기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 엔터티 목록 및 IP 주소 목록을 사용하여 위협 탐지 사용자 지정
Amazon GuardDuty는 VPC 흐름 로그, AWS CloudTrail 이벤트 로그 및 DNS 로그를 분석하고 처리하여 AWS 환경의 보안을 모니터링합니다. 하나 이상의 [사용 사례 중심 GuardDuty 보호 계획](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty)을 활성화하여([런타임 모니터링](runtime-monitoring.md)을 제외하고 GuardDuty 내에서 모니터링 기능을 확장할 수 있습니다.
목록을 사용하면 GuardDuty를 통해 환경에서 위협 탐지 범위를 사용자 지정할 수 있습니다. 신뢰할 수 있는 소스에서 조사 결과 생성을 중지하고 위협 목록에서 알려진 악성 소스에 대한 조사 결과를 생성하도록 GuardDuty를 구성할 수 있습니다. GuardDuty는 기존 IP 주소 목록을 계속 지원하며 IP 주소, 도메인 또는 둘 다를 포함할 수 있는 엔터티 목록(권장)으로 지원을 확장합니다.
**Topics**
+ [엔터티 목록 및 IP 주소 목록 이해](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 목록에 대한 중요 고려 사항](#guardduty-lists-entity-sets-considerations)
+ [목록 형식](#prepare_list)
+ [목록 상태 이해](#guardduty-entity-list-statuses)
+ [엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정](guardduty-lists-prerequisites.md)
+ [엔터티 목록 또는 IP 목록 추가 및 활성화](guardduty-lists-create-activate.md)
+ [엔터티 목록 또는 IP 주소 목록 업데이트](guardduty-lists-update-procedure.md)
+ [엔터티 목록 또는 IP 주소 목록 비활성화](guardduty-lists-deactivate-procedure.md)
+ [엔터티 목록 또는 IP 주소 목록 삭제](guardduty-lists-delete-procedure.md)
## 엔터티 목록 및 IP 주소 목록 이해
GuardDuty는 엔터티 목록(권장)과 IP 목록이라는 두 가지 구현 접근 방식을 제공합니다. 두 접근 방식 모두 신뢰할 수 있는 소스를 지정하는 데 도움이 되므로 GuardDuty가 조사 결과를 생성하는 데 GuardDuty 사용하는 조사 결과 및 알려진 위협을 생성할 수 없습니다.
**엔터티 목록**은 IP 주소와 도메인 이름을 모두 지원합니다. 여러 리전에 걸쳐 IAM 정책 크기 제한에 영향을 주지 않는 단일 IAM 권한으로 Amazon Simple Storage Service(Amazon S3)에 직접 액세스합니다.
**IP 목록**은 IP 주소만 지원하고 [GuardDuty 서비스 연결 역할(SLR)](slr-permissions.md)(SLR)를 사용하므로 리전당 IAM 정책 업데이트가 필요하므로 IAM 정책 크기 제한에 영향을 미칠 수 있습니다.
신뢰할 수 있는 목록(엔터티 목록 및 IP 주소 목록 모두)에는 AWS 인프라와의 보안 통신을 위해 신뢰할 수 있는 항목이 포함됩니다. GuardDuty는 신뢰할 수 있는 소스에 나열된 항목에 대한 조사 결과를 생성하지 않습니다. 언제든지 리전 AWS 계정 당 당 하나의 신뢰할 수 있는 엔터티 목록과 하나의 신뢰할 수 있는 IP 주소 목록만 추가할 수 있습니다.
위협 목록(엔터티 목록과 IP 주소 목록 모두)에는 사용자가 알려진 악성 소스로 식별한 항목이 포함됩니다. GuardDuty는 이러한 소스와 관련된 활동을 감지하면 조사 결과를 생성하여 잠재적 보안 문제를 알려줍니다. 자체 위협 목록을 생성하거나 서드 파티 위협 인텔리전스 피드를 통합할 수 있습니다. 이 목록은 타사 위협 인텔리전스에서 제공하거나 조직에 맞춰 특별히 만들 수 있습니다. GuardDuty는 잠재적으로 의심스러운 활동으로 인한 조사 결과를 생성하는 것 외에도 위협 목록에서 온 입력이 연루된 활동을 기반으로 조사 결과를 생성합니다. 언제든지 리전 AWS 계정 당당 최대 6개의 위협 개체 목록과 위협 IP 주소 목록을 업로드할 수 있습니다.
**참고**
IP 주소 목록에서 엔터티 목록으로 마이그레이션하려면 [엔터티 목록의 사전 조건](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites)에 따라 필요한 엔터티 목록을 추가하고 활성화합니다. 그런 다음 해당 IP 주소 목록을 비활성화하거나 삭제하도록 선택할 수 있습니다.
## GuardDuty 목록에 대한 중요 고려 사항
목록 작업을 시작하기 전에 다음 고려 사항을 읽으세요.
+ IP 주소 목록 및 엔터티 목록은 공개적으로 라우팅 가능한 IP 주소 및 도메인으로 전송되는 트래픽에만 적용됩니다.
+ 엔터티 목록에서 항목은 CloudTrail, Amazon VPC의 VPC 흐름 로그 및 Route53 Resolver DNS 쿼리 로그 조사 결과에 적용됩니다.
IP 주소 목록에서 항목은 Amazon VPC 조사 결과의 CloudTrail 및 VPC 흐름 로그에 적용되지만 Route53 Resolver DNS 쿼리 로그 조사 결과에는 적용되지 않습니다.
+ 신뢰할 수 있는 목록과 위협 목록 모두에 동일한 IP 주소나 도메인을 포함한 경우 신뢰할 수 있는 목록의 항목이 우선합니다. 이 항목과 관련된 활동이 있는 경우 GuardDuty는 조사 결과를 생성하지 않습니다.
+ 다중 계정 환경에서는 GuardDuty 관리자 계정만 목록을 관리할 수 있습니다. 이 설정은 멤버 계정에 자동으로 적용됩니다. GuardDuty는 관리자 계정의 위협 출처에 등록된 악성 IP 주소(및 도메인)와 관련된 활동을 기반으로 조사 결과를 생성하며, 관리자 계정의 신뢰할 수 있는 출처에 등록된 IP 주소(및 도메인)와 관련된 활동에 대해서는 조사 결과를 생성하지 않습니다. 자세한 내용은 [Amazon GuardDuty에서 다중 계정](guardduty_accounts.md) 단원을 참조하십시오.
+ IPv4 주소만 허용됩니다. IPv6 주소는 지원하지 않습니다.
+ 엔터티 목록 또는 IP 주소 목록을 활성화, 비활성화 또는 삭제하면 프로세스가 15분 이내에 완료될 것으로 예상됩니다. 일부 상황에서는 이 작업의 완료까지 최대 40분이 소요될 수도 있습니다.
+ GuardDuty는 목록 상태가 **활성**인 경우에만 위협 탐지를 위해 목록을 사용합니다.
+ 목록의 S3 버킷 위치에 항목을 추가하거나 업데이트할 때마다 목록을 다시 활성화해야 합니다. 자세한 내용은 [엔터티 목록 또는 IP 주소 목록 업데이트](guardduty-lists-update-procedure.md) 단원을 참조하십시오.
+ 엔터티 목록과 IP 주소의 할당량은 다릅니다. 자세한 내용은 [GuardDuty 할당량](guardduty_limits.md) 단원을 참조하십시오.
## 목록 형식
GuardDuty는 목록 및 엔터티 목록에 대해 여러 파일 형식을 허용하며 파일당 최대 35MB입니다. 각 형식에는 고유한 요구 사항과 기능이 있습니다.
### 일반 텍스트(TXT)
이 형식은 IP 주소, CIDR 범위 및 도메인 이름을 지원합니다. 각 항목은 별도의 줄에 표시되어야 합니다.
**Example **엔터티 목록의 예****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP 주소 목록의 예****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression(STIX)
이 형식은 IP 주소, CIDR 블록 및 도메인 이름을 지원합니다. STIX를 사용하면 위협 인텔리전스에 추가 컨텍스트를 포함할 수 있습니다. GuardDuty는 STIX 표시기에서 IP 주소, CIDR 범위 및 도메인 이름을 처리합니다.
**Example **엔터티 목록의 예****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP 주소 목록의 예****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange(OTX)TM CSV
이 형식은 CIDR 블록, 개별 IP 주소, 도메인을 지원합니다. 이 파일 형식에는 쉼표로 구분된 값이 있습니다.
**Example **엔터티 목록의 예****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP 주소 목록의 예****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSIGHT Threat Intelligence CSV
이 형식은 CIDR 블록, 개별 IP 주소, 도메인을 지원합니다. 다음 샘플 목록은 `FireEyeTM` CSV 형식을 사용합니다.
**Example **엔터티 목록의 예****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP 주소 목록의 예****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
ProofPoint CSV 형식에서는 IP 주소 또는 도메인 이름을 하나의 목록에 추가할 수 있습니다. 다음 샘플 목록은 `Proofpoint` CSV 형식을 사용합니다. `ports` 파라미터를 제공하는 것은 선택 사항입니다. 제공하지 않을 때는 끝에 후행 쉼표(,)를 그대로 둡니다.
**Example **엔터티 목록의 예****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP 주소 목록의 예****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM Reputation Feed
다음 샘플 목록은 `AlienVault` 형식을 사용합니다.
**Example **엔터티 목록의 예****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP 주소 목록의 예****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## 목록 상태 이해
엔터티 목록 또는 IP 주소 목록을 추가하면 GuardDuty에 해당 목록의 상태가 표시됩니다. **상태** 열은 목록이 유효한지 여부와 조치가 필요한지 여부를 나타냅니다. 다음 목록에서는 유효한 상태 값을 설명합니다.
+ **활성** - 목록이 현재 사용자 지정 위협 탐지에 사용 중임을 나타냅니다.
+ **비활성** - 목록이 현재 사용 중이 아님을 나타냅니다. GuardDuty가 환경에서 위협 탐지에 이 목록을 사용하려면 [엔터티 목록 또는 IP 목록 추가 및 활성화](guardduty-lists-create-activate.md)의 3단계: 엔터티 목록 또는 IP 주소 목록 활성화를 참조하세요.
+ **오류** - 목록에 문제가 있음을 나타냅니다. 상태 위로 마우스를 가져가면 오류 세부 정보를 볼 수 있습니다.
+ **활성화** - GuardDuty가 목록을 활성화하는 프로세스를 시작했음을 나타냅니다. 이 목록의 상태를 계속 모니터링할 수 있습니다. 오류가 없으면 상태가 **활성**으로 업데이트되어야 합니다. 상태가 **활성화 중**으로 유지되는 동안에는 이 목록에서 어떤 작업도 수행할 수 없습니다. 목록 상태가 **활성**으로 변경되는 데 몇 분 정도 걸릴 수 있습니다.
+ **비활성화** - GuardDuty가 목록을 비활성화하는 프로세스를 시작했음을 나타냅니다. 이 목록의 상태를 계속 모니터링할 수 있습니다. 오류가 없으면 상태가 **비활성**으로 업데이트되어야 합니다. 상태가 **비활성화**로 유지되는 동안에는 이 목록에 대한 작업을 수행할 수 없습니다.
+ **삭제 보류** 중 - 목록이 삭제 중임을 나타냅니다. 상태가 **삭제 보류** 중으로 유지되는 동안에는 이 목록에서 어떤 작업도 수행할 수 없습니다.
# 엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정
GuardDuty는 엔터티 목록과 IP 주소 목록을 사용하여 AWS 환경에서 위협 탐지를 사용자 지정합니다. 엔터티 목록(권장)은 IP 주소와 도메인 이름을 모두 지원하는 반면 IP 주소 목록은 IP 주소만 지원합니다. 이러한 목록을 생성하기 전에 사용하려는 목록 유형에 필요한 권한을 추가해야 합니다.
## 엔터티 목록의 사전 조건
엔터티 목록을 추가하면 GuardDuty는 S3 버킷에서 신뢰할 수 있는 목록과 위협 인텔리전스 목록을 읽습니다. 엔터티 목록을 생성하는 데 사용하는 역할에는 S3 버킷에 대한 `s3:GetObject` 권한이 있어야 합니다.
**참고**
다중 계정 환경에서는 GuardDuty 관리자 계정만 목록을 관리할 수 있으며, 이 목록은 멤버 계정에 자동으로 적용됩니다.
S3 버킷 위치에 댁세스하기 위한 `s3:GetObject` 권한이 아직 없는 경우 다음 예제 정책을 사용하고 *amzn-s3-demo-bucket*을 S3 버킷 위치로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 주소 목록의 사전 조건
GuardDuty에서 신뢰할 수 있는 IP 목록 및 위협 목록을 사용하려면 다양한 IAM 자격 증명에 적절한 권한이 있어야 합니다. [AmazonGuardDutyFullAccess\$1v2(권장)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 관리형 정책이 연결되어 있는 ID는 업로드된 신뢰할 수 있는 IP 목록과 위협 목록의 이름을 바꾸거나 비활성화하는 것만 가능합니다.
신뢰할 수 있는 IP 목록 및 위협 목록으로 작업할 수 있는 전체 액세스 권한(이름 변경 및 비활성화 외에 추가, 활성화, 삭제, 목록 위치 또는 이름 업데이트까지 포함)을 여러 ID에 부여하려면 IAM 사용자, 그룹, 역할에 연결된 권한 정책에 다음과 같은 작업이 들어 있어야 합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**중요**
이러한 작업은 `AmazonGuardDutyFullAccess` 관리형 정책에 들어 있지 않습니다.
### 엔터티 목록 및 IP 목록과 함께 SSE-KMS 암호화 사용
GuardDuty는 목록에 대해 SSE-AES256 및 SSE-KMS 암호화를 지원합니다. SSE-C는 지원되지 않습니다. S3의 암호 유형에 대한 자세한 내용은 [서버 측 암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)를 참조하세요.
엔터티 목록 또는 IP 목록을 사용하는지 여부에 관계없이 SSE-KMS를 사용하는 경우 AWS KMS key 정책에 다음 문을 추가합니다. *123456789012*를 본인 계정 ID로 바꿉니다.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# 엔터티 목록 또는 IP 목록 추가 및 활성화
엔터티 목록 및 IP 주소 목록은 GuardDuty에서 위협 탐지 기능을 사용자 지정하는 데 도움이 됩니다. 목록에 대한 자세한 내용은 [엔터티 목록 및 IP 주소 목록 이해](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets) 섹션을 참조하세요. AWS 환경에 대한 신뢰할 수 있는 위협 인텔리전스 데이터를 관리하기 위해 GuardDuty는 엔터티 목록을 사용할 것을 권장합니다. 시작하기 전에 [엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정](guardduty-lists-prerequisites.md) 단원을 참조하세요.
다음 액세스 방법 중 하나를 선택하여 신뢰할 수 있는 엔터티 목록, 위협 엔터티 목록, 신뢰할 수 있는 IP 목록 또는 위협 IP 목록을 추가하고 활성화하세요.
------
#### [ Console ]
**(선택 사항) 1단계: 목록의 위치 URL 가져오기**
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.
1. 탐색 창에서 **버킷**을 선택합니다.
1. 추가할 특정 목록이 포함된 Amazon S3 버킷 이름을 선택합니다.
1. 세부 정보를 보려면 객체(목록) 이름을 선택합니다.
1. **속성** 탭에서 이 객체의 **S3 URI**를 복사합니다.
**2단계: 신뢰할 수 있는 또는 위협 인텔리전스 데이터 추가**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 **엔터티 목록** 또는 **IP 주소 목록** 탭을 선택합니다.
1. 선택한 탭에 따라 신뢰할 수 있는 목록 또는 위협 목록을 추가하도록 선택합니다.
1. 신뢰할 수 있는 목록 또는 위협 목록을 추가하는 대화 상자에서 다음 단계를 수행합니다.
1. **목록 이름**에 목록의 이름을 입력합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. **위치**에 목록을 업로드한 위치를 입력합니다. 아직 없는 경우 [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage) 섹션을 참조하세요.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**위치 URL의 형식**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (선택 사항) **예상 버킷 소유자**의 경우 **위치** 필드에 지정된 Amazon S3 버킷을 소유한 AWS 계정 ID를 입력할 수 있습니다.
AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 개체 목록과 IP 주소 목록에서 다르게 작동합니다. 엔터티 목록의 경우 GuardDuty는 현재 멤버 계정이 **위치** 필드에 지정된 S3 버킷을 소유하고 있는지 확인합니다. IP 주소 목록의 경우 AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다.
GuardDuty가 이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 목록을 활성화할 때 오류가 발생합니다.
1. [**I agree**] 확인란을 선택합니다.
1. [**Add list**]를 선택합니다. 추가된 목록의 **상태**는 기본적으로 **비활성**입니다. 목록이 유효하려면 목록을 활성화해야 합니다.
**3단계: 엔터티 목록 또는 IP 주소 목록 활성화**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 활성화하려는 목록이 포함된 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 활성화할 목록을 하나 선택합니다. 그러면 **작업** 및 **편집** 메뉴가 활성화됩니다.
1. **작업**을 선택한 후 **활성화**를 선택합니다.
------
#### [ API/CLI ]
**신뢰할 수 있는 엔터티 목록을 추가하고 활성화하려면**
1. [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 엔터티 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**위협 엔터티 목록을 추가하고 활성화하려면**
1. [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**신뢰할 수 있는 IP 주소 목록을 추가하고 활성화하려면**
1. [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)를 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 신뢰할 수 있는 IP 주소 목록을 업데이트할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 신뢰할 수 있는 IP 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
**위협 IP 목록을 추가하고 활성화하려면**
1. [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)를 실행합니다. 이 위협 IP 주소 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 위협 IP 목록을 업데이트할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 위협 IP 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
------
엔터티 목록 또는 IP 주소 목록을 활성화한 후 이 목록이 적용되려면 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오.
# 엔터티 목록 또는 IP 주소 목록 업데이트
엔터티 목록 및 IP 주소 목록은 GuardDuty에서 위협 탐지 기능을 사용자 지정하는 데 도움이 됩니다. 목록에 대한 자세한 내용은 [엔터티 목록 및 IP 주소 목록 이해](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets) 섹션을 참조하세요.
목록 이름, S3 버킷 위치, 예상 버킷 소유자 계정 ID와 기존 목록의 항목을 업데이트할 수 있습니다. 목록의 항목을 업데이트하는 경우, GuardDuty가 최신 버전의 목록을 사용할 수 있도록 목록을 다시 활성화하는 단계를 따라야 합니다. 엔터티 목록 또는 IP 주소 목록을 업데이트하거나 활성화한 후, 해당 목록이 적용되는 데 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오.
**참고**
목록의 상태가 **활성화**, **비활성화** 또는 **삭제 보류** 중이면 작업을 수행하기 전에 몇 분 동안 기다려야 합니다. 이 상태에 대한 자세한 내용은 [목록 상태 이해](guardduty_upload-lists.md#guardduty-entity-list-statuses) 섹션을 참조하세요.
액세스 방법 중 하나를 선택하여 엔터티 목록 또는 IP 주소 목록을 업데이트합니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 적절한 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 업데이트할 목록(신뢰 또는 위협)을 하나 선택합니다. 그러면 **작업** 및 **편집** 메뉴가 활성화됩니다.
1. **편집**을 선택합니다.
1. 목록을 업데이트하는 대화 상자에서 업데이트할 세부 정보를 지정합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
1. (선택 사항) **예상 버킷 소유자**의 경우 **위치** 필드에 지정된 Amazon S3 버킷을 소유한 AWS 계정 ID를 입력할 수 있습니다.
AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 개체 목록과 IP 주소 목록에서 다르게 작동합니다. 엔터티 목록의 경우 GuardDuty는 현재 멤버 계정이 **위치** 필드에 지정된 S3 버킷을 소유하고 있는지 확인합니다. IP 주소 목록의 경우 AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다.
GuardDuty가 이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 목록을 활성화할 때 오류가 발생합니다.
1. **동의함** 확인란을 선택한 다음 **목록 업데이트**를 선택합니다.
------
#### [ API/CLI ]
다음 절차를 시작하려면 업데이트하려는 목록 리소스와 연결된 ID(예: `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` 또는 `threatIpSet`)가 필요합니다.
**신뢰할 수 있는 엔터티 목록을 업데이트하고 활성화하려면**
1. [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 엔터티 목록을 업데이트하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 목록의 `name`를 업데이트하고이 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**위협 엔터티 목록을 업데이트하고 활성화하려면**
1. [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 목록의 `name`를 업데이트하고이 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 위협 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**신뢰할 수 있는 IP 주소 목록을 업데이트하고 활성화하려면**
1. [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)를 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 업데이트하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. 또는 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 신뢰할 수 있는 IP 목록을 업데이트할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
**위협 IP 목록을 추가하고 활성화하려면**
1. [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)를 실행합니다. 이 위협 IP 주소 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. 또는 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 위협 IP 목록을 업데이트할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
------
# 엔터티 목록 또는 IP 주소 목록 비활성화
GuardDuty가 더 이상 목록을 사용하지 않도록 하려면 목록을 비활성화하면 됩니다. 완료하는 데 몇 분이 걸릴 수도 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오. 목록이 비활성화된 후에는 엔터티 목록 또는 IP 주소 목록의 항목이 GuardDuty의 위협 탐지에 영향을 주지 않습니다.
액세스 방법 중 하나를 선택하여 목록을 비활성화합니다.
------
#### [ Console ]
**엔터티 목록 또는 IP 주소 목록을 비활성화하려면**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 비활성화하려는 목록이 포함된 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 선택한 탭에서 비활성화할 목록을 선택합니다.
1. **작업**을 선택한 후 **비활성화**를 선택합니다.
1. 작업을 확인하고 **비활성화**를 선택합니다.
------
#### [ API/CLI ]
다음 절차를 시작하려면 비활성화하려는 목록 리소스에 연결된 ID(예: `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet`, `threatIpSet`)가 필요합니다.
**신뢰할 수 있는 엔터티 목록을 비활성화하려면**
1. [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 신뢰할 수 있는 엔터티 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 비활성화할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**위협 엔터티 목록을 비활성화하려면**
1. [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`를 위협 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**신뢰할 수 있는 IP 주소 목록을 비활성화하려면**
1. [UpdateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html)을 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 신뢰할 수 있는 IP 주소 목록을 비활성화할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**위협 IP 목록을 비활성화하려면**
1. [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html)을 실행합니다. 이 위협 IP 주소 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 위협 IP 목록을 비활성화할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# 엔터티 목록 또는 IP 주소 목록 삭제
엔터티 세트 또는 IP 주소 세트에 목록 항목을 더 이상 유지하지 않으려면 삭제할 수 있습니다. 완료하는 데 몇 분이 걸릴 수도 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오.
목록의 상태가 **활성화** 또는 **비활성화**인 경우 작업을 수행하기 전에 몇 분 동안 기다려야 합니다. 자세한 내용은 [목록 상태 이해](guardduty_upload-lists.md#guardduty-entity-list-statuses) 단원을 참조하십시오.
액세스 방법 중 하나를 선택하여 목록을 삭제합니다.
------
#### [ Console ]
**엔터티 목록 또는 IP 주소 목록을 삭제하려면**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 목록을 삭제할 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 선택한 탭에서 삭제할 목록을 선택합니다.
1. **작업**을 선택한 후 **삭제**를 선택합니다.
목록 상태가 **삭제 보류 중**으로 변경됩니다. 목록이 삭제되는 데 몇 분 정도 걸릴 수 있습니다.
------
#### [ API/CLI ]
다음 절차를 시작하려면 삭제하려는 목록 리소스에 연결된 ID(예: `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet`, `threatIpSet`)가 필요합니다.
**신뢰할 수 있는 엔터티 목록을 삭제하려면**
1. [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 엔터티 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**위협 엔터티 목록을 비활성화하려면**
1. [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 위협 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**신뢰할 수 있는 IP 주소 목록을 삭제하려면**
1. [DeleteIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html)을 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 신뢰할 수 있는 IP 주소 목록을 삭제할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 위협 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**위협 IP 목록을 삭제하려면**
1. [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html)을 실행합니다. 이 위협 IP 주소 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 위협 IP 목록을 삭제할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 위협 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
------