan ekspor berikut:
  + Bucket atau objek Amazon S3 Anda, dan AWS KMS kunci harus milik yang sama. Wilayah AWS
  + Untuk temuan yang dihasilkan di Wilayah komersial, Anda dapat memilih untuk mengekspor temuan ini ke ember S3 di Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan ini ke bucket S3 di Wilayah keikutsertaan.
  + Untuk temuan yang dihasilkan di Wilayah keikutsertaan, Anda dapat memilih untuk mengekspor temuan ini ke Wilayah keikutsertaan yang sama di mana mereka dihasilkan atau Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan dari satu Wilayah keikutsertaan ke Wilayah keikutsertaan lainnya.
+ **Izin untuk mengekspor temuan** — Untuk mengonfigurasi pengaturan untuk mengekspor temuan aktif, bucket S3 Anda harus memiliki izin yang memungkinkan GuardDuty untuk mengunggah objek. Anda juga harus memiliki AWS KMS kunci yang GuardDuty dapat digunakan untuk mengenkripsi temuan.
+ **Temuan yang diarsipkan tidak diekspor** — Perilaku default adalah bahwa temuan yang diarsipkan, termasuk contoh baru dari temuan yang ditekan, tidak diekspor. 

  Ketika sebuah GuardDuty temuan dihasilkan sebagai *Diarsipkan*, Anda harus *Membatalkan pengarsipannya*. Ini mengubah **status pencarian Filter** menjadi **Aktif**. GuardDuty mengekspor pembaruan ke temuan yang tidak diarsipkan yang ada berdasarkan cara Anda mengonfigurasi. [Langkah 5 - Frekuensi untuk mengekspor temuan](#guardduty_exportfindings-frequency)
+ **GuardDuty Akun administrator dapat mengekspor temuan yang dihasilkan di akun anggota terkait** — Saat Anda mengonfigurasi temuan ekspor di akun administrator, semua temuan dari akun anggota terkait yang dihasilkan di Wilayah yang sama juga diekspor ke lokasi yang sama dengan yang Anda konfigurasikan untuk akun administrator. Untuk informasi selengkapnya, lihat [Memahami hubungan antara akun GuardDuty administrator dan akun anggota](administrator_member_relationships.md).

## Langkah 1 - Izin diperlukan untuk mengekspor temuan
<a name="guardduty_exportfindings-permissions"></a>

Saat mengonfigurasi setelan untuk mengekspor temuan, Anda memilih bucket Amazon S3 tempat Anda dapat menyimpan temuan dan kunci AWS KMS yang akan digunakan untuk enkripsi data. Selain izin untuk GuardDuty tindakan, Anda juga harus memiliki izin untuk tindakan berikut agar berhasil mengonfigurasi pengaturan untuk mengekspor temuan:
+ `s3:GetBucketLocation`
+ `s3:PutObject`

Jika Anda perlu mengekspor temuan ke awalan tertentu di bucket Amazon S3, Anda juga harus menambahkan izin berikut ke peran IAM:
+ `s3:GetObject`
+ `s3:ListBucket`

## Langkah 2 - Melampirkan kebijakan ke kunci KMS Anda
<a name="guardduty-exporting-findings-kms-policy"></a>

GuardDuty mengenkripsi data temuan di bucket Anda dengan menggunakan. AWS Key Management Service Agar berhasil mengkonfigurasi pengaturan, Anda harus terlebih dahulu memberikan GuardDuty izin untuk menggunakan kunci KMS. Anda dapat memberikan izin dengan [melampirkan kebijakan ke kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) KMS Anda. 

Saat Anda menggunakan kunci KMS dari akun lain, Anda perlu menerapkan kebijakan kunci dengan masuk ke Akun AWS yang memiliki kunci tersebut. Saat Anda mengonfigurasi pengaturan untuk mengekspor temuan, Anda juga memerlukan ARN kunci dari akun yang memiliki kunci tersebut.

**Untuk memodifikasi kebijakan kunci KMS GuardDuty untuk mengenkripsi temuan Anda yang diekspor**

1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Pilih kunci KMS yang ada atau lakukan langkah-langkah untuk [Membuat kunci baru](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*, yang akan Anda gunakan untuk mengenkripsi temuan yang diekspor.
**catatan**  
Kunci KMS Anda dan bucket Amazon S3 harus sama. Wilayah AWS 

   Anda dapat menggunakan bucket S3 dan key pair KMS yang sama untuk mengekspor temuan dari Wilayah mana pun yang berlaku. Untuk informasi selengkapnya, lihat [Pertimbangan-pertimbangan](#guardduty-export-findings-considerations) untuk mengekspor temuan di seluruh Wilayah.

1. Di bagian **Kebijakan kunci**, pilih **Edit**. 

   Jika **Beralih ke tampilan kebijakan** ditampilkan, pilih untuk menampilkan **Kebijakan kunci**, lalu pilih **Edit**. 

1. Salin blok kebijakan berikut ke kebijakan kunci KMS Anda, untuk memberikan GuardDuty izin menggunakan kunci Anda.

   ```
   {    
       "Sid": "AllowGuardDutyKey",
       "Effect": "Allow",
       "Principal": {
           "Service": "guardduty.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "KMS key ARN",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "123456789012",
               "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
           }
       }
   }
   ```

1. Edit kebijakan dengan mengganti nilai berikut yang diformat **red**dalam contoh kebijakan: 

   1. Ganti *KMS key ARN* dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS. *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *

   1. Ganti *123456789012* dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.

   1. Ganti *Region2* dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.

   1. Ganti *SourceDetectorID* dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. `detectorID`

      Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
**catatan**  
Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat [GuardDuty titik akhir](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dan kuota.

1. Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON dari kebijakan kunci KMS Anda valid.

   Pilih **Simpan**.

1. (Opsional) salin kunci ARN ke notepad untuk digunakan pada langkah selanjutnya.

## Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3
<a name="guardduty_exportfindings-s3-policies"></a>

Tambahkan izin ke bucket Amazon S3 tempat Anda akan mengekspor temuannya GuardDuty sehingga dapat mengunggah objek ke bucket S3 ini. Terlepas dari penggunaan bucket Amazon S3 milik akun Anda atau yang berbeda Akun AWS, Anda harus menambahkan izin ini.

Jika suatu saat, Anda memutuskan untuk mengekspor temuan ke bucket S3 yang berbeda, lalu untuk melanjutkan mengekspor temuan, Anda harus menambahkan izin ke bucket S3 tersebut dan mengonfigurasi pengaturan temuan ekspor lagi.

Jika Anda belum memiliki bucket Amazon S3 tempat Anda ingin mengekspor temuan ini, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) di Panduan Pengguna *Amazon S3*.

### Untuk melampirkan izin ke kebijakan bucket S3 Anda
<a name="bucket-policy"></a>

1. Lakukan langkah-langkah di bawah [Untuk membuat atau mengedit kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di *Panduan Pengguna Amazon S3*, hingga halaman **Edit kebijakan bucket muncul**.

1. **Kebijakan contoh** menunjukkan cara memberikan GuardDuty izin untuk mengekspor temuan ke bucket Amazon S3 Anda. Jika Anda mengubah jalur setelah mengonfigurasi temuan ekspor, Anda harus mengubah kebijakan untuk memberikan izin ke lokasi baru.

   Salin **contoh kebijakan** berikut dan tempelkan ke **editor kebijakan Bucket**.

   Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON dari kebijakan kunci KMS Anda valid.

   **Kebijakan contoh bucket S3**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Allow GetBucketLocation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:GetBucketLocation",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "Allow PutObject",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "Deny unencrypted object uploads",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "Deny incorrect encryption header",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                   "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                   }
               }
           },
           {
               "Sid": "Deny non-HTTPS access",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }
   ```

------

1. Edit kebijakan dengan mengganti nilai berikut yang diformat **red**dalam contoh kebijakan: 

   1. Ganti *Amazon S3 bucket ARN* dengan Nama Sumber Daya Amazon (ARN) dari bucket Amazon S3. Anda dapat menemukan **Bucket ARN** di halaman **kebijakan Edit bucket** di konsol. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Ganti *123456789012* dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.

   1. Ganti *us-east-2* dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.

   1. Ganti *SourceDetectorID* dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. `detectorID`

      Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

   1. Ganti *[optional prefix]* bagian dari nilai *S3 bucket ARN/[optional prefix]* placeholder dengan lokasi folder opsional yang ingin Anda ekspor temuannya. *Untuk informasi selengkapnya tentang penggunaan awalan, lihat [Mengatur objek menggunakan awalan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) di Panduan Pengguna Amazon S3.*

      Bila Anda menyediakan lokasi folder opsional yang belum ada, GuardDuty akan membuat lokasi tersebut hanya jika akun yang terkait dengan bucket S3 sama dengan akun yang mengekspor temuan. Saat Anda mengekspor temuan ke bucket S3 milik akun lain, lokasi folder harus sudah ada.

   1. Ganti *KMS key ARN* dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS yang terkait dengan enkripsi temuan yang diekspor ke bucket S3. *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *
**catatan**  
Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat [GuardDuty titik akhir](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dan kuota.

1. Pilih **Simpan**.

## Langkah 4 - Mengekspor temuan ke bucket S3 (Konsol)
<a name="guardduty_exportfindings-new-bucket"></a>

GuardDuty memungkinkan Anda untuk mengekspor temuan ke ember yang ada di ember lain Akun AWS.

Saat membuat bucket S3 baru atau memilih bucket yang ada di akun Anda, Anda dapat menambahkan awalan opsional. Saat mengonfigurasi temuan ekspor, GuardDuty buat folder baru di bucket S3 untuk temuan Anda. Awalan akan ditambahkan ke struktur folder default yang GuardDuty dibuat. Misalnya, format awalan `/AWSLogs/123456789012/GuardDuty/Region` opsional. 

Seluruh jalur objek S3 akan menjadi`amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`. `UUID`Ini dihasilkan secara acak dan tidak mewakili ID detektor atau ID temuan.

**penting**  
Kunci KMS dan bucket S3 harus berada di Wilayah yang sama.

Sebelum menyelesaikan langkah-langkah ini, pastikan Anda telah melampirkan kebijakan masing-masing ke kunci KMS dan bucket S3 yang ada.

**Untuk mengonfigurasi temuan ekspor**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Pada panel navigasi, silakan pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, di bawah **opsi ekspor temuan**, untuk **bucket S3**, pilih **Konfigurasi sekarang** (atau **Edit**, sesuai kebutuhan).

1. Untuk **ember S3 ARN**, masukkan. ****bucket ARN**** Untuk menemukan bucket ARN, lihat [Melihat properti untuk bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) di Panduan Pengguna *Amazon* S3.

1. Untuk **ARN kunci KMS**, masukkan file. ****key ARN**** *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *

1. 

**Lampirkan kebijakan**
   + Lakukan langkah-langkah untuk melampirkan kebijakan bucket S3. Untuk informasi selengkapnya, lihat [Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3](#guardduty_exportfindings-s3-policies).
   + Lakukan langkah-langkah untuk melampirkan kebijakan kunci KMS. Untuk informasi selengkapnya, lihat [Langkah 2 - Melampirkan kebijakan ke kunci KMS Anda](#guardduty-exporting-findings-kms-policy).

1. Pilih **Simpan**.

## Langkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui
<a name="guardduty_exportfindings-frequency"></a>

Konfigurasikan frekuensi untuk mengekspor temuan aktif yang diperbarui sesuai dengan lingkungan Anda. Secara default, temuan yang diperbarui diekspor setiap 6 jam. Ini berarti bahwa setiap temuan yang diperbarui setelah ekspor terbaru akan disertakan dalam ekspor berikutnya. Jika temuan yang diperbarui diekspor setiap 6 jam dan ekspor dilakukan pada pukul 12:00, setiap temuan yang Anda perbarui setelah pukul 12:00 akan diekspor pada pukul 18:00.

**Untuk mengatur frekuensi**

1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Pilih **Pengaturan**.

1. Di bagian **Opsi ekspor temuan**, pilih **Frekuensi untuk temuan yang diperbarui**. Ini menetapkan frekuensi untuk mengekspor temuan Aktif yang diperbarui ke keduanya EventBridge dan Amazon S3. Anda dapat memilih dari opsi berikut:
   + **Perbarui EventBridge dan S3 setiap 15 menit**
   + **Update EventBridge dan S3 setiap 1 jam**
   + **Perbarui EventBridge dan S3 setiap 6 jam (default)**

1. Pilih **Simpan perubahan**.

# Memproses GuardDuty temuan dengan Amazon EventBridge
<a name="guardduty_findings_eventbridge"></a>

GuardDuty secara otomatis menerbitkan (mengirim) temuan sebagai peristiwa ke Amazon EventBridge (sebelumnya CloudWatch Amazon Events), layanan bus acara tanpa server. EventBridge mengirimkan aliran data hampir real-time dari aplikasi dan layanan ke target seperti topik, fungsi, dan aliran Amazon Simple Notification Service (Amazon SNS), fungsi, AWS Lambda dan Amazon Kinesis. Untuk informasi selengkapnya, lihat [Panduan EventBridge Pengguna Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).

EventBridge memungkinkan pemantauan dan pemrosesan GuardDuty temuan secara otomatis dengan menerima [acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge menerima peristiwa untuk temuan yang baru dihasilkan dan temuan agregat, di mana kejadian selanjutnya dari temuan yang ada digabungkan dengan aslinya. Setiap GuardDuty temuan diberi ID temuan, dan GuardDuty membuat EventBridge acara untuk setiap temuan dengan ID temuan unik. Untuk informasi tentang cara kerja agregasi GuardDuty, lihat[GuardDuty menemukan agregasi](finding-aggregation.md). 

Selain pemantauan dan pemrosesan otomatis, penggunaan EventBridge memungkinkan retensi jangka panjang dari data temuan Anda. GuardDuty menyimpan temuan selama 90 hari. Dengan EventBridge, Anda dapat mengirim data temuan ke platform penyimpanan pilihan Anda dan menyimpan data selama yang Anda suka. Untuk mempertahankan temuan untuk durasi yang lebih lama, GuardDuty mendukung[Mengekspor temuan yang dihasilkan ke Amazon S3](guardduty_exportfindings.md).

**Topics**
+ [EventBridge Frekuensi pemberitahuan di GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Siapkan topik dan titik akhir Amazon SNS](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Menggunakan EventBridge dengan GuardDuty](#eventbridge_events)
+ [Membuat EventBridge aturan](#guardduty_eventbridge_severity_notification)
+ [EventBridge aturan untuk lingkungan multi-akun](#guardduty_findings_eventbridge_multiaccount)

## Memahami frekuensi EventBridge notifikasi di GuardDuty
<a name="eventbridge-freq-notifications-gdu"></a>

Bagian ini menjelaskan seberapa sering Anda menerima pemberitahuan pencarian melalui EventBridge dan cara memperbarui frekuensi untuk kejadian temuan berikutnya.

**Pemberitahuan untuk temuan yang baru dibuat dengan ID temuan unik**  
GuardDuty mengirimkan notifikasi ini dalam waktu dekat saat menghasilkan temuan dengan ID temuan unik. Pemberitahuan mencakup semua kejadian berikutnya dari kejadian berikutnya dari ID temuan ini selama proses pembuatan notifikasi.  
Frekuensi notifikasi untuk temuan yang baru dihasilkan mendekati waktu nyata. Secara default, Anda tidak dapat memodifikasi frekuensi ini.

**Pemberitahuan untuk kejadian temuan selanjutnya**  
GuardDuty menggabungkan semua kejadian berikutnya dari jenis temuan tertentu yang terjadi dalam interval 6 jam menjadi satu peristiwa tunggal. Hanya akun administrator yang dapat memperbarui frekuensi EventBridge notifikasi untuk kejadian penemuan berikutnya. Akun anggota tidak dapat memperbarui frekuensi ini untuk akun mereka sendiri. Misalnya, jika akun GuardDuty administrator yang didelegasikan memperbarui frekuensi menjadi satu jam, semua akun anggota juga akan memiliki frekuensi pemberitahuan satu jam tentang kejadian temuan berikutnya yang dikirim ke. EventBridge Untuk informasi selengkapnya, lihat [Beberapa akun di Amazon GuardDuty](guardduty_accounts.md).  
Sebagai akun administrator, Anda dapat menyesuaikan frekuensi default pemberitahuan tentang kejadian temuan berikutnya. Nilai yang mungkin adalah 15 menit, 1 jam, atau default 6 jam. Untuk informasi tentang menyetel frekuensi notifikasi ini, lihat[Langkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui](guardduty_exportfindings.md#guardduty_exportfindings-frequency).

Untuk detail selengkapnya tentang akun administrator yang menerima EventBridge pemberitahuan untuk akun anggota, lihat[EventBridge aturan untuk lingkungan multi-akun](#guardduty_findings_eventbridge_multiaccount).

## Siapkan topik dan titik akhir Amazon SNS (Email, Slack, dan Amazon Chime)
<a name="guardduty-eventbridge-set-up-sns-and-endpoint"></a>

Amazon Simple Notification Service (Amazon SNS) adalah layanan terkelola penuh yang menyediakan pengiriman pesan dari penerbit ke pelanggan. *Penerbit berkomunikasi secara asinkron dengan pelanggan dengan mengirim pesan ke suatu topik.* Topik adalah jalur akses logis dan saluran komunikasi yang memungkinkan Anda mengelompokkan beberapa titik akhir seperti AWS Lambda, Amazon Simple Queue Service (Amazon SQS), HTTP/S, dan alamat email. 

**catatan**  
Anda dapat menambahkan topik Amazon SNS ke aturan EventBridge acara pilihan Anda selama atau setelah pembuatan aturan.

**Buat topik Amazon SNS**  
Untuk memulai, Anda harus terlebih dahulu menyiapkan topik di Amazon SNS dan menambahkan titik akhir. Untuk membuat topik, lakukan langkah-langkah di [Langkah 1: Membuat topik](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) di *Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon*. Setelah topik dibuat, salin topik ARN ke clipboard. Anda akan menggunakan topik ini ARN untuk melanjutkan dengan salah satu pengaturan yang disukai. 

Pilih metode yang disukai untuk menentukan di mana Anda ingin mengirim data GuardDuty pencarian.

------
#### [ Email setup ]

**Untuk menyiapkan titik akhir email**

Setelah Anda[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), langkah selanjutnya adalah membuat langganan topik ini. Lakukan langkah-langkah di bawah [Langkah 2: Membuat langganan ke topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) di Panduan *Pengembang Layanan Pemberitahuan Sederhana Amazon*. 

1. Untuk **Topik ARN**, gunakan topik ARN yang dibuat di langkah. [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) Topik ARN terlihat mirip dengan yang berikut ini:

   ```
   arn:aws:sns:us-east-2:123456789012:your_topic
   ```

1. Untuk **Protokol**, pilih **Email**.

1. Untuk **Endpoint**, masukkan alamat email tempat Anda ingin menerima notifikasi dari Amazon SNS.

   Setelah langganan dibuat, Anda harus mengonfirmasinya melalui klien email Anda.

------
#### [ Slack setup ]

**Untuk mengkonfigurasi Pengembang Amazon Q di klien aplikasi obrolan - Slack**

Setelah Anda[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), langkah selanjutnya adalah mengkonfigurasi klien untuk Slack.

Lakukan langkah-langkah di bawah [Tutorial: Mulai dengan Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) di *Pengembang Amazon Q di aplikasi obrolan Panduan Administrator*.

------
#### [ Chime setup ]

**Untuk mengkonfigurasi Pengembang Amazon Q di klien aplikasi obrolan - Chime**

Setelah Anda[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), langkah selanjutnya adalah mengonfigurasi Pengembang Amazon Q untuk Chime.

Lakukan langkah-langkah di bawah [Tutorial: Mulai dengan Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) di *Pengembang Amazon Q dalam aplikasi obrolan Panduan Administrator*.

------

## Menggunakan Amazon EventBridge untuk GuardDuty temuan
<a name="eventbridge_events"></a>

Dengan EventBridge, Anda membuat aturan untuk menentukan peristiwa yang ingin Anda pantau. Aturan ini juga menentukan layanan target dan aplikasi yang dapat melakukan tindakan otomatis jika peristiwa ini terjadi. [Target](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) adalah tujuan (sumber daya atau titik akhir) yang EventBridge mengirimkan peristiwa ke saat acara cocok dengan pola acara yang ditentukan dalam aturan. Setiap peristiwa adalah objek JSON yang sesuai dengan EventBridge skema untuk AWS peristiwa dan berisi representasi JSON dari sebuah temuan. Anda dapat menyesuaikan aturan untuk mengirim hanya acara-acara yang memenuhi kriteria tertentu. Untuk informasi selengkapnya, lihat [Topik Skema JSON]. Karena data temuan disusun sebagai suatu [EventBridgeperistiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html), Anda dapat memantau, memproses, dan menindaklanjuti temuan dengan menggunakan aplikasi, layanan, dan alat lain.

Untuk menerima pemberitahuan tentang GuardDuty temuan berdasarkan peristiwa, Anda harus membuat EventBridge aturan dan target untuk GuardDuty. Aturan ini memungkinkan EventBridge untuk mengirim pemberitahuan untuk temuan yang GuardDuty menghasilkan target yang ditentukan dalam aturan. 

**catatan**  
EventBridge dan CloudWatch Acara adalah layanan dan API dasar yang sama. Namun, EventBridge termasuk fitur tambahan yang membantu Anda menerima acara dari aplikasi perangkat lunak sebagai layanan (SaaS) dan aplikasi Anda sendiri. Karena layanan dan API yang mendasarinya sama, skema peristiwa untuk GuardDuty temuan juga sama.

**Bagaimana temuan yang diarsipkan dan tidak diarsipkan bekerja dengan GuardDuty EventBridge**

Untuk temuan yang Anda arsipkan secara manual, kejadian awal dan semua kejadian selanjutnya dari temuan ini (dihasilkan setelah pengarsipan selesai) dikirim EventBridge berdasarkan frekuensi pemberitahuan tertentu. Untuk informasi selengkapnya, lihat [Memahami frekuensi EventBridge notifikasi di GuardDuty](#eventbridge-freq-notifications-gdu).

Untuk temuan yang secara otomatis diarsipkan dengan[Aturan penekanan](findings_suppression-rule.md), awal dan semua kejadian selanjutnya dari temuan ini (dihasilkan setelah pengarsipan selesai) *tidak* dikirim ke. EventBridge Anda dapat melihat temuan yang diarsipkan secara otomatis ini di GuardDuty konsol.

### Skema peristiwa
<a name="guardduty_findings_eventbridge_format"></a>

[Pola peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) mendefinisikan data yang EventBridge digunakan untuk menentukan apakah akan mengirim acara ke target. EventBridgeAcara untuk GuardDuty memiliki format sebagai berikut:

```
{
         "version": "0",
         "id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
         "detail-type": "GuardDuty Finding",
         "source": "aws.guardduty",
         "account": "111122223333",
         "time": "1970-01-01T00:00:00Z",
         "region": "us-east-1",
         "resources": [],
         "detail": {GUARDDUTY_FINDING_JSON_OBJECT}
        }
```

`detail`Nilai mengembalikan rincian JSON dari temuan tunggal sebagai objek, sebagai lawan mengembalikan seluruh sintaks respons *temuan* yang mendukung beberapa temuan dalam array.

Untuk daftar lengkap semua parameter yang disertakan`GUARDDUTY_FINDING_JSON_OBJECT`, lihat [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). Parameter `id` yang muncul di `GUARDDUTY_FINDING_JSON_OBJECT` adalah ID temuan yang telah dijelaskan sebelumnya.

## Membuat EventBridge aturan untuk GuardDuty temuan
<a name="guardduty_eventbridge_severity_notification"></a>

Prosedur berikut menjelaskan cara menggunakan EventBridge konsol Amazon dan [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) untuk membuat EventBridge aturan untuk GuardDuty temuan. Aturan mendeteksi EventBridge peristiwa yang menggunakan skema dan pola peristiwa untuk GuardDuty temuan, dan mengirimkan peristiwa tersebut ke AWS Lambda fungsi untuk diproses.

AWS Lambda adalah layanan komputasi yang dapat Anda gunakan untuk menjalankan kode tanpa menyediakan atau mengelola server. Anda mengemas kode Anda dan mengunggahnya AWS Lambda sebagai fungsi *Lambda*. AWS Lambda kemudian menjalankan fungsi ketika fungsi dipanggil. Fungsi dapat dipanggil secara manual oleh Anda, secara otomatis dalam respons terhadap peristiwa, atau dalam merespons atas permintaan dari aplikasi atau layanan. Untuk informasi tentang membuat dan memanggil fungsi Lambda, lihat [Panduan Developer AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).

Pilih metode pilihan Anda untuk membuat EventBridge aturan yang mengirimkan GuardDuty temuan Anda ke target.

------
#### [ Console ]

Ikuti langkah-langkah berikut untuk menggunakan EventBridge konsol Amazon untuk membuat aturan yang secara otomatis mengirimkan semua peristiwa GuardDuty pencarian ke fungsi Lambda untuk diproses. Aturan menggunakan pengaturan default untuk aturan yang berjalan saat peristiwa tertentu diterima. Untuk detail tentang setelan aturan atau mempelajari cara membuat aturan yang menggunakan setelan khusus, lihat [Membuat aturan yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna Amazon*. 

Sebelum Anda membuat aturan ini, buat fungsi Lambda yang Anda inginkan aturan tersebut digunakan sebagai target. Saat Anda membuat aturan tersebut, Anda harus menentukan fungsi ini sebagai target aturan. Target Anda juga bisa menjadi topik SNS yang Anda buat sebelumnya. Untuk informasi selengkapnya, lihat [Siapkan topik dan titik akhir Amazon SNS (Email, Slack, dan Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).

**Untuk membuat aturan acara dengan menggunakan konsol**

1. Masuk ke Konsol Manajemen AWS dan buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Di panel navigasi, di bawah **Bus**, pilih **Aturan**.

1. Di bagian **Aturan**, pilih **Buat aturan**.

1. Pada halaman **Define rule detail**, lakukan hal berikut:

   1. Untuk **Nama**, masukkan nama untuk aturan.

   1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi singkat tentang aturan.

   1. Untuk **bus Acara**, pastikan bahwa **default** dipilih dan **Aktifkan aturan pada bus acara yang dipilih** diaktifkan.

   1. Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.

   1. Setelah selesai, pilih **Selanjutnya**.

1. Pada halaman **pola acara Build**, lakukan hal berikut:

   1. Untuk **sumber Acara**, pilih **AWS acara atau acara EventBridge mitra**.

   1. (Opsional) Untuk **acara Sampel**, tinjau peristiwa pencarian sampel GuardDuty untuk mempelajari apa yang mungkin terkandung dalam suatu peristiwa. Untuk melakukan ini, pilih **AWS acara**. Kemudian, untuk **acara Contoh**, pilih **GuardDutyMenemukan**.

   1. 

**Opsi 1 - Menggunakan formulir pola, template yang EventBridge menyediakan**

      Di bagian **Pola acara**, Anda dapat melakukan hal berikut: 

      1. Untuk **metode Creation**, pilih **Gunakan formulir pola**.

      1. Untuk **Sumber peristiwa**, pilih **Layanan AWS**.

      1. Untuk **Layanan AWS**, pilih **GuardDuty**.

      1. Untuk **jenis Event**, pilih **GuardDuty Finding**.

      Setelah selesai, pilih **Selanjutnya**.

   1. 

**Opsi 2 - Menggunakan pola acara kustom di JSON**

      Di bagian **Pola acara**, Anda dapat melakukan hal berikut: 

      1. Untuk **metode Creation**, pilih **Custom pattern (JSON editor)**.

      1. Untuk **pola Peristiwa**, tempel JSON kustom berikut yang akan membuat peringatan untuk temuan sedang, tinggi, dan kritis. Untuk informasi selengkapnya, lihat [Temuan tingkat keparahan](guardduty_findings-severity.md).

         ```
         {
           "source": [
             "aws.guardduty"
           ],
           "detail-type": [
             "GuardDuty Finding"
           ],
           "detail": {
             "severity": [
               4,
               4.0,
               4.1,
               4.2,
               4.3,
               4.4,
               4.5,
               4.6,
               4.7,
               4.8,
               4.9,
               5,
               5.0,
               5.1,
               5.2,
               5.3,
               5.4,
               5.5,
               5.6,
               5.7,
               5.8,
               5.9,
               6,
               6.0,
               6.1,
               6.2,
               6.3,
               6.4,
               6.5,
               6.6,
               6.7,
               6.8,
               6.9,
               7,
               7.0,
               7.1,
               7.2,
               7.3,
               7.4,
               7.5,
               7.6,
               7.7,
               7.8,
               7.9,
               8,
               8.0,
               8.1,
               8.2,
               8.3,
               8.4,
               8.5,
               8.6,
               8.7,
               8.8,
               8.9,
               9,
               9.0,
               9.1,
               9.2,
               9.3,
               9.4,
               9.5,
               9.6,
               9.7,
               9.8,
               9.9,
               10,
               10.0
             ]
           }
         }
         ```

      Setelah selesai, pilih **Selanjutnya**.

1. 

**Opsi A - Memilih Layanan AWS - AWS Lambda sebagai target**

   Pada halaman **Pilih target**, lakukan hal berikut:

   1. Untuk **jenis Target**, pilih **Layanan AWS**.

   1. Untuk **Pilih target**, pilih **Fungsi Lambda**. Kemudian, untuk **Fungsi**, pilih fungsi Lambda yang ingin Anda kirimi acara pencarian.

   1. Untuk **Konfigurasi versi/alias**, masukkan pengaturan versi atau alias untuk fungsi Lambda target.

   1. (Opsional) Untuk **Pengaturan tambahan**, masukkan pengaturan khusus untuk menentukan data peristiwa mana yang ingin Anda kirim ke fungsi Lambda. Anda juga dapat menentukan cara menangani peristiwa yang tidak berhasil dikirim ke fungsi.

   1. Setelah selesai, pilih **Selanjutnya**.

1. 

**Opsi B - Memilih topik SNS sebagai target**

   Pada halaman **Pilih target**, lakukan hal berikut:

   1. Untuk **jenis Target**, pilih **Layanan AWS**.

   1. Untuk **Pilih target**, pilih **Topik SNS**. Kemudian, untuk **lokasi Target**, pilih opsi yang sesuai berdasarkan lokasi target Anda. Untuk **Topik**, pilih nama topik SNS yang Anda buat.

   1. Perluas **Pengaturan tambahan**. Untuk **Konfigurasi input target**, pilih **Trafo input**.

   1. Pilih **Konfigurasikan transformator input**. 

   1. Salin kode berikut dan tempel di bidang **Input Path** di bawah bagian **Transformator input target**.

      ```
      {
          "severity": "$.detail.severity",
          "Account_ID": "$.detail.accountId",
          "Finding_ID": "$.detail.id",
          "Finding_Type": "$.detail.type",
          "region": "$.region",
          "Finding_description": "$.detail.description"
      }
      ```

   1. Salin kode berikut dan tempel ke bidang **Template** untuk memformat email.

      ```
      "You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> Region."
      "Finding Description:"
      "<Finding_description>. "
      "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"
      ```

1. Pada halaman **Konfigurasi tag**, secara opsional masukkan satu atau beberapa tag untuk ditetapkan ke aturan. Lalu pilih **Selanjutnya**.

1. Pada halaman **Tinjau dan buat**, tinjau setelan aturan dan verifikasi apakah sudah benar.

   Untuk mengubah pengaturan, pilih **Edit** di bagian yang berisi pengaturan, lalu masukkan pengaturan yang benar. Anda juga dapat menggunakan tab navigasi untuk membuka halaman yang berisi pengaturan.

1. Setelah Anda selesai memverifikasi pengaturan, pilih **Buat aturan**.

------
#### [ API ]

Prosedur berikut menunjukkan cara menggunakan AWS CLI perintah untuk membuat EventBridge aturan dan target untuk GuardDuty. Secara khusus, prosedur ini menunjukkan kepada Anda cara membuat aturan yang memungkinkan EventBridge untuk mengirim peristiwa untuk semua temuan yang GuardDuty dihasilkan ke AWS Lambda fungsi sebagai target aturan. 

**catatan**  
Dalam contoh ini, kita menggunakan fungsi Lambda sebagai target untuk aturan yang memicu. EventBridge Anda juga dapat mengonfigurasi AWS sumber daya lain sebagai target yang akan dipicu EventBridge. GuardDuty dan EventBridge mendukung jenis target berikut - instans Amazon EC2, aliran Amazon Kinesis, tugas Amazon ECS, mesin status AWS Step Functions , perintah, dan target bawaan. `run` Untuk informasi selengkapnya, lihat [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)di *Referensi Amazon EventBridge API*.

**Untuk membuat aturan dan target**

1. Untuk membuat aturan yang memungkinkan EventBridge untuk mengirim peristiwa untuk semua temuan yang GuardDuty dihasilkan, jalankan perintah EventBridge CLI berikut.

   ```
   aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
   ```

   Anda dapat menyesuaikan aturan Anda lebih lanjut sehingga menginstruksikan EventBridge untuk mengirim peristiwa hanya untuk subset dari temuan GuardDuty yang dihasilkan. Subset ini didasarkan pada atribut temuan atau atribut yang ditentukan dalam aturan. Misalnya, gunakan perintah CLI berikut untuk membuat aturan yang memungkinkan EventBridge untuk hanya mengirim peristiwa untuk GuardDuty temuan dengan tingkat keparahan 5 atau 8: 

   ```
   aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
   ```

   Untuk tujuan ini, Anda dapat menggunakan salah satu nilai properti yang tersedia di JSON untuk GuardDuty temuan. 

1. Untuk melampirkan fungsi Lambda sebagai target untuk aturan yang Anda buat di langkah 1, jalankan perintah CLI berikut CloudWatch .

   ```
   aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
   ```

   Pastikan untuk mengganti perintah `your-target-name` di atas dengan fungsi Lambda Anda yang sebenarnya untuk acara tersebut. GuardDuty 

1. Untuk menambahkan izin yang diperlukan untuk memanggil target, jalankan perintah CLI Lambda berikut.

   ```
   aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
   ```

   Pastikan untuk mengganti perintah `your_function` di atas dengan fungsi Lambda Anda yang sebenarnya untuk acara tersebut. GuardDuty 

------

## EventBridge aturan untuk lingkungan GuardDuty multi-akun
<a name="guardduty_findings_eventbridge_multiaccount"></a>

Saat menggunakan akun GuardDuty administrator yang didelegasikan, Anda dapat melihat peristiwa yang dihasilkan di akun anggota dan mengambil tindakan menggunakan aplikasi dan layanan lain. EventBridge aturan di akun administrator Anda akan dipicu berdasarkan temuan yang berlaku dari akun anggota Anda. Jika Anda mengatur pencarian notifikasi melalui EventBridge akun administrator Anda, Anda akan menerima pemberitahuan temuan dari akun dan akun anggota Anda. Misalnya, Anda dapat menggunakan EventBridge untuk mengirim jenis temuan tertentu ke fungsi Lambda yang memproses dan mengirim data ke sistem manajemen insiden dan peristiwa keamanan (SIEM) Anda.

Anda dapat mengidentifikasi akun anggota tempat GuardDuty temuan itu berasal menggunakan `accountId` bidang detail JSON temuan. Untuk membuat aturan acara khusus untuk akun anggota tertentu, buat aturan baru dan gunakan templat berikut dalam **pola Acara**. Ganti *123456789012* dengan akun anggota yang ingin Anda picu acara. `accountId`

```
{
  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ],
  "detail": {
    "accountId": [
      "123456789012"
    ]
  }
}
```

**catatan**  
Contoh ini membuat aturan yang cocok dengan semua temuan dari ID akun yang ditentukan. Anda dapat menyertakan beberapa akun IDs dengan memisahkannya dengan koma, mengikuti sintaks JSON.

# Memahami CloudWatch Log dan alasan melewatkan sumber daya selama Perlindungan Malware untuk pemindaian EC2
<a name="malware-protection-auditing-scan-logs"></a>

GuardDuty Perlindungan Malware untuk EC2 menerbitkan peristiwa ke grup CloudWatch log Amazon Anda**/aws/guardduty/malware**-scan-events. Untuk setiap peristiwa yang terkait dengan pemindaian malware, Anda dapat memantau status dan hasil pemindaian sumber daya yang terkena dampak. Sumber daya Amazon EC2 tertentu dan volume Amazon EBS mungkin telah dilewati selama pemindaian Perlindungan Malware untuk EC2. 

## Mengaudit CloudWatch Log dalam Perlindungan GuardDuty Malware untuk EC2
<a name="mp-audit-cloudwatch-events"></a>

Ada tiga jenis peristiwa pemindaian yang didukung dalam grup log**/aws/guardduty/malware-scan-events** CloudWatch .


| Perlindungan Malware untuk nama acara pemindaian EC2 | Penjelasan | 
| --- | --- | 
|  `EC2_SCAN_STARTED`  |  Dibuat saat Perlindungan GuardDuty Malware untuk EC2 memulai proses pemindaian malware, seperti bersiap untuk mengambil snapshot dari volume EBS.  | 
|  `EC2_SCAN_COMPLETED`  |  Dibuat saat Perlindungan GuardDuty Malware untuk pemindaian EC2 selesai untuk setidaknya satu volume EBS dari sumber daya yang terkena dampak. Acara ini juga mencakup `snapshotId` yang termasuk dalam volume EBS yang dipindai. Setelah pemindaian selesai, hasil pemindaian akan menjadi`CLEAN`,`THREATS_FOUND`, atau`NOT_SCANNED`.  | 
|  `EC2_SCAN_SKIPPED`  |  Dibuat saat Perlindungan GuardDuty Malware untuk pemindaian EC2 melewatkan semua volume EBS dari sumber daya yang terkena dampak. Untuk mengidentifikasi alasan lewati, pilih acara yang sesuai, dan lihat detailnya. Untuk informasi lebih lanjut tentang alasan lewati, lihat [Alasan melewatkan sumber daya selama pemindaian malware](#mp-scan-skip-reasons) di bawah.   | 

**catatan**  
Jika Anda menggunakan AWS Organizations, CloudWatch log peristiwa dari akun anggota di Organizations akan dipublikasikan ke akun administrator dan grup log akun anggota.

Pilih metode akses pilihan Anda untuk melihat dan menanyakan CloudWatch acara.

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, di bawah **Log**, pilih **Grup log**. Pilih grup log**/aws/guardduty/malware-scan-events** untuk melihat peristiwa pemindaian untuk Perlindungan GuardDuty Malware untuk EC2. 

   Untuk menjalankan kueri, pilih **Wawasan Log**. 

   Untuk informasi tentang menjalankan kueri, lihat [Menganalisis data CloudWatch log dengan Wawasan Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) di *Panduan CloudWatch Pengguna Amazon*.

1. Pilih **Pindai ID** untuk memantau detail sumber daya yang terkena dampak dan temuan malware. Misalnya, Anda dapat menjalankan kueri berikut untuk memfilter peristiwa CloudWatch log dengan menggunakan`scanId`. Pastikan untuk menggunakan valid Anda sendiri*scan-id*.

   ```
   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc
   ```

------
#### [ API/CLI ]
+ Untuk bekerja dengan grup log, lihat [Cari entri log menggunakan AWS CLI di](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli) *Panduan CloudWatch Pengguna Amazon*. 

  Pilih grup log**/aws/guardduty/malware-scan-events** untuk melihat peristiwa pemindaian untuk Perlindungan GuardDuty Malware untuk EC2. 
+ Untuk melihat dan memfilter peristiwa log, lihat [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)dan [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html), masing-masing, di *Referensi Amazon CloudWatch API*. 

------

## GuardDuty Perlindungan Malware untuk retensi log EC2
<a name="malware-scan-event-log-retention"></a>

Periode penyimpanan log default untuk grup log**/aws/guardduty/malware-scan-events** adalah 90 hari, setelah itu peristiwa log dihapus secara otomatis. Untuk mengubah kebijakan penyimpanan log untuk grup CloudWatch log Anda, lihat [Mengubah penyimpanan data CloudWatch log di Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) di *Panduan CloudWatch Pengguna Amazon*, atau [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)di *Referensi CloudWatch API Amazon*.

## Alasan melewatkan sumber daya selama pemindaian malware
<a name="mp-scan-skip-reasons"></a>

Dalam peristiwa yang terkait dengan pemindaian malware, sumber daya EC2 dan volume EBS tertentu mungkin telah dilewati selama proses pemindaian. Tabel berikut mencantumkan alasan mengapa Perlindungan GuardDuty Malware untuk EC2 mungkin tidak memindai sumber daya. Jika berlaku, gunakan langkah-langkah yang diusulkan untuk mengatasi masalah ini, dan pindai sumber daya ini saat berikutnya Perlindungan GuardDuty Malware untuk EC2 memulai pemindaian malware. Masalah lain digunakan untuk memberi tahu Anda tentang jalannya acara dan tidak dapat ditindaklanjuti. 


| Alasan untuk melewatkan | Penjelasan | Langkah-langkah yang diusulkan | 
| --- | --- | --- | 
|  `RESOURCE_NOT_FOUND`  | Yang `resourceArn` disediakan untuk memulai pemindaian malware sesuai permintaan tidak ditemukan di lingkungan Anda AWS . | Validasi instans Amazon EC2 atau beban kerja container Anda, dan coba lagi. `resourceArn` | 
|  `ACCOUNT_INELIGIBLE`  | ID AWS akun tempat Anda mencoba memulai pemindaian malware On-Demand belum diaktifkan. GuardDuty | Verifikasi yang GuardDuty diaktifkan untuk AWS akun ini. Saat Anda mengaktifkan GuardDuty dalam yang baru, Wilayah AWS mungkin diperlukan waktu hingga 20 menit untuk menyinkronkan. | 
|  `UNSUPPORTED_KEY_ENCRYPTION`  |  GuardDuty Perlindungan Malware untuk EC2 mendukung volume yang tidak terenkripsi dan dienkripsi dengan kunci yang dikelola pelanggan. Itu tidak mendukung pemindaian volume EBS yang dienkripsi menggunakan enkripsi [Amazon](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html) EBS.  Saat ini, ada perbedaan regional di mana alasan lompatan ini tidak berlaku. Untuk informasi lebih lanjut tentang ini Wilayah AWS, lihat[Ketersediaan fitur khusus wilayah](guardduty_regions.md#gd-regional-feature-availability).  |  Ganti kunci enkripsi Anda dengan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang jenis enkripsi yang GuardDuty mendukung, lihat[Volume Amazon EBS yang didukung untuk pemindaian malware](gdu-malpro-supported-volumes.md).  | 
|  `EXCLUDED_BY_SCAN_SETTINGS`  |  Instans EC2 atau volume EBS dikecualikan selama pemindaian malware. Ada dua kemungkinan - baik tag ditambahkan ke daftar inklusi tetapi sumber daya tidak terkait dengan tag ini, tag ditambahkan ke daftar pengecualian dan sumber daya dikaitkan dengan tag ini, atau `GuardDutyExcluded` tag diatur `true` untuk sumber daya ini.  |  Perbarui opsi pemindaian atau tag yang terkait dengan sumber daya Amazon EC2 Anda. Untuk informasi selengkapnya, lihat [Opsi pindai dengan tag yang ditentukan pengguna](malware-protection-customizations.md#mp-scan-options).  | 
|  `UNSUPPORTED_VOLUME_SIZE`  |  Volumenya lebih besar dari 2048 GB.  |  Tidak bisa ditindaklanjuti.  | 
|  `NO_VOLUMES_ATTACHED`  |  GuardDuty Perlindungan Malware untuk EC2 menemukan instans di akun Anda tetapi tidak ada volume EBS yang dilampirkan ke instance ini untuk melanjutkan pemindaian.  |  Tidak bisa ditindaklanjuti.  | 
|  `UNABLE_TO_SCAN`  |  Ini adalah kesalahan layanan internal.  |  Tidak bisa ditindaklanjuti.  | 
|  `SNAPSHOT_NOT_FOUND`  |  Snapshot yang dibuat dari volume EBS dan dibagikan dengan akun layanan tidak ditemukan, dan Perlindungan GuardDuty Malware untuk EC2 tidak dapat melanjutkan pemindaian.  |  Periksa CloudTrail untuk memastikan bahwa snapshot tidak sengaja dihapus.  | 
|  `SNAPSHOT_QUOTA_REACHED`  |  Anda telah mencapai volume maksimum yang diizinkan untuk snapshot untuk setiap Wilayah. Ini mencegah tidak hanya mempertahankan tetapi juga membuat snapshot baru.   |  Anda dapat menghapus snapshot lama atau meminta peningkatan kuota. Anda dapat melihat batas default untuk Snapshot per Wilayah dan cara meminta peningkatan kuota di bawah [Kuota layanan](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) di Panduan Referensi *AWS Umum*.  | 
|  `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`  | Lebih dari 11 volume EBS dilampirkan ke instans EC2. GuardDuty Perlindungan Malware untuk EC2 memindai 11 volume EBS pertama, diperoleh dengan menyortir menurut abjad. `deviceName` | Tidak bisa ditindaklanjuti. | 
|  `UNSUPPORTED_PRODUCT_CODE_TYPE`  | GuardDuty dapat memindai sebagian besar contoh dengan `productCode` as`marketplace`. Beberapa instans pasar mungkin tidak memenuhi syarat untuk pemindaian. GuardDuty akan melewatkan contoh seperti itu dan mencatat alasannya sebagai`UNSUPPORTED_PRODUCT_CODE_TYPE`. Dukungan ini bervariasi di AWS GovCloud (US) dan Wilayah Tiongkok. Untuk informasi selengkapnya, lihat [Ketersediaan fitur khusus wilayah](guardduty_regions.md#gd-regional-feature-availability). Untuk informasi selengkapnya, lihat [Dibayar AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html) di *Panduan Pengguna Amazon EC2*. Untuk informasi tentang`productCode`, lihat [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html)di Referensi *API Amazon EC2*.   | Tidak bisa ditindaklanjuti. | 

# Melaporkan positif palsu dalam Perlindungan Malware untuk EC2
<a name="malware-protection-false-positives"></a>

GuardDuty Perlindungan Malware untuk EC2 pemindaian dapat mengidentifikasi file yang tidak berbahaya di EC2 instans Amazon atau beban kerja kontainer Anda sebagai berbahaya atau berbahaya. Untuk meningkatkan pengalaman Anda dengan Perlindungan Malware untuk EC2 dan GuardDuty layanan, Anda dapat melaporkan hasil positif palsu jika Anda yakin bahwa file yang diidentifikasi berbahaya atau berbahaya selama pemindaian sebenarnya tidak mengandung malware.

**Untuk melaporkan hasil pemindaian EC2 malware Amazon sebagai positif palsu**

Untuk memulai proses, hubungi Dukungan. Gunakan langkah-langkah berikut untuk memberikan detail tentang sumber daya yang dipindai:

1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Pilih **pemindaian EC2 malware**.

1. Pilih pemindaian untuk melihat **ID Temuannya**.

1. Berikan **ID Finding**. Anda juga harus memberikan hash SHA-256 dari file tersebut. Ini diperlukan untuk memastikan bahwa Perlindungan GuardDuty Malware for EC2 telah menerima file yang benar.

1.  Dukungan Tim akan memberi Anda URL presigned Amazon Simple Storage Service (Amazon S3) yang dapat Anda gunakan untuk mengunggah file yang berpotensi berbahaya dan hash SHA-256. Untuk informasi tentang langkah-langkah untuk mengunggah objek yang dipindai, lihat [Mengunggah objek dengan presigned URLs di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) Pengguna *Amazon* S3.

1. Setelah Anda mengunggah file, beri tahu Dukungan tim.

    Dukungan Akan memberikan pengakuan setelah menerima file. Anggota tim GuardDuty layanan akan menganalisis kiriman Anda, dan mengambil langkah-langkah yang tepat untuk meningkatkan pengalaman Anda dengan Perlindungan Malware untuk EC2 dan GuardDuty layanan. Dukungan Tim akan terus memberikan pembaruan status pada kasus Anda. GuardDuty menyimpan objek S3 Anda selama tidak lebih dari 30 hari.

# Melaporkan hasil pemindaian objek S3 sebagai positif palsu dalam Perlindungan Malware untuk S3
<a name="report-malware-protection-s3-false-positives"></a>

Perlindungan Malware untuk pemindaian S3 dapat mengidentifikasi objek sebagai berpotensi berbahaya atau berbahaya. Jika Anda yakin bahwa objek S3 yang ditunjukkan tidak mengandung malware, laporkan hasil pemindaian malware ini sebagai positif palsu.

Anda dapat mengirimkan laporan positif palsu bahkan ketika Anda menggunakan Perlindungan Malware untuk S3 secara independen. Dalam hal GuardDuty ini, tidak dirancang untuk menghasilkan temuan. Untuk informasi tentang memeriksa status pemindaian dan status hasil, lihat[Memantau pemindaian objek S3](monitoring-malware-protection-s3-scans-gdu.md).

**Untuk melaporkan hasil pemindaian malware objek S3 sebagai positif palsu**

Untuk memulai proses, hubungi Dukungan. Gunakan langkah-langkah berikut untuk memberikan detail tentang objek S3 yang dipindai:

1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Tergantung pada kasus penggunaan Anda, pilih langkah-langkah yang sesuai:

------
#### [ Using Malware Protection for S3 with GuardDuty ]

   1. Di panel navigasi, pilih **Temuan**.

   1. Pada halaman **Temuan**, pilih temuan positif palsu untuk melihat detailnya.

   1. **Dengan memeriksa detail temuan, berikan **Finding ID**, **Region**, **Nama** bucket S3 yang dilindungi, dan Kunci objek yang dipindai.** 

      Dari detail **jalur Item**, berikan **Hash** objek. Ini diperlukan untuk memastikan bahwa GuardDuty telah menerima file yang benar.

------
#### [ Using Malware Protection for S3 independently ]

   Berikan nama bucket S3 yang dilindungi, nama objek yang dipindai, dan. Wilayah AWS

------

1.  Dukungan Tim akan memberi Anda URL presigned Amazon Simple Storage Service (Amazon S3) yang dapat Anda gunakan untuk mengunggah file dan hash yang berpotensi berbahaya. Untuk informasi tentang langkah-langkah untuk mengunggah objek yang dipindai, lihat [Mengunggah objek dengan presigned URLs di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) Pengguna *Amazon* S3.

1. Setelah mengunggah objek S3, beri tahu tim. Dukungan 

Surat Dukungan wasiat memberikan pengakuan menerima objek. Anggota tim GuardDuty layanan akan menganalisis kiriman Anda, dan mengambil langkah-langkah yang tepat untuk meningkatkan pengalaman Anda dengan Perlindungan Malware untuk S3 dan layanan. GuardDuty Dukungan Tim akan terus memberikan pembaruan status pada kasus Anda. GuardDuty menyimpan objek S3 Anda selama tidak lebih dari 30 hari.

# Melaporkan positif palsu dalam Perlindungan Malware untuk Backup
<a name="malware-protection-backup-false-positives"></a>

Untuk meningkatkan pengalaman Anda dengan Perlindungan GuardDuty Malware untuk Pencadangan, Anda dapat melaporkan potensi positif palsu dan negatif palsu.

****Untuk melaporkan potensi positif palsu atau negatif palsu yang diidentifikasi dalam Perlindungan Malware untuk Cadangan****

Untuk memulai proses, hubungi Dukungan. Gunakan langkah-langkah berikut untuk memberikan detail tentang sumber daya yang dipindai:

1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Pilih **Pemindaian Malware**.

1. Pilih pemindaian untuk melihat **ID Temuannya**.

1. Berikan **ID Finding**. Anda juga harus memberikan hash SHA-256 dari file tersebut. Ini diperlukan untuk memastikan bahwa GuardDuty telah menerima file yang benar. Harap berikan juga wilayah tempat Anda akan memberikan sampelnya.

1.  Dukungan Tim akan memberi Anda URL presigned Amazon Simple Storage Service (Amazon S3) yang akan Anda gunakan untuk mengunggah file yang berpotensi berbahaya dan hash SHA-256. Untuk informasi tentang langkah-langkah untuk mengunggah sumber daya yang dipindai, lihat [Mengunggah objek dengan presigned URLs di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) Pengguna *Amazon* S3.

1. Setelah Anda mengunggah file, beri tahu Dukungan tim.

    Dukungan Akan memberikan pengakuan setelah menerima file. Anggota tim GuardDuty layanan akan menganalisis kiriman Anda, dan mengambil langkah-langkah yang tepat untuk meningkatkan pengalaman Anda dengan Perlindungan Malware for EC2. Dukungan Tim akan terus memberikan pembaruan status pada kasus Anda. GuardDuty menyimpan objek S3 Anda selama tidak lebih dari 30 hari.