As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciando as GuardDuty descobertas da Amazon
GuardDuty oferece vários recursos importantes para ajudá-lo a classificar, armazenar e gerenciar suas descobertas. Esses recursos ajudarão você a adaptar as descobertas ao seu ambiente específico, reduzir o ruído de descobertas de baixo valor e ajudá-lo a se concentrar nas ameaças ao seu AWS ambiente exclusivo. Analise os tópicos desta página para entender como é possível usar esses recursos para aumentar o valor das descobertas de segurança em seu ambiente.
**Tópicos:**
[Painel de resumo na Amazon GuardDuty](guardduty-summary.md)
Saiba mais sobre os componentes do painel de resumo disponíveis no GuardDuty console.
[Filtrando descobertas em GuardDuty](guardduty_filter-findings.md)
Saiba como filtrar GuardDuty as descobertas com base nos critérios que você especifica.
[Regras de supressão em GuardDuty](findings_suppression-rule.md)
Saiba como filtrar automaticamente as descobertas que você GuardDuty recebe por meio de regras de supressão. As regras de supressão arquivam automaticamente as descobertas com base em filtros.
[Customizing threat detection with entity lists and IP address lists](guardduty_upload-lists.md)
Personalize o escopo do GuardDuty monitoramento usando listas de IP e listas de ameaças com base em endereços IP roteáveis publicamente. As listas de IP confiáveis evitam que descobertas não DNS sejam geradas a partir de IPs que você considera confiáveis, enquanto as listas Threat Intel farão GuardDuty com que você alerte sobre atividades definidas pelo usuário. IPs
[Exportar as descobertas geradas para bucket do Amazon S3](guardduty_exportfindings.md)
Exporte as descobertas geradas para um bucket do Amazon S3 para que você possa manter registros após o período de retenção das descobertas de 90 dias em. GuardDuty Use esses dados históricos para rastrear possíveis atividades suspeitas em sua conta e avaliar se as etapas de correção recomendadas foram executadas com sucesso.
[Processando GuardDuty descobertas com a Amazon EventBridge](guardduty_findings_eventbridge.md)
Configure notificações automáticas para GuardDuty descobertas por meio de EventBridge eventos da Amazon. Você também pode automatizar outras tarefas EventBridge para ajudá-lo a responder às descobertas.
[Entendendo CloudWatch os registros e os motivos para ignorar recursos durante a verificação do Malware Protection for EC2](malware-protection-auditing-scan-logs.md)
Saiba como você pode auditar os CloudWatch registros de proteção contra GuardDuty malware do EC2 e quais são os motivos pelos quais sua instância do Amazon EC2 ou volumes do Amazon EBS afetados podem ter sido ignorados durante o processo de verificação.
[Denunciando falsos positivos no Malware Protection for EC2](malware-protection-false-positives.md)
Saiba como você pode denunciar possíveis detecções de ameaças de falsos positivos no Malware Protection for EC2.
[Relatar o resultado da verificação de objetos do S3 como falso positivo na Proteção contra Malware do S3Relatando resultado falso positivo de verificação de objetos S3](report-malware-protection-s3-false-positives.md)
Saiba como você pode denunciar possíveis detecções de ameaças de falsos positivos na Proteção contra malware para S3.
[Denunciando falsos positivos no Malware Protection for Backup](malware-protection-backup-false-positives.md)
Saiba como você pode denunciar possíveis detecções de ameaças de falsos positivos no Malware Protection for Backup.
# Painel de resumo na Amazon GuardDuty
O painel de GuardDuty **resumo** fornece uma visão agregada das GuardDuty descobertas geradas em você Conta da AWS no momento Região da AWS.
Se você estiver usando uma conta de GuardDuty administrador, o painel fornece estatísticas e dados agregados para sua conta e contas de membros em sua organização.
**Visualização do painel Resumo**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
GuardDuty exibe o painel **Resumo** por padrão quando você abre o console.
1. Na página **Resumo**, escolha o desejado no seletor Região da AWS de região no canto superior direito do console.
1. No menu do seletor de intervalo de datas, escolha o intervalo de datas para o qual você deseja visualizar o resumo. Por padrão, o painel exibe os dados de **Hoje**.
**nota**
Se nenhuma descoberta for gerada durante o intervalo de datas selecionado, o painel não terá nenhum dado para exibir. Você pode atualizar o painel ou ajustar o intervalo de datas.
**Topics**
+ [Visão geral do](#understanding-guardduty-summary-overview)
+ [Conclusões](#understanding-guardduty-summary-findings-widget)
+ [Tipos de descoberta mais comuns](#understanding-guardduty-summary-most-common-finding-types)
+ [Descobertas por gravidade](#understanding-guardduty-summary-findings-by-sev)
+ [Contas com a maioria das descobertas](#understanding-guardduty-summary-account-with-findings)
+ [Recursos com descobertas](#understanding-guardduty-summary-resources-with-findings)
+ [Descobertas que menos ocorrem](#understanding-guardduty-summary-least-occurring-findings)
+ [Cobertura de planos de proteção](#understanding-guardduty-summary-protection-plans-coverage)
## Visão geral do
Esta seção fornece os seguintes dados:
+ **Sequências de ataque**: indica o número de descobertas de sequências de ataque GuardDuty geradas em sua conta na região atual.
GuardDuty detecta possíveis ataques em vários estágios em sua conta. Você pode selecionar o *número* em **Sequências de ataque** para ver seus detalhes na página **Descobertas**.
+ **Total de descobertas**: indica o número total de descobertas geradas em sua conta na região atual. Isso inclui descobertas individuais e descobertas de sequências de ataque.
+ **Recursos com descobertas**: indica o número de recursos associados a uma descoberta e que foram potencialmente comprometidos.
+ **Contas com descobertas**: indica o número de contas nas quais pelo menos uma descoberta foi gerada. Se você for uma conta independente, o valor nesse campo será **1**.
Para os intervalos de tempo **Últimos 7 dias** e **Últimos 30 dias**, o painel **Visão geral** pode mostrar a diferença percentual nas descobertas geradas semana após semana (WoW) ou mês a mês (MoM), respectivamente. Se nenhuma descoberta foi gerada na semana ou no mês anterior, sem dados para comparar, a diferença percentual pode não estar disponível.
![\[Seção de visão geral no painel de GuardDuty resumo.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)
Se você for uma conta de GuardDuty administrador, todos esses campos fornecem os dados resumidos de todas as contas de membros da sua organização.
## Conclusões
O widget **Descobertas** exibe até oito descobertas principais. Essas descobertas são listadas com base em seu nível de gravidade, com as descobertas *críticas* exibidas primeiro.
Por padrão, é possível visualizar todas as descobertas. Para ver somente os dados das descobertas da sequência de ataque, ative **Somente as principais sequências de ataque**.
Nessa lista, você pode selecionar qualquer descoberta para visualizar os detalhes.
![\[Widget de descobertas no painel de GuardDuty resumo.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)
## Tipos de descoberta mais comuns
Esta seção fornece um gráfico de pizza que ilustra os cinco principais tipos de descobertas mais comuns geradas na região atual. Ao passar o mouse sobre cada setor do gráfico de pizza, você pode observar o seguinte:
+ **Contagem de descobertas**: indica o número de vezes que essa descoberta foi gerada no intervalo de datas escolhido.
+ **Gravidade**: indica o nível de gravidade da descoberta.
+ **Porcentagem**: indica a proporção desse tipo de descoberta em relação ao total.
+ **Última geração**: indica quanto tempo passou desde que esse tipo de descoberta foi detectado pela última vez.
## Descobertas por gravidade
Esta seção exibe um gráfico de barras mostrando o número total de descobertas no intervalo de datas selecionado. O gráfico divide as descobertas por gravidade (*Crítica*, *Alta*, *Média* e *Baixa*) e ajuda você a visualizar o número de descobertas em datas específicas dentro do intervalo.
Para ver as contagens de cada nível de gravidade em uma data específica, passe o mouse sobre a barra correspondente no gráfico.
## Contas com a maioria das descobertas
Esta seção fornece os seguintes dados:
+ **Conta**: indica o Conta da AWS ID em que a descoberta foi gerada.
+ **Contagem de descobertas**: indica o número de vezes que uma descoberta foi gerada para esse ID de conta.
+ **Última geração**: indica quanto tempo passou desde a última geração de um tipo de descoberta para esse ID de conta.
+ **Filtro de gravidade**: por padrão, os dados são mostrados para os tipos de descoberta de alta gravidade. As opções possíveis para esse campo são **Todas as gravidades**, **gravidade Crítica**, **gravidade Alta** e **gravidade Média**.
## Recursos com descobertas
Esta seção fornece os seguintes dados:
+ **Recurso**: mostra o tipo de recurso potencialmente afetado e, se esse recurso pertencer à sua conta, será possível acessar o link rápido para ver os detalhes do recurso. Se você for uma conta de GuardDuty administrador, poderá ver os detalhes do recurso potencialmente afetado acessando o GuardDuty console com as credenciais da conta do membro proprietário.
+ **Conta**: indica a Conta da AWS ID à qual esse recurso pertence.
+ **Contagem de descobertas**: indica o número de vezes que esse recurso foi associado a uma descoberta.
+ **Última geração**: indica quanto tempo passou desde a última geração de um tipo de descoberta associado a esse recurso.
+ **Filtro de tipos de recursos**: por padrão, os dados são mostrados para todos os tipos de recursos. Ao usar esse filtro, você pode optar por visualizar os dados de um tipo de recurso específico, como **Instance **AccessKey****, **Lambda** e outros.
+ **Filtro de gravidade**: por padrão, os dados são mostrados para **Todas as gravidades**. Ao usar esse filtro, é possível optar por visualizar os dados de outros níveis de gravidade. As opções possíveis são **gravidade Crítica**, **gravidade Alta**, **gravidade Média** e **Todas as gravidades**.
## Descobertas que menos ocorrem
Esta seção destaca os tipos de descoberta que ocorrem com pouca frequência em seu AWS ambiente. Esse widget foi projetado para ajudar você a identificar e investigar possíveis padrões de ameaças emergentes.
Esse widget exibe os seguintes dados:
+ **Tipo de descoberta**: indica o nome do tipo de descoberta.
+ **Contagem de descobertas**: indica o número de vezes que esse tipo de descoberta foi gerado no intervalo de tempo escolhido.
+ **Última geração**: indica quanto tempo passou desde que esse tipo de descoberta foi gerado pela última vez.
+ **Filtro de gravidade**: por padrão, os dados são mostrados para os tipos de descoberta de alta gravidade. As opções possíveis para esse campo são **gravidade Crítica**, **gravidade Alta**, **gravidade Média** e **Todas as gravidades**.
## Cobertura de planos de proteção
Esta seção exibe estatísticas de contas de membros da sua organização. Ele mostra o número de contas de membros que foram ativadas GuardDuty (detecção básica de ameaças) na região atual. Somente um GuardDuty administrador delegado pode visualizar as estatísticas das contas dos membros em sua organização. Quando você cria uma nova AWS organização, pode levar até 24 horas para gerar as estatísticas de toda a organização.
**Como usar esse widget**
+ **Configuração**: se um plano de proteção não estiver configurado, escolha **Configurar** na coluna **Ações**.
+ **Visualizando contas habilitadas**: passe o mouse sobre a barra na coluna **Contas habilitadas** para ver quantas contas habilitaram cada plano de proteção. Para ver mais detalhes da conta, selecione a barra verde e escolha **Exibir contas**.
![\[Veja o status da ativação dos planos de proteção para contas de membros, no painel de GuardDuty resumo.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)
# Filtrando descobertas em GuardDuty
Um filtro de descoberta permite que você visualize descobertas que correspondam aos critérios especificados e filtre quaisquer descobertas sem correspondência. Você pode criar facilmente filtros de busca usando o GuardDuty console da Amazon ou pode criá-los com a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API usando JSON. Consulte as seções a seguir para entender como criar um filtro no console. Para usar esses filtros para arquivar automaticamente as descobertas recebidas, consulte [Regras de supressão em GuardDuty](findings_suppression-rule.md).
Ao criar filtros, leve em consideração a seguinte lista:
+ Você pode especificar no mínimo um atributo ou no máximo 50 atributos como critérios para um determinado filtro.
+ Ao usar o operador **igual a** ou **diferente de** para filtrar um valor de atributo, como ID da conta, você pode especificar um máximo de 50 valores.
+ Cada atributo de critério de filtro é avaliado como um operador `AND`. Vários valores para o mesmo atributo são avaliados como `AND/OR`.
+ Para obter informações sobre o número máximo de filtros salvos que você pode criar Conta da AWS em cada um Região da AWS, consulte[GuardDuty cotas](guardduty_limits.md).
As seções a seguir fornecem instruções sobre como criar e salvar filtros usando o GuardDuty console e os comandos da API e da CLI. Escolha seu método de acesso preferido para continuar.
## Criando e salvando o conjunto de filtros no GuardDuty console
Os filtros de localização podem ser criados e testados por meio do GuardDuty console. Os filtros criados pela interface do usuário podem ser salvos para uso em regras de supressão ou em operações futuras de filtro. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor.
**Para criar e salvar critérios de filtro (console)**
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação à esquerda, escolha **Descobertas**.
1. Na página **Descobertas**, selecione a barra *Filtrar descobertas* ao lado do menu **Regras salvas**. Isso exibirá uma lista expandida de **Filtros de propriedades**.
![\[Seleção de filtros de propriedades para filtrar descobertas no GuardDuty console.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. Na lista expandida de filtros, selecione um atributo com base no qual você deseja filtrar a tabela de descobertas.
Por exemplo, para ver descobertas sobre as quais o recurso potencialmente afetado é um **S3Bucket**, escolha **Tipo de recurso**.
1. Para **Operadores**, escolha um que ajude você a filtrar as descobertas para obter o resultado desejado. Para continuar o exemplo da etapa anterior, escolha **Tipo de recurso =**. Isso exibirá uma lista dos tipos de recursos em GuardDuty.
![\[Selecionar o operador é igual ou não é igual para filtrar as descobertas no console. GuardDuty\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
Se seu caso de uso exigir a exclusão de descobertas específicas, você pode escolher o operador **Não é igual** ou **\$1=**.
1. Especifique o valor do filtro de propriedade selecionado. Se necessário, escolha **Aplicar**. Para continuar o exemplo da etapa anterior, você pode escolher **S3Bucket**.
Isso exibirá as descobertas que correspondem aos filtros aplicados.
1. Para adicionar mais de um critério de filtro, repita as etapas 3 a 6.
Para obter uma lista completa de atributos, consulte [Filtros de propriedades em GuardDuty](#filter_criteria).
1.
**(Opcional) Salve os atributos e valores especificados como filtros.**
Para aplicar essa combinação de filtros novamente no futuro, você pode salvar os atributos especificados e os respectivos valores como um conjunto de filtros.
1. Depois de criar um critério de filtro com um ou mais filtros de propriedade, selecione a *seta* no menu **Limpar filtros**.
![\[Salvando um conjunto de filtros no GuardDuty console para poder filtrar as descobertas novamente.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. Insira o **nome** do conjunto de filtros. O nome deve ter de 3 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9, ponto (.), hífen (-) e sublinhado (\$1).
1. A **descrição** é opcional. Se você inserir uma descrição, ela pode ter até 512 caracteres.
1. Escolha **Criar**.
## Criação e salvamento do conjunto de filtros usando GuardDuty API e CLI
Você pode criar e testar os filtros de descoberta usando os comandos da API ou da CLI. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor. Você pode salvar filtros para criar [Regras de supressão](findings_suppression-rule.md) ou realizar outras operações de filtro posteriormente.
**Para criar filtros de descoberta usando API/CLI**
+ Execute a [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API usando o ID do detector regional do Conta da AWS local em que você deseja criar um filtro.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
+ Como alternativa, você pode usar a CLI [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) para criar e salvar o filtro. Você pode usar um ou mais critérios de filtragem dos [Filtros de propriedades em GuardDuty](#filter_criteria).
Use os exemplos a seguir substituindo os valores de espaço reservado mostrados em vermelho.
**Exemplo 1**: crie um novo filtro para visualizar todas as descobertas que correspondem a um tipo específico de descoberta
O exemplo a seguir cria um filtro que corresponde a todas as descobertas de `PortScan` para uma instância criada com base em uma imagem específica. Os valores do espaço reservado são mostrados em vermelho. Substitua esses valores por valores adequados para sua conta. Por exemplo, *12abc34d567e8fa901bc2d34EXAMPLE* substitua pelo ID do detector regional.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**Exemplo 2**: crie um novo filtro para visualizar todas as descobertas que correspondem aos níveis de gravidade
O exemplo a seguir cria um filtro que corresponde a todas as descobertas associadas aos níveis de gravidade `HIGH`. Os valores do espaço reservado são mostrados em vermelho. Substitua esses valores por valores adequados para sua conta. Por exemplo, *12abc34d567e8fa901bc2d34EXAMPLE* substitua pelo ID do detector regional.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ Para API/CLI, os [Níveis de gravidade das descobertas](guardduty_findings-severity.md) são representados como números. Para filtrar as descobertas com base nos níveis de gravidade, use os seguintes valores:
+ Para níveis de gravidade `LOW`, use `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ Para níveis de gravidade `MEDIUM`, use `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ Para níveis de gravidade `HIGH`, use `{ "severity": { "Equals": ["7", "8"] } }`
+ Para níveis de gravidade `CRITICAL`, use `{ "severity": { "Equals": ["9", "10"] } }`
+ Para descobertas com vários níveis de gravidade, use valores de espaço reservado semelhantes ao seguinte exemplo: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
Este exemplo mostrará as descobertas que têm níveis de gravidade `HIGH` ou `CRITICAL`.
**nota**
Se você especificar um exemplo com apenas um valor numérico em vez de todos os valores numéricos associados a um nível de gravidade, a API e a CLI poderão mostrar as descobertas filtradas. Quando você usa esse conjunto de filtros salvo no GuardDuty console, ele não funcionará conforme o esperado. Isso ocorre porque o GuardDuty console considera os valores do filtro como `CRITICAL` `HIGH``MEDIUM`,, `LOW` e. Por exemplo, espera-se que um filtro criado com um comando CLI que inclua `{ "severity": { "Equals": ["9"] } }` mostre uma saída apropriada na API/CLI. No entanto, esse filtro salvo inclui um nível de severidade parcial quando usado no GuardDuty console e não mostrará uma saída esperada. Isso torna necessário que a API e a CLI especifiquem todos os valores associados a cada nível de gravidade.
## Filtros de propriedades em GuardDuty
Ao criar filtros ou classificar descobertas usando as operações da API, você deve especificar critérios de filtro em JSON. Esses critérios de filtro se correlacionam com o JSON dos detalhes de uma descoberta. A tabela a seguir contém uma lista dos nomes de exibição do console para atributos de filtro e seus nomes de campo JSON equivalentes.
| Nome do campo do console | Nome do campo JSON |
| --- | --- |
| ID da conta | accountId |
| ID da descoberta | id |
| Região | region |
| Gravidade | severidade Para filtrar os tipos de descoberta com base no nível de gravidade dos tipos de descoberta. Para obter mais informações sobre valores de severidade, consulte [Níveis de severidade das GuardDuty descobertas](guardduty_findings-severity.md). Se você usa `severity` com API, AWS CLI, ou CloudFormation, é atribuído um valor numérico. Para obter mais informações, consulte [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) na *Amazon GuardDuty * API Reference. |
| Tipo de descoberta | type |
| Atualizado em | updatedAt |
| Access Key ID | recurso. accessKeyDetails. accessKeyId |
| Principal ID | recurso. accessKeyDetails.ID principal |
| Nome de usuário | recurso. accessKeyDetails.Nome de usuário |
| Tipo de usuário | recurso. accessKeyDetails.Tipo de usuário |
| ID do perfil da instância do IAM | Resource.InstanceDetails. iamInstanceProfile.id |
| ID da instância | resource.instanceDetails.instanceId |
| ID da imagem da instância | resource.instanceDetails.imageId |
| Chave de tag da instância | resource.instanceDetails.tags.key |
| Valor de tag da instância | resource.instanceDetails.tags.value |
| IPv6 endereço | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| IPv4 Endereço privado | Resource.InstanceDetails.Interfaces de rede. privateIpAddresses. privateIpAddress |
| Nome público do DNS | Resource.InstanceDetails.Interfaces de rede. publicDnsName |
| IP público | resource.instanceDetails.networkInterfaces.publicIp |
| ID do grupo de segurança | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| Nome do security group | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| ID da sub-rede | resource.instanceDetails.networkInterfaces.subnetId |
| ID da VPC | resource.instanceDetails.networkInterfaces.vpcId |
| ARN do Outpost | resource.instanceDetails.outpostARN |
| Tipo de atributo | resource.resourceType |
| Permissões do bucket | resource.s3 .publicAccess.EffectivePermission BucketDetails |
| Nome do bucket | recursos.3 .name BucketDetails |
| Bucket tag key | resource.s3 .tags.key BucketDetails |
| Bucket tag value | resource.s3 .tags.value BucketDetails |
| Tipo de bucket | recursos.3 .type BucketDetails |
| Tipo de ação | service.action.actionType |
| API chamada | serviço.ação. awsApiCallAction.API |
| Tipo de chamador da API | serviço.ação. awsApiCallAction.CallerType |
| Códigos de erro da API | serviço.ação. awsApiCallAção.Código de erro |
| Cidade do chamador da API | serviço.ação. awsApiCallAção. remoteIpDetails.cidade.Nome da cidade |
| País do chamador da API | serviço.ação. awsApiCallAção. remoteIpDetails.país.Nome do país |
| Endereço do chamador da IPv4 API | serviço.ação. awsApiCallAção. remoteIpDetails. Endereço IP v4 |
| Endereço do chamador da IPv6 API | serviço.ação. awsApiCallAção. remoteIpDetails.endereço IP v6 |
| ID de ASN do chamador da API | serviço.ação. awsApiCallAção. remoteIpDetails.organização.asn |
| Nome de ASN do chamador da API | serviço.ação. awsApiCallAção. remoteIpDetails.organização.asnorg |
| Nome do serviço de chamador da API | serviço.ação. awsApiCallAction.ServiceName |
| Domínio de solicitação de DNS | serviço.ação. dnsRequestAction.domínio |
| Sufixo de domínio de solicitação de DNS | serviço.ação. dnsRequestAction. domainWithSuffix |
| Conexão de rede bloqueada | serviço.ação. networkConnectionAction.bloqueado |
| Direção de conexão de rede | serviço.ação. networkConnectionAction. Direção de conexão |
| Porta local de conexão de rede | serviço.ação. networkConnectionAction. localPortDetails.porta |
| Protocolo de conexão de rede | serviço.ação. networkConnectionAction.protocolo |
| Cidade de conexão de rede | serviço.ação. networkConnectionAction. remoteIpDetails.cidade.Nome da cidade |
| País de conexão de rede | serviço.ação. networkConnectionAction. remoteIpDetails.país.Nome do país |
| IPv4 Endereço remoto de conexão de rede | serviço.ação. networkConnectionAction. remoteIpDetails. Endereço IP v4 |
| IPv6 Endereço remoto de conexão de rede | serviço.ação. networkConnectionAction. remoteIpDetails.endereço IP v6 |
| ID de ASN do IP remoto de conexão de rede | serviço.ação. networkConnectionAction. remoteIpDetails.organização.asn |
| Nome de ASN do IP remoto de conexão de rede | serviço.ação. networkConnectionAction. remoteIpDetails.organização.asnorg |
| Porta remota de conexão de rede | serviço.ação. networkConnectionAction. remotePortDetails.porta |
| Conta remota afiliada | serviço.ação. awsApiCallAção. remoteAccountDetails.afiliado |
| Endereço do chamador da API Kubernetes IPv4 | serviço.ação. kubernetesApiCallAção. remoteIpDetails. Endereço IP v4 |
| Endereço do chamador da API Kubernetes IPv6 | serviço.ação. kubernetesApiCallAção. remoteIpDetails.endereço IP v6 |
| Namespace do Kubernetes | serviço.ação. kubernetesApiCallAction.namespace |
| ID ASN do chamador da API Kubernetes | serviço.ação. kubernetesApiCallAção. remoteIpDetails.organização.asn |
| URI de solicitação de chamada de API do Kubernetes | serviço.ação. kubernetesApiCallAction.RequestURI |
| Código de status da API do Kubernetes | serviço.ação. kubernetesApiCallCódigo de ação. Status |
| IPv4 Endereço local da conexão de rede | serviço.ação. networkConnectionAction. localIpDetails. Endereço IP v4 |
| IPv6 Endereço local da conexão de rede | serviço.ação. networkConnectionAction. localIpDetails.endereço IP v6 |
| Protocolo | serviço.ação. networkConnectionAction.protocolo |
| Nome do serviço de chamada de API | serviço.ação. awsApiCallAction.ServiceName |
| ID da conta do chamador da API | serviço.ação. awsApiCallAção. remoteAccountDetails.ID da conta |
| Nome da lista de ameaças | Serviço. Informações adicionais. threatListName |
| Função do recurso | service.resourceRole |
| Nome do cluster do EKS | recurso. eksClusterDetails.nome |
| Nome da workload do Kubernetes | Resource.KubernetesDetails. kubernetesWorkloadDetails.nome |
| Namespace de workload do Kubernetes | Resource.KubernetesDetails. kubernetesWorkloadDetails.namespace |
| Nome de usuário do Kubernetes | Resource.KubernetesDetails. kubernetesUserDetails.nome de usuário |
| Imagem de contêiner do Kubernetes | Resource.KubernetesDetails. kubernetesWorkloadDetails.containers.imagem |
| Prefixo de imagens de contêiner do Kubernetes | Resource.KubernetesDetails. kubernetesWorkloadDetails.containers.Prefixo da imagem |
| ID de verificação | serviço. ebsVolumeScanDetalhes. ScanID |
| Nome da ameaça de escaneamento de volume do EBS | serviço. ebsVolumeScanDetalhes. Detecções de digitalização. threatDetectedByNome.ThreatNames.Name |
| Nome da ameaça de verificação do objeto do S3 | serviço. malwareScanDetails.threats.name |
| Gravidade da ameaça | serviço. ebsVolumeScanDetalhes. Detecções de digitalização. threatDetectedByNome.ThreatNames.Severity |
| Arquivo SHA | serviço. ebsVolumeScanDetalhes. Detecções de digitalização. threatDetectedBynome.threatnames.filepaths.hash |
| Nome do cluster do ECS | recurso. ecsClusterDetails.nome |
| Imagens de contêiner do ECS | recurso. ecsClusterDetails.TaskDetails.Containers.Image |
| ARN da definição de tarefas do ECS | recurso. ecsClusterDetails.TaskDetails.DefinitionArn |
| Imagem de contêiner autônoma | resource.containerDetails.image |
| ID da instância de banco de dados | recurso. rdsDbInstanceDetalhes. dbInstanceIdentifier |
| ID do cluster de banco de dados | recurso. rdsDbInstanceDetalhes. dbClusterIdentifier |
| Mecanismo do banco de dados | recurso. rdsDbInstanceDetalhes. Motor |
| Usuário do banco de dados | recurso. rdsDbUserDetalhes. Usuário |
| Chave de tags de instâncias de banco | recurso. rdsDbInstanceDetails.tags.key |
| Valor de tag de instância de banco de dados | recurso. rdsDbInstanceDetails.tags.value |
| SHA-256 executável | service.runtimeDetails.process.executableSha256 |
| Nome do processo | service.runtimeDetails.process.name |
| Caminho executável | service.runtimeDetails.process.executablePath |
| Nome de função do Lambda | resource.lambdaDetails.functionName |
| ARN da função do Lambda. | resource.lambdaDetails.functionArn |
| Chave de tags de funções do Lambda | resource.lambdaDetails.tags.key |
| Valor de tags de funções do Lambda | resource.lambdaDetails.tags.value |
| Domínio de solicitação de DNS | serviço.ação. dnsRequestAction. domainWithSuffix |
# Regras de supressão em GuardDuty
Uma regra de supressão é um conjunto de critérios, que consistem em um atributo de filtro pareado com um valor, usados para filtrar descobertas arquivando automaticamente novas descobertas que correspondam aos critérios especificados. As regras de supressão podem ser usadas para filtrar descobertas de baixo valor, descobertas de falsos positivos ou ameaças nas quais você não pretende agir, para facilitar o reconhecimento das ameaças à segurança com maior impacto no ambiente.
Depois de criar uma regra de supressão, novas descobertas que correspondem aos critérios definidos na regra serão arquivadas automaticamente, desde que a regra de supressão esteja em vigor. É possível usar um filtro existente para criar uma regra de supressão ou definir um novo filtro para a regra de supressão ao criá-la. É possível configurar regras de supressão para suprimir tipos de descoberta inteiros ou definir critérios de filtro mais granulares para suprimir somente instâncias específicas de um determinado tipo de descoberta. As regras de supressão podem ser editadas a qualquer momento.
As descobertas suprimidas não são enviadas para AWS Security Hub CSPM o Amazon Simple Storage Service, o Amazon Detective ou a EventBridge Amazon, reduzindo o nível de ruído da descoberta se você GuardDuty consumir descobertas por meio do Security Hub CSPM, de um SIEM de terceiros ou de outros aplicativos de alerta e emissão de bilhetes. Se você ativou[Proteção contra malware para o EC2](malware-protection.md), as GuardDuty descobertas suprimidas não iniciarão uma verificação de malware.
GuardDuty continua gerando descobertas mesmo quando elas correspondem às suas regras de supressão, no entanto, essas descobertas são automaticamente marcadas como **arquivadas**. A descoberta arquivada é armazenada GuardDuty por 90 dias e pode ser visualizada a qualquer momento durante esse período. Você pode ver as descobertas suprimidas no GuardDuty console selecionando **Arquivado** na tabela de descobertas ou por meio da GuardDuty API usando a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API com um `findingCriteria` critério `service.archived` igual a verdadeiro.
**nota**
Em um ambiente com várias contas, somente o GuardDuty administrador pode criar regras de supressão.
## Usando regras de supressão com a Detecção de Ameaças Avançada
GuardDuty O Extended Threat Detection detecta automaticamente ataques em vários estágios que abrangem fontes de dados, vários tipos de AWS recursos e tempo, dentro de um. Conta da AWS Ela correlaciona eventos em diferentes fontes de dados para identificar cenários que se apresentam como uma ameaça potencial ao seu ambiente da AWS e, em seguida, gera uma descoberta de sequência de ataque. Para obter mais informações, consulte [Como funciona a Detecção de Ameaças Avançada](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works).
Quando você cria regras de supressão que arquivam descobertas, a Detecção de Ameaças Avançada não pode usar essas descobertas arquivadas ao correlacionar eventos para sequências de ataque. Regras amplas de supressão podem afetar a capacidade de detectar comportamentos alinhados com GuardDuty a detecção de ataques em vários estágios. As descobertas arquivadas devido às regras de supressão não são consideradas sinais para sequências de ataque. Por exemplo, se você criar uma regra de supressão que arquive todas as descobertas relacionadas ao cluster EKS em vez de direcionar atividades conhecidas específicas, GuardDuty não poderá usar essas descobertas para detectar uma sequência de ataque em que um agente de ameaça explora um contêiner, obtém tokens privilegiados e acessa recursos confidenciais.
Considere as seguintes recomendações de GuardDuty:
+ Continue usando as regras de supressão para reduzir os alertas de atividades confiáveis conhecidas.
+ Mantenha as regras de supressão focadas em comportamentos específicos para os quais você não GuardDuty deseja gerar uma descoberta.
## Casos de uso comuns para regras de supressão e exemplos
Veja a seguir os tipos de descoberta em casos de uso comuns para aplicar regras de supressão: Escolha o nome da descoberta para aprender mais sobre a descoberta. Revise a descrição do caso de uso para decidir se deseja criar uma regra de supressão para esse tipo de descoberta.
**Importante**
GuardDuty recomenda que você crie regras de supressão de forma reativa e somente para descobertas para as quais você identificou repetidamente falsos positivos em seu ambiente.
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws): use uma regra de supressão para arquivar automaticamente as descobertas geradas quando a rede da VPC é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises, e não de um gateway da Internet da VPC.
Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises e não de um gateway da Internet (IGW) da VPC. Configurações comuns, como usar [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/), ou conexões de VPN da VPC podem resultar em tráfego roteado dessa maneira. Se esse comportamento for esperado, é recomendável usar regras de supressão no e criar uma regra que consiste em dois critérios de filtro. O primeiro critério é **tipo de descoberta**, que deve ser `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`. O segundo critério de filtro é o ** IPv4 endereço do chamador da API** com o endereço IP ou o intervalo CIDR do seu gateway de internet local. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base no endereço IP do chamador da API.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**nota**
Para incluir vários chamadores de API, IPs você pode adicionar um novo filtro de IPv4 endereço de chamador de API para cada um.
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan): use uma regra de supressão para arquivar automaticamente as descobertas ao usar um aplicativo de avaliação de vulnerabilidade.
A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo **Tipo de descoberta** com um valor de `Recon:EC2/Portscan`. O segundo critério de filtro deve corresponder a uma ou mais instâncias que hospedam essas ferramentas de avaliação de vulnerabilidade. É possível usar o atributo **ID da imagem da instância** ou o atributo de valor da **Tag** dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada AMI.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce): use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias bastion.
Se o alvo da tentativa de força bruta for um hospedeiro de bastião, isso pode representar o comportamento esperado para seu AWS ambiente. Se for esse o caso, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo **Tipo de descoberta** com um valor de `UnauthorizedAccess:EC2/SSHBruteForce`. O segundo critério de filtro deve corresponder a uma ou mais instâncias que servem como um bastion host. É possível usar o atributo **ID da imagem da instância** ou o atributo de valor da **Tag** dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com um determinado valor de tag de instância.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport): use uma regra de supressão para arquivar automaticamente as descobertas quando forem elas direcionadas a instâncias intencionalmente expostas.
Pode haver casos em que as instâncias são intencionalmente expostas; por exemplo, se estiverem hospedando servidores web. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo **Tipo de descoberta** com um valor de `Recon:EC2/PortProbeUnprotectedPort`. O segundo critério de filtro deve corresponder a uma ou mais instâncias que servem como um bastion host. É possível usar o atributo **ID da imagem da instância** ou o atributo de valor da **Tag** dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada chave de tag de instância no console.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### Regras de supressão recomendadas para descobertas do Monitoramento de runtime.
+ O [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) é gerado quando um processo dentro de um contêiner se comunica com o soquete do Docker. Pode haver contêineres em seu ambiente que precisem acessar o soquete do Docker por motivos legítimos. O acesso a partir desses contêineres gerará a descoberta PrivilegeEscalation:Runtime/DockerSocketAccessed. Se esse for um caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para esse tipo de descoberta. O primeiro critério deve usar o campo **Tipo de descoberta** com um valor igual a `PrivilegeEscalation:Runtime/DockerSocketAccessed`. O segundo critério de filtro é o campo **Caminho executável** com valor igual ao do processo `executablePath` na descoberta gerada. Como alternativa, o segundo critério de filtro pode usar o campo **Executável SHA-256** com valor igual ao do processo `executableSha256` na descoberta gerada.
+ Os clusters do Kubernetes executam seus próprios servidores DNS como pods, como `coredns`. Portanto, para cada consulta de DNS de um pod, GuardDuty captura dois eventos de DNS — um do pod e outro do pod do servidor. Isso pode gerar duplicatas para as seguintes descobertas de DNS:
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
As descobertas duplicadas incluirão detalhes do pod, do contêiner e do processo que correspondem ao pod do seu servidor DNS. Você pode configurar uma regra de supressão para suprimir essas descobertas duplicadas usando esses campos. O primeiro critério de filtro deve usar o campo **Tipo de descoberta** com valor igual a um tipo de descoberta de DNS da lista de descobertas fornecida anteriormente nesta seção. O segundo critério de filtro pode ser **Caminho executável** com valor igual ao `executablePath` do seu servidor DNS ou **Executável SHA-256** com valor igual ao `executableSHA256` do seu servidor DNS na descoberta gerada. Como terceiro critério de filtro opcional, é possível usar o campo de **imagem de contêiner do Kubernetes** com valor igual à imagem de contêiner do seu pod de servidor DNS na descoberta gerada.
# Criação de regras de supressão em GuardDuty
Uma regra de supressão é um conjunto de critérios que inclui o uso de atributos de filtro e o fornecimento de valores para os quais você não GuardDuty deseja gerar um tipo de descoberta. Os tipos de descoberta que correspondem a esses critérios são arquivados automaticamente. Para reduzir o ruído, as descobertas suprimidas não são enviadas para nenhuma das Serviços da AWS com as quais você possa se integrar. Para obter mais informações sobre como criar regras de supressão, consulte [Regras de supressão](findings_suppression-rule.md).
Você pode visualizar, criar e gerenciar regras de supressão usando a página **Regras de supressão** no console. GuardDuty As regras de supressão também podem ser geradas a partir dos filtros salvos existentes. Para obter mais informações sobre a criação de filtros, consulte [Filtrando descobertas em GuardDuty](guardduty_filter-findings.md).
Os critérios do filtro podem incluir uma correspondência exata usando **Iguais** e **NotEquals**operadores, uma **correspondência curinga** usando as **Correspondências** e **NotMatches**operadores ou uma **correspondência de comparação** usando operadores **GreaterThan**GreaterThanEquals****, e. **LessThan**LessThanEquals**** Mais informações sobre os operadores disponíveis podem ser encontradas na [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)página.
Escolha seu método de acesso preferido para criar uma regra de supressão para GuardDuty encontrar tipos.
------
#### [ Console ]
**Para criar uma regra de supressão usando o console:**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Na página **Regras de supressão**, clique em **Criar regra de supressão para abrir o formulário Criar regra** **de supressão**.
1. Insira um **Nome** para a regra de supressão. O nome deve ter de 3 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9, ponto (.), hífen (-) e sublinhado (\$1).
1. A **descrição** é opcional. Se você inserir uma descrição, ela pode ter até 512 caracteres. Os caracteres válidos são a-z, A-Z, 0-9, ponto (.), hífen (-), dois-pontos (:), colchetes (\$1\$1()[]), barra (/) e espaço.
1. A **classificação** é opcional. Pode ser um valor numérico de 1 até a contagem total de filtros e regras de supressão, mais 1.
1. Na seção **Atributos**, selecione uma **chave** e um **operador** no menu suspenso.
1. Insira o valor “string” ou “date” do selecionador de data com base na chave selecionada. Se for um valor de string, digite o texto e pressione enter. Vários valores podem ser adicionados no caso de valores de string.
1. Critérios adicionais podem ser adicionados selecionando **Adicionar critérios** para adicionar outro conjunto de **chave**, **operador** e **valor (es)**.
1. Selecione **Criar regra de supressão** para criar e salvar a regra de supressão.
Também é possível criar uma regra de supressão a partir de um filtro já salvo. Para obter mais informações sobre como criar ARNs, consulte [Filtrando descobertas em GuardDuty](guardduty_filter-findings.md).
**Para criar uma regra de supressão a partir de um filtro salvo:**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Na página **Descobertas**, no menu **Regras salvas**, selecione uma regra de conjunto de filtros salva. Isso exibirá automaticamente o conjunto de filtros e as descobertas que correspondem aos critérios.
1. Você também pode adicionar mais critérios de filtro a essa regra salva. Se você não precisar de critérios de filtro adicionais, pule esta etapa. Para adicionar um ou mais critérios de filtro, siga as etapas de 3 a 7 em [Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page) e continue com as etapas a seguir.
1. Depois de adicionar os critérios de filtro e confirmar que as descobertas filtradas atendem aos seus requisitos, escolha **Criar regra de supressão**.
1. Insira um **nome** para a regra de supressão. O nome deve ter de 3 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9, ponto (.), hífen (-) e sublinhado (\$1).
1. A **descrição** é opcional. Se você inserir uma descrição, ela pode ter até 512 caracteres.
1. Escolha **Criar**.
1. Se você não precisar adicionar outros critérios de filtro à regra salva, siga as etapas de 4 a 7 para criar o filtro.
------
#### [ API/CLI ]
**Para criar uma regra de supressão usando a API:**
1. Também é possível criar regras de supressão por meio da API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html). Para fazer isso, especifique os critérios de filtro em um arquivo JSON seguindo o formato do exemplo detalhado abaixo. O exemplo abaixo suprimirá qualquer descoberta não arquivada de baixa gravidade que tenha uma solicitação de DNS para o domínio `test.example.com`. Para descobertas de gravidade média, a lista de entrada será `["4", "5", "7"]`. Para descobertas de alta gravidade, a lista de entrada será `["6", "7", "8"]`. Para descobertas de gravidade crítica, a lista de entrada será `["9", "10"]`. Você também pode filtrar com base em qualquer valor na lista.
O exemplo a seguir adiciona um filtro para descobertas de baixa severidade para funções lambda com prefixo de nome de função "MyFunc" e tag de função com prefixo diferente de "” TestTag
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
Você pode criar regras de supressão usando caracteres curinga \$1 e? . Os curingas nos filtros são compatíveis somente com o uso de **correspondências** e **NotMatches**operadores. Para corresponder a qualquer número de caracteres, você pode usar \$1 no valor do atributo e, para corresponder a um único caractere, você pode usar? no valor do atributo. Os filtros suportam no máximo 5 atributos em uma única condição curinga e no máximo 5 caracteres curinga em um único atributo. O exemplo a seguir adiciona um filtro para o nome Lambda correspondente ao prefixo “MyFunc", mas não para funções Lambda com tags com "TestTag" como prefixo seguido por 0-2 caracteres.
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
Para obter uma lista de nomes de campo JSON e seus equivalentes de console, consulte [Filtros de propriedades em GuardDuty](guardduty_filter-findings.md#filter_criteria).
Para testar seus critérios de filtro, use o mesmo critério JSON na API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) e confirme se as descobertas corretas foram selecionadas. Para testar seus critérios de filtro usando, AWS CLI siga o exemplo usando seu próprio DetectorID e arquivo.json.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**nota**
A correspondência de curingas não está disponível para ListFindings e. GetFindingsStatistics Os critérios que contêm curingas não podem ser validados usando e. ListFindings GetFindingsStatistics
1. Carregue seu filtro para ser usado como regra de supressão com a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) ou usando a AWS CLI seguindo o exemplo abaixo com seu próprio ID de detector, um nome para a regra de supressão e um arquivo .json.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
Você pode ver uma lista de seus filtros programaticamente com a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html). Você pode ver os detalhes de um filtro individual fornecendo o nome do filtro à API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html). Atualize os filtros usando [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) ou exclua-os com a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html).
------
# Atualizando as regras de supressão no GuardDuty
Esta seção fornece as etapas para atualizar uma regra de supressão em sua Conta da AWS em um específico Região da AWS.
Você pode atualizar as regras de supressão existentes na página **Regras de supressão** no GuardDuty console. GuardDuty suporta a atualização da descrição do filtro de supressão, classificação e critérios de filtro a partir do GuardDuty console ou usando a GuardDuty CLI/API. A atualização da regra de supressão segue as mesmas restrições nos valores de campo para descrição, classificação e critérios de[Criar regras de supressão](create-suppression-rules-guardduty.md).
Caso tenha uma conta-membro, sua conta de administrador poderá realizar essa ação na sua conta. Para obter mais informações, consulte [Relações entre administradores do Macie e contas de membros](administrator_member_relationships.md).
Escolha seu método de acesso preferido para excluir uma regra de supressão para tipos de busca GuardDuty .
------
#### [ Console ]
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Na página **Regras de supressão**, selecione a regra de supressão a ser atualizada.
1. No menu suspenso **Ações**, selecione **Atualizar regra de supressão**.
1. Isso abre o formulário existente da regra de supressão.
1. Faça alterações na seção **Descrição**, **Classificação** e **Atributos** conforme necessário.
1. Selecione **Atualizar regra de supressão para atualizar a regra** de supressão.
------
#### [ API/CLI ]
**Para atualizar uma regra de supressão usando a API:**
1. Você pode atualizar as regras de supressão por meio da UpdateFilter API. Somente a **descrição**, a **classificação** e **os critérios** podem ser atualizados usando a UpdateFilter API. Todos esses três campos são opcionais.
1. Para atualizar um filtro existente, você precisará do nome do filtro que planeja atualizar.
1. Se você quiser atualizar os critérios existentes, crie um arquivo JSON com os critérios atualizados, semelhante à forma como você criou o filtro pela primeira vez. Um exemplo de critério para suprimir qualquer descoberta não arquivada de baixa gravidade que tenha uma solicitação de DNS para o domínio test.example.com. Para resultados de severidade média, a lista de entrada será ["4", “5", “7"]. Para resultados de alta severidade, a lista de entrada será ["6", “7", “8"]. Para constatações críticas de gravidade, a lista de entrada será ["9", “10"]. Você também pode filtrar com base em qualquer valor na lista. O exemplo a seguir adiciona um filtro para descobertas de baixa gravidade.
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
Para obter uma lista de nomes de campo JSON e seus equivalentes de console, consulte [Filtros de propriedades em GuardDuty](guardduty_filter-findings.md#filter_criteria).
Para testar seus critérios de filtro, use o mesmo critério JSON na API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) e confirme se as descobertas corretas foram selecionadas. Para testar seus critérios de filtro usando, AWS CLI siga o exemplo usando seu próprio DetectorID e arquivo.json.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty list-detectors --region us-east-1
```
1. Se quiser atualizar a descrição, você pode incluir o parâmetro description na chamada da CLI.
1. Se quiser atualizar a classificação, você pode incluir o parâmetro de classificação na chamada da CLI.
1. Se você quiser atualizar de um filtro de supressão para um filtro normal, use o parâmetro de ação e o valor como **ARCHIVE** na chamada da CLI.
1. Atualize sua API de filtro existente ou use o AWS CLI exemplo abaixo com seu próprio ID de detector, um nome para a regra de supressão e o arquivo.json.
1. Veja a seguir um exemplo de CLI que atualiza todos os parâmetros descritos acima. Você pode selecionar os parâmetros específicos a serem atualizados para seu caso de uso a partir do comando -
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# Excluindo regras de supressão em GuardDuty
Esta seção fornece as etapas para excluir uma regra de supressão em sua Conta da AWS em um específico Região da AWS.
Pode ser necessário excluir uma regra de supressão que não represente mais um comportamento esperado em seu ambiente. Você não deseja mais suprimir o tipo de descoberta associado para que isso GuardDuty possa gerar um tipo de descoberta.
Caso tenha uma conta-membro, sua conta de administrador poderá realizar essa ação na sua conta. Para obter mais informações, consulte [Relações entre administradores do Macie e contas de membros](administrator_member_relationships.md).
Escolha seu método de acesso preferido para excluir uma regra de supressão para GuardDuty encontrar tipos.
------
#### [ Console ]
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Na página **Regras de supressão**, selecione a regra de supressão a ser excluída.
1. No menu suspenso **Ações**, selecione **Excluir regra de supressão**.
1. Ele exibe um pop-up de confirmação. Selecione **Excluir** para continuar com a exclusão. Ou selecione **Cancelar** para cancelar a operação.
------
#### [ API/CLI ]
Execute a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html). Especifique o nome do filtro e o ID do detector associado para a região específica.
Como alternativa, você pode usar o AWS CLI exemplo a seguir substituindo os valores formatados em: *red*
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
------
# Customizing threat detection with entity lists and IP address lists
A Amazon GuardDuty monitora a segurança do seu AWS ambiente analisando e processando registros de fluxo de VPC, registros de AWS CloudTrail eventos e registros de DNS. Ao habilitar um ou mais [planos de GuardDuty proteção focados em casos de uso](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (exceto[Monitoramento de runtime](runtime-monitoring.md), você pode expandir os recursos de monitoramento internos). GuardDuty
Com listas, GuardDuty ajuda você a personalizar o escopo da detecção de ameaças em seu ambiente. Você pode configurar GuardDuty para parar de gerar descobertas de suas fontes confiáveis e gerar descobertas de fontes maliciosas conhecidas a partir de suas listas de ameaças. GuardDuty continua oferecendo suporte a listas de endereços IP antigas e estende o suporte a listas de entidades (recomendadas) que podem conter endereços IP, domínios ou ambos.
**Topics**
+ [Noções básicas sobre listas de entidades e listas de endereços IP](#guardduty-threat-intel-list-entity-sets)
+ [Considerações importantes sobre listas GuardDuty](#guardduty-lists-entity-sets-considerations)
+ [Formatos das listas](#prepare_list)
+ [Noções básicas sobre os status de listas](#guardduty-entity-list-statuses)
+ [Configuração de pré-requisitos para listas de entidades e listas de endereços IP](guardduty-lists-prerequisites.md)
+ [Como adicionar e ativar uma lista de entidades ou lista de IPs](guardduty-lists-create-activate.md)
+ [Atualizando uma lista de entidades ou lista de endereços IP](guardduty-lists-update-procedure.md)
+ [Desativar uma lista de entidades ou lista de endereços IP](guardduty-lists-deactivate-procedure.md)
+ [Excluindo lista de entidades ou lista de endereços IP](guardduty-lists-delete-procedure.md)
## Noções básicas sobre listas de entidades e listas de endereços IP
GuardDuty oferece duas abordagens de implementação: listas de entidades (recomendadas) e listas de IP. Ambas as abordagens ajudam você a especificar fontes confiáveis, que GuardDuty impedem de gerar descobertas, e ameaças conhecidas, que são GuardDuty usadas para gerar descobertas.
**As listas de entidades** oferecem suporte a endereços IP e nomes de domínio. Elas usam acesso direto ao Amazon Simple Storage Service (Amazon S3) com uma única permissão do IAM que não afeta os limites de tamanho da política do IAM em várias regiões.
As **listas de IP** oferecem suporte somente para endereços IP e usam [GuardDuty função vinculada ao serviço (SLR)](slr-permissions.md) (SLR), exigindo atualizações da política do IAM por região, o que pode afetar os limites de tamanho da política do IAM.
As listas confiáveis (listas de entidades e listas de endereços IP) incluem entradas nas quais você confia para comunicação segura com sua AWS infraestrutura. GuardDuty não gera descobertas para entradas listadas em fontes confiáveis. A qualquer momento, você pode adicionar somente uma lista de entidades confiáveis e uma lista de endereços IP confiáveis Conta da AWS por região.
As listas de ameaças (listas de entidades e listas de endereços IP) incluem entradas que você identificou como fontes conhecidas maliciosas. Quando GuardDuty detecta uma atividade envolvendo essas fontes, ela gera descobertas para alertá-lo sobre possíveis problemas de segurança. Você pode criar suas próprias listas de ameaças ou incorporar feeds de inteligência de ameaças de terceiros. Essa lista pode ser fornecida por inteligência de ameaças de terceiros ou criada especificamente para sua organização. Além de gerar descobertas devido a uma atividade potencialmente suspeita, GuardDuty também gera descobertas com base em uma atividade que envolve entradas de suas listas de ameaças. A qualquer momento, você pode carregar até seis listas de entidades de ameaças e listas de endereços IP de ameaças Conta da AWS por região.
**nota**
Para migrar de listas de endereços IP para listas de entidades, siga [Pré-requisitos para listas de entidades](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), adicione e ative a lista de entidades necessária. Depois disso, você pode optar por desativar ou excluir a lista de endereços IP correspondente.
## Considerações importantes sobre listas GuardDuty
Antes de começar a trabalhar com listas, leia as considerações a seguir:
+ As listas de endereços IPs e listas de ameaças são aplicáveis somente ao tráfego destinado para domínios e endereços IP roteáveis publicamente.
+ Em uma lista de entidades, as entradas se aplicam às CloudTrail descobertas dos registros de consulta de DNS do VPC Flow Logs no Amazon VPC e do Route53 Resolver.
Em uma lista de endereços IP, as entradas se aplicam aos CloudTrail registros de fluxo de VPC nas descobertas do Amazon VPC, mas não às descobertas dos registros de consulta de DNS do Route53 Resolver.
+ Se você incluir o mesmo endereço IP ou domínio nas listas confiáveis e de ameaças, essa entrada na lista de confiáveis terá precedência. GuardDuty não gerará uma descoberta se houver uma atividade associada a essa entrada.
+ Em um ambiente com várias contas, somente a conta GuardDuty do administrador pode gerenciar listas. Essa configuração se aplica automaticamente às contas dos membros. GuardDuty gera descobertas com base em uma atividade que envolve endereços IP (e domínios) maliciosos conhecidos das fontes de ameaça da conta do administrador e não gera descobertas com base em atividades que envolvem endereços IP (e domínios) das fontes confiáveis da conta do administrador. Para obter mais informações, consulte [Várias contas na Amazon GuardDuty](guardduty_accounts.md).
+ Somente IPv4 endereços são aceitos. IPv6 endereços não são suportados.
+ Depois de ativar, desativar ou excluir uma lista de entidades ou uma lista de endereços IP, estima-se que o processo seja concluído em 15 minutos. Em determinadas situações, o processo pode levar até 40 minutos para ser concluído.
+ GuardDuty usa uma lista para detecção de ameaças somente quando o status da lista se torna **Ativo**.
+ Sempre que você adiciona ou atualiza uma entrada no local do bucket do S3 da lista, você deve ativar a lista novamente. Para obter mais informações, consulte [Atualizando uma lista de entidades ou lista de endereços IP](guardduty-lists-update-procedure.md).
+ As listas de entidades e de endereços IP têm diferentes cotas. Para obter mais informações, consulte [GuardDuty cotas](guardduty_limits.md).
## Formatos das listas
GuardDuty aceita vários formatos de arquivo para suas listas e listas de entidades, com um máximo de 35 MB por arquivo. Cada formato tem requisitos e recursos específicos.
### Texto sem formatação (TXT)
Esse formato oferece suporte a endereços IP, intervalos CIDR e nomes de domínio. Cada entrada deve aparecer em uma linha separada.
**Example **Exemplo de lista de entidades****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **Exemplo de lista de endereços IP****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Expressão estruturada de informações sobre ameaças (STIX)
Esse formato oferece suporte a endereços IP, bloco CIDR e nomes de domínio. O STIX permite que você inclua contexto adicional com sua inteligência de ameaças. GuardDuty processa endereços IP, intervalos CIDR e nomes de domínio dos indicadores STIX.
**Example **Exemplo de uma lista de entidades****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **Exemplo de uma lista de endereços IP****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### CSV Open Threat Exchange (OTX)TM
Esse formato oferece suporte a bloco CIDR, endereços IP individuais e domínios. Esse formato de arquivo tem valores separados por vírgulas.
**Example **Exemplo de lista de entidades****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **Exemplo de lista de endereços IP****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeCSV de inteligência de ameaças do TM iSight
Esse formato oferece suporte a bloco CIDR, endereços IP individuais e domínios. Os exemplos de listas a seguir usam um formato CSV do `FireEyeTM`.
**Example **Exemplo de lista de entidades****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **Exemplo de lista de endereços IP****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### CSV ProofpointTM ET Intelligence Feed
No formato ProofPoint CSV, você pode adicionar endereços IP ou nomes de domínio em uma única lista. A lista de exemplo a seguir usa o formato CSV `Proofpoint`. O fornecimento de um valor para o parâmetro `ports` é opcional. Se você não fornecer, deixe uma vírgula (,) no final.
**Example **Exemplo de lista de entidades****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **Exemplo de lista de endereços IP****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultFeed de reputação da TM
A lista de exemplos a seguir usa o formato `AlienVault`.
**Example **Exemplo de lista de entidades****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **Exemplo de lista de endereços IP****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## Noções básicas sobre os status de listas
Quando você adiciona uma lista de entidades ou uma lista de endereços IP, GuardDuty mostra o status dessa lista. A coluna **Status** indica se a lista é efetiva e se alguma ação é necessária. A lista a seguir descreve valores de status válidos:
+ **Ativo** – indica que a lista está sendo usada atualmente para detecção personalizada de ameaças.
+ **Inativo** – indica que a lista não está em uso no momento. GuardDuty Para usar essa lista para detecção de ameaças em seu ambiente, consulte Etapa 3: Ativando uma lista de entidades ou lista de endereços IP em[Como adicionar e ativar uma lista de entidades ou lista de IPs](guardduty-lists-create-activate.md).
+ **Erro** – indica que há um problema com a lista. Passe o mouse sobre o status para ver os detalhes do erro.
+ **Ativando** — Indica que GuardDuty iniciou o processo de ativação da lista. Você pode continuar monitorando o status dessa lista. Se não houver erro, o status deverá ser atualizado para **Ativo**. Enquanto o status permanecer **Ativando**, você não poderá realizar nenhuma ação nessa lista. Pode levar alguns minutos para que o status da lista mude para o estado **Ativo**.
+ **Desativação** — Indica que GuardDuty iniciou o processo de desativação da lista. Você pode continuar monitorando o status dessa lista. Se não houver erro, o status deverá ser atualizado para **Inativo**. Enquanto o status permanecer **Desativando**, você não poderá realizar nenhuma ação nessa lista.
+ **Exclusão pendente** – indica que a lista está em processo de ser excluída. Enquanto o status permanecer **Exclusão pendente**, você não poderá realizar nenhuma ação nessa lista.
# Configuração de pré-requisitos para listas de entidades e listas de endereços IP
GuardDuty usa listas de entidades e listas de endereços IP para personalizar a detecção de ameaças em seu AWS ambiente. As listas de entidades (recomendadas) aceitam endereços IP e nomes de domínio, enquanto as listas de endereços IP aceitam apenas endereços IP. Antes de começar a criar essas listas, você deverá adicionar as permissões necessárias para o tipo de lista que deseja usar.
## Pré-requisitos para listas de entidades
Quando você adiciona listas de entidades, GuardDuty lê suas listas confiáveis e de inteligência de ameaças dos buckets do S3. O perfil que você usa para criar listas de entidades deve ter a permissão `s3:GetObject` para que os buckets do S3 contenham essas listas.
**nota**
Em um ambiente com várias contas, somente a conta do GuardDuty administrador pode gerenciar listas, que se aplicam automaticamente às contas dos membros.
Se você ainda não tiver a `s3:GetObject` permissão para a localização do bucket do S3, use o exemplo de política a seguir e *amzn-s3-demo-bucket* substitua pela localização do bucket do S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## Pré-requisitos para listas de endereços IP
Várias identidades do IAM exigem permissões especiais para trabalhar com listas de IPs confiáveis e listas de ameaças. GuardDuty Uma identidade com a política gerenciada [AmazonGuardDutyFullAccess\$1v2 (recomendado)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) anexada só pode renomear e desabilitar as listas de IP confiáveis e listas de ameaças carregadas.
Para conceder a várias identidades o acesso total para trabalhar com listas de IP confiáveis e listas de ameaças (além de renomear e desabilitar, isso inclui fazer upload, habilitar, excluir e atualizar a localização da lista), as seguintes ações devem estar presentes na política de permissões anexada a um usuário, um grupo ou uma função do IAM:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**Importante**
Essas ações não estão incluídas na política gerenciada `AmazonGuardDutyFullAccess`.
### Uso de criptografia SSE-KMS com listas de entidades e listas de IPs
GuardDuty suporta criptografia SSE AES256 e SSE-KMS para suas listas. O SSE-C não é compatível. Para obter mais informações sobre os tipos de criptografia do S3, consulte [Proteger dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html).
Independentemente de você usar listas de entidades ou listas de IP, se você usa SSE-KMS, adicione a seguinte declaração à sua política. AWS KMS key *123456789012*Substitua pelo seu próprio ID de conta.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# Como adicionar e ativar uma lista de entidades ou lista de IPs
Listas de entidades e listas de endereços IP ajudam você a personalizar os recursos de detecção de ameaças no GuardDuty. Para obter mais informações sobre essas listas, consulte [Noções básicas sobre listas de entidades e listas de endereços IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets). Para gerenciar os dados confiáveis e de inteligência de ameaças do seu AWS ambiente, GuardDuty recomenda o uso de listas de entidades. Antes de começar, consulte [Configuração de pré-requisitos para listas de entidades e listas de endereços IP](guardduty-lists-prerequisites.md).
Escolha um dos métodos de acesso a seguir para adicionar e habilitar uma lista de entidades confiável, uma lista de entidades de ameaças, uma lista de IPs confiáveis ou uma lista de IPs de ameaças.
------
#### [ Console ]
**(Opcional) Etapa 1: buscar o URL do local da sua lista**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação, escolha **Buckets**.
1. Escolha o nome do bucket do Amazon S3 com a lista específica que deseja adicionar.
1. Escolha o nome do objeto (lista) para visualizar os respectivos detalhes.
1. Na guia **Propriedades**, copie o **URI do S3** para esse objeto.
**Etapa 2: adicionar dados confiáveis ou de inteligência contra ameaças**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Listas de domínios**.
1. Na página **Listas**, escolha a guia **Listas de entidades** ou **Listas de endereços IP**.
1. Com base na guia selecionada, escolha para adicionar uma lista confiável ou uma lista de ameaças.
1. Na caixa de diálogo para adicionar uma lista confiável ou de ameaças, faça o seguinte:
1. Em **Nome da lista**, insira um nome para sua lista.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.
1. Em **Localização**, informe o local em que o upload da sua lista foi realizado. Se você ainda não tiver configurado, consulte [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage).
Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.
**Formato do URL de localização:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (Opcional) Para **Proprietário esperado do bucket**, você pode inserir o Conta da AWS ID que possui o bucket do Amazon S3 especificado no campo **Localização**.
Quando você não especifica um proprietário de Conta da AWS ID, ele se GuardDuty comporta de forma diferente para listas de entidades e listas de endereços IP. Para listas de entidades, GuardDuty validará se a conta do membro atual é proprietária do bucket S3 especificado no campo **Localização**. Para listas de endereços IP, se você não especificar um proprietário de Conta da AWS ID, GuardDuty não realiza nenhuma validação.
Se GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificado, você receberá um erro no momento da ativação da lista.
1. Marque a caixa de seleção **Concordo**.
1. Escolha **Adicionar lista**. Por padrão, o **Status** da lista adicionada é **Inativo**. Para que a lista seja efetiva, você deve habilitá-la.
**Etapa 3: ativar uma lista de entidades ou lista de endereços IP**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Listas de domínios**.
1. Na página **Listas**, selecione a guia na qual você deseja ativar a lista – **Listas de entidades** ou **Listas de endereços IP**.
1. Selecione uma lista que você deseja ativar. Isso habilitará o menu **Ação** e **Editar**.
1. Escolha **Ações** e **Ativar**.
------
#### [ API/CLI ]
**Para adicionar e ativar uma lista de entidades confiáveis**
1. Executar [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html). Forneça o `detectorId` da conta de membro para a qual deseja criar essa lista de entidades confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
1. Outra alternativa é executar o seguinte comando da AWS Command Line Interface :
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que sejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se a Conta da AWS ID associada a esse `--detector-id` valor possui o bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.
**Para adicionar e ativar listas de entidades de ameaças**
1. Executar [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html). Forneça o `detectorId` da conta de membro para a qual você deseja criar essa lista de entidades de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
1. Outra alternativa é executar o seguinte comando da AWS Command Line Interface :
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que sejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se a Conta da AWS ID associada a esse `--detector-id` valor possui o bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.
**Para adicionar e ativar uma lista de endereços IPs confiáveis**
1. Execute [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Forneça o `detectorId` da conta de membro para a qual deseja criar essa lista de endereços IPs confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
1. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo `detector-id` pelo ID do detector da conta de membro para a qual a lista de endereços IPs confiáveis será atualizada.
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você criará a lista de IPs confiáveis e outros valores de espaço reservado que sejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o `expected-bucket-owner` parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
**Para adicionar e ativar listas de IP de ameaças**
1. Executar [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Forneça o `detectorId` da conta de membro para a qual deseja criar essa lista de endereços IPs de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.
1. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo `detector-id` pelo ID do detector da conta de membro para a qual a lista de IPs confiáveis será atualizada.
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você criará a lista de IPs de ameaças e outros valores de espaço reservado que estejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o `expected-bucket-owner` parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
------
Depois que você ativar uma lista de entidades ou de endereços IP, poderá levar alguns minutos para que essa lista entre em vigor. Para obter mais informações, consulte [Considerações importantes sobre listas GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
# Atualizando uma lista de entidades ou lista de endereços IP
Listas de entidades e listas de endereços IP ajudam você a personalizar os recursos de detecção de ameaças no GuardDuty. Para obter mais informações sobre essas listas, consulte [Noções básicas sobre listas de entidades e listas de endereços IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets).
Você pode atualizar o nome de uma lista, a localização do bucket do S3, o ID esperado da conta do proprietário do bucket e as entradas em uma lista existente. Se você atualizar as entradas em uma lista, deverá seguir as etapas para ativar a lista novamente GuardDuty para usar a versão mais recente da lista. Depois que você atualizar ou ativar uma lista de entidades ou de endereços IP, poderá levar alguns minutos para que essa lista entre em vigor. Para obter mais informações, consulte [Considerações importantes sobre listas GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
**nota**
Se o status da lista for **Ativando**, **Desativando** ou **Exclusão pendente**, você deverá aguardar alguns minutos antes de realizar qualquer ação. Para informações sobre esses status, consulte [Noções básicas sobre os status de listas](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Selecione um dos métodos de acesso para atualizar uma lista de entidades ou uma lista de endereços IP.
------
#### [ Console ]
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Listas de domínios**.
1. Na página **Listas**, escolha a guia apropriada **Listas de entidades** ou **Listas de endereços IP**.
1. Selecione uma lista (confiável ou de ameaças) que você deseja atualizar. Isso habilitará o menu **Ação** e **Editar**.
1. Escolha **Editar**.
1. Na caixa de diálogo para atualizar a lista, especifique os detalhes que você deseja atualizar.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.
Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.
1. (Opcional) Para **Proprietário esperado do bucket**, você pode inserir o Conta da AWS ID que possui o bucket do Amazon S3 especificado no campo **Localização**.
Quando você não especifica um proprietário de Conta da AWS ID, ele se GuardDuty comporta de forma diferente para listas de entidades e listas de endereços IP. Para listas de entidades, GuardDuty validará se a conta do membro atual é proprietária do bucket S3 especificado no campo **Localização**. Para listas de endereços IP, se você não especificar um proprietário de Conta da AWS ID, GuardDuty não realiza nenhuma validação.
Se GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificado, você receberá um erro no momento da ativação da lista.
1. Marque a caixa de seleção **Concordo** e, em seguida, selecione **Atualizar lista**.
------
#### [ API/CLI ]
Para começar com os procedimentos a seguir, você precisa do ID, como `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` ou `threatIpSet`, que está associado ao recurso da lista que você deseja atualizar.
**Para atualizar e ativar uma lista de entidades confiáveis**
1. Executar [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Forneça o `detectorId` da conta de membro para a qual deseja atualizar essa lista de entidades confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
1. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que atualiza o `name` da lista e também ativa essa lista:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que sejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se o Conta da AWS ID associado a esse `--detector-id` valor possui o bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.
**Para atualizar e ativar uma lista de entidades de ameaças**
1. Executar [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Forneça o `detectorId` da conta de membro para a qual você deseja criar essa lista de entidades de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
1. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que atualiza o `name` da lista e também ativa essa lista:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades ameaçadoras e outros valores de espaço reservado que estejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se o Conta da AWS ID associado a esse `--detector-id` valor possui o bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.
**Para atualizar e ativar uma lista de endereços IPs confiáveis**
1. Execute [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Forneça o `detectorId` da conta de membro para a qual deseja atualizar essa lista de endereços IP confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.
1. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que também ativa a lista:
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você atualizará a lista de IPs confiáveis e outros valores de espaço reservado que estejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o `expected-bucket-owner` parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
**Para adicionar e ativar listas de IP de ameaças**
1. Executar [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Forneça o `detectorId` da conta de membro para a qual deseja criar essa lista de endereços IPs de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restrições de nomenclatura da lista** — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (\$1).
Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.
1. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que também ativa a lista:
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você atualizará a lista de IPs de ameaças e outros valores de espaço reservado que estejam*shown in red*.
Se você não quiser ativar essa lista recém-criada, substitua o parâmetro `--activate` por `--no-activate`.
O parâmetro `expected-bucket-owner` é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o `expected-bucket-owner` parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no `--location` parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.
------
# Desativar uma lista de entidades ou lista de endereços IP
Quando você não quiser mais GuardDuty usar uma lista, poderá desativá-la. O processo pode levar alguns minutos para ser concluído. Para obter mais informações, consulte [Considerações importantes sobre listas GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). Depois que a lista for desativada, as entradas na lista de entidades ou na lista de endereços IP não afetarão a detecção de ameaças em GuardDuty.
Selecione um dos métodos de acesso para desativar a lista.
------
#### [ Console ]
**Para desativar uma lista de entidades ou lista de endereços IP**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Listas de domínios**.
1. Na página **Lista**, selecione a guia na qual você deseja desativar a lista – **Listas de entidades** ou **Listas de endereços IP**.
1. Na guia selecionada, selecione a lista que você deseja desativar.
1. Escolha **Ações** e **Desativar**.
1. Confirme a ação e escolha **Desativar**.
------
#### [ API/CLI ]
Para começar com os procedimentos a seguir, você precisa do ID, como `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` ou `threatIpSet`, que está associado ao recurso da lista que você deseja desativar.
**Para desativar uma lista de entidades confiáveis**
1. Executar [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Forneça o `detectorId` da conta de membro para a qual deseja desativar essa lista de entidades confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Outra alternativa é executar o seguinte comando da AWS Command Line Interface :
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você desativará a lista de entidades confiáveis e outros valores de espaço reservado que estejam. *shown in red*
**Para desativar listas de entidades de ameaças**
1. Executar [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Forneça o `detectorId` da conta de membro para a qual deseja desativar essa lista de entidades de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Outra alternativa é executar o seguinte comando da AWS Command Line Interface :
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Substitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades ameaçadoras e outros valores de espaço reservado que estejam*shown in red*.
**Para desativar uma lista de endereços IP confiáveis**
1. Execute [a atualização IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html). Forneça o `detectorId` da conta de membro para a qual deseja desativar essa lista de endereços IP confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo `detector-id` pelo ID do detector da conta de membro para a qual a lista de endereços IPs confiáveis será desativada.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**Para desativar a lista de IPs de ameaças**
1. Executar [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html). Forneça o `detectorId` da conta de membro para a qual deseja desativar essa lista de endereços IP de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo `detector-id` pelo ID do detector da conta de membro para a qual a lista de IPs de ameaças será desativada.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# Excluindo lista de entidades ou lista de endereços IP
Quando você não quiser mais manter uma entrada de listas em seu conjunto de entidades ou de endereços IP, exclua-a. O processo pode levar alguns minutos para ser concluído. Para obter mais informações, consulte [Considerações importantes sobre listas GuardDuty](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
Se o status da lista for **Ativando** ou **Desativando**, você deverá aguardar alguns minutos antes de realizar qualquer ação. Para obter mais informações, consulte [Noções básicas sobre os status de listas](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Selecione um dos métodos de acesso para excluir a lista.
------
#### [ Console ]
**Para excluir a lista de entidades ou de endereços IP**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Listas de domínios**.
1. Na página **Lista**, selecione a guia na qual você deseja excluir a lista – **Listas de entidades** ou **Listas de endereços IP**.
1. Na guia selecionada, selecione a lista que você deseja excluir.
1. Escolha **Ações** e, em seguida, escolha **Excluir**.
O status da lista mudará para **Excluir pendente**. Pode levar alguns minutos para que a lista seja excluída.
------
#### [ API/CLI ]
Para começar com os procedimentos a seguir, você precisa do ID, como `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` ou `threatIpSet`, que está associado ao recurso da lista que você deseja excluir.
**Para excluir uma lista de entidades confiáveis**
1. Executar [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html). Forneça o `detectorId` da conta de membro para a qual deseja excluir essa lista de entidades confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Outra alternativa é executar o seguinte comando da AWS Command Line Interface :
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Substitua pelo ID do detector da conta do membro da qual você excluirá a lista de entidades confiáveis e outros valores de espaço reservado que estejam*shown in red*.
**Para desativar listas de entidades de ameaças**
1. Executar [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html). Forneça o `detectorId` da conta de membro para a qual deseja excluir essa lista de entidades de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Outra alternativa é executar o seguinte comando da AWS Command Line Interface :
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Substitua pelo ID do detector da conta do membro da qual você excluirá a lista de entidades ameaçadoras e outros valores de espaço reservado que estejam*shown in red*.
**Para excluir uma lista de endereços IP confiáveis**
1. Execute [Delete IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html). Forneça o `detectorId` da conta de membro para a qual deseja excluir essa lista de endereços IP confiáveis. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, pode-se fazer isso executando o comando AWS Command Line Interface a seguir e substituindo `detector-id` pelo ID do detector da conta de membro para a qual a lista de endereços IPs confiáveis será excluída.
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Substitua pelo ID do detector da conta do membro da qual você excluirá a lista de entidades ameaçadoras e outros valores de espaço reservado que estejam*shown in red*.
**Para excluir a lista de IPs de ameaças**
1. Executar [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html). Forneça o `detectorId` da conta de membro para a qual deseja excluir essa lista de endereços IP de ameaças. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo `detector-id` pelo ID do detector da conta de membro para a qual a lista de IPs de ameaças será excluída.
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Substitua pelo ID do detector da conta do membro da qual você excluirá a lista de entidades ameaçadoras e outros valores de espaço reservado que estejam*shown in red*.
------
# Exportação das GuardDuty descobertas geradas para buckets do Amazon S3
GuardDuty retém as descobertas geradas por um período de 90 dias. GuardDuty exporta as descobertas ativas para a Amazon EventBridge (EventBridge). Opcionalmente, pode-se exportar as descobertas geradas para um bucket do Amazon Simple Storage Service (Amazon S3). Isso ajudará você a rastrear dados históricos de possíveis atividades suspeitas em sua conta e avaliar se as etapas de remediação recomendadas foram bem-sucedidas.
Todas as novas descobertas ativas GuardDuty geradas são exportadas automaticamente em cerca de 5 minutos após a geração da descoberta. Você pode definir a frequência com que as atualizações das descobertas ativas são exportadas para EventBridge. A frequência selecionada se aplica à exportação de novas ocorrências de descobertas existentes para EventBridge seu bucket S3 (quando configurado) e Detective (quando integrado). Para obter informações sobre como GuardDuty agrega várias ocorrências de descobertas existentes, consulte. [GuardDuty encontrando agregação](finding-aggregation.md)
Quando você define as configurações para exportar descobertas para um bucket do Amazon S3, GuardDuty usa AWS Key Management Service (AWS KMS) para criptografar os dados das descobertas em seu bucket do S3. Isso exige que você adicione permissões ao seu bucket do S3 e à AWS KMS chave para que você GuardDuty possa usá-las para exportar descobertas em sua conta.
**Topics**
+ [Considerações](#guardduty-export-findings-considerations)
+ [Etapa 1: Permissões necessárias para configurar a exportação de descobertas](#guardduty_exportfindings-permissions)
+ [Etapa 2: Anexar política à sua chave do KMS](#guardduty-exporting-findings-kms-policy)
+ [Etapa 3: Anexar uma política ao bucket Amazon S3](#guardduty_exportfindings-s3-policies)
+ [Etapa 4: Exportar descobertas para um bucket do S3 (console)](#guardduty_exportfindings-new-bucket)
+ [Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas](#guardduty_exportfindings-frequency)
## Considerações
Antes de prosseguir com os pré-requisitos e as etapas para exportar as descobertas, considere os seguintes conceitos-chave:
+ **As configurações de exportação são regionais** — você precisa configurar as opções de exportação em cada região em que você usa GuardDuty.
+ **Exportar descobertas para buckets do Amazon S3 em Regiões da AWS diferentes (entre regiões**) GuardDuty — suporta as seguintes configurações de exportação:
+ Seu bucket ou objeto do Amazon S3 e sua AWS KMS chave devem pertencer ao mesmo. Região da AWS
+ Para as descobertas geradas em uma região comercial, é possível optar por exportar essas descobertas para um bucket S3 em qualquer região comercial. No entanto, você não pode exportar essas descobertas para um bucket S3 em uma região de adesão.
+ Para as descobertas geradas em uma região de aceitação, é possível optar por exportar essas descobertas para a mesma região de aceitação em que foram geradas ou para qualquer região comercial. No entanto, não é possível exportar as descobertas de uma região de opt-in para outra região de opt-in.
+ **Permissões para exportar descobertas** — Para definir as configurações para exportar descobertas ativas, seu bucket do S3 deve ter permissões que permitam GuardDuty fazer upload de objetos. Você também deve ter uma AWS KMS chave que GuardDuty possa ser usada para criptografar as descobertas.
+ **Descobertas arquivadas não exportadas**: o comportamento padrão é que as descobertas arquivadas, incluindo novas instâncias de descobertas suprimidas, não sejam exportadas.
Quando uma GuardDuty descoberta for gerada como *arquivada*, você precisará *desarquivá-la*. Isso altera o **status de localização do filtro** para **Ativo**. GuardDuty exporta as atualizações para as descobertas não arquivadas existentes com base em como você configura. [Etapa 5 — Frequência de exportação de descobertas](#guardduty_exportfindings-frequency)
+ GuardDuty a **conta do administrador pode exportar descobertas geradas em contas de membros associadas** — Quando você configura descobertas de exportação em uma conta de administrador, todas as descobertas das contas de membros associadas que são geradas na mesma região também são exportadas para o mesmo local que você configurou para a conta do administrador. Para obter mais informações, consulte [Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros](administrator_member_relationships.md).
## Etapa 1: Permissões necessárias para configurar a exportação de descobertas
Ao definir as configurações para exportar descobertas, você seleciona um bucket do Amazon S3 onde você pode armazenar as descobertas e AWS KMS uma chave para usar na criptografia de dados. Além das permissões para GuardDuty ações, você também deve ter permissões para as seguintes ações para definir com êxito as configurações para exportar descobertas:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
Se você precisar exportar as descobertas para um prefixo específico em seu bucket do Amazon S3, você também deve adicionar as seguintes permissões ao perfil do IAM:
+ `s3:GetObject`
+ `s3:ListBucket`
## Etapa 2: Anexar política à sua chave do KMS
GuardDuty criptografa os dados de descobertas em seu bucket usando AWS Key Management Service. Para definir as configurações com êxito, primeiro você deve dar GuardDuty permissão para usar uma chave KMS. Você pode conceder as permissões [anexando a política](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) à sua chave do KMS.
Ao usar uma chave KMS de outra conta, você precisa aplicar a política de chaves fazendo login no Conta da AWS proprietário da chave. Ao configurar para exportar descobertas, você também precisará da chave ARN dessa conta que possui a chave.
**Para modificar a política de chaves do KMS para GuardDuty criptografar suas descobertas exportadas**
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. Selecione uma chave KMS existente ou execute as etapas para [Criar uma nova chave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *, que você usará para criptografar as descobertas exportadas.
**nota**
A chave Região da AWS do KMS e o bucket do Amazon S3 devem ser iguais.
Use o mesmo bucket do S3 e o mesmo par de chaves KMS para exportar as descobertas de qualquer região aplicável. Para obter mais informações, consulte [Considerações](#guardduty-export-findings-considerations) para exportar descobertas do entre regiões.
1. Na seção **Política de chave** escolha **Editar**.
Se **Mudar para visualização da política** for exibido, selecione-o para exibir a **Política de chave** e, em seguida, escolha **Editar**.
1. Copie o seguinte bloco de política para sua política de chaves do KMS para conceder GuardDuty permissão para usar sua chave.
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. Edite a política substituindo os seguintes valores que estão formatados **red**no exemplo de política:
1. *KMS key ARN*Substitua pelo Amazon Resource Name (ARN) da chave KMS. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1. *123456789012*Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.
1. *Region2*Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.
1. *SourceDetectorID*Substitua pela `detectorID` da GuardDuty conta na região específica em que as descobertas foram geradas.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**nota**
Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Para obter informações sobre endpoints para cada região de inscrição, consulte [GuardDuty endpoints](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) e cotas.
1. Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.
Escolha **Salvar**.
1. (Opcional) copie o ARN da chave em um bloco de notas para uso nas etapas posteriores.
## Etapa 3: Anexar uma política ao bucket Amazon S3
Adicione permissões ao bucket do Amazon S3 para o qual você exportará as descobertas para que GuardDuty possa fazer upload de objetos para esse bucket do S3. Independentemente de usar um bucket do Amazon S3 que pertença à sua conta ou a outra Conta da AWS, você deve adicionar essas permissões.
Caso, em algum momento, as descobertas sejam exportadas para um bucket S3 diferente, para continuar exportando as descobertas, será necessário adicionar permissões a esse bucket do S3 e definir novamente as configurações de exportação de descobertas.
Se você ainda não tem um bucket do Amazon S3 para o qual deseja exportar essas descobertas, consulte [Criação de um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) no *Guia do usuário do Amazon S3*.
### Anexar permissões a sua política de bucket do S3
1. Execute as etapas em [Para criar ou editar uma política de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon S3*, até que a página **Editar política de bucket** seja exibida.
1. O **exemplo de política** mostra como conceder GuardDuty permissão para exportar descobertas para seu bucket do Amazon S3. Caso altere o caminho depois de configurar a exportação de descobertas, você deve modificar a política para conceder permissão para o novo local.
Copie a **política de exemplo** a seguir e cole-a no **Editor de políticas do bucket**.
Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.
**Exemplo de política de bucket do S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Edite a política substituindo os seguintes valores que estão formatados **red**no exemplo de política:
1. *Amazon S3 bucket ARN*Substitua pelo nome de recurso da Amazon (ARN) do bucket do Amazon S3. Você pode encontrar o **ARN do bucket** na página **Editar política do bucket** no [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)console.
1. *123456789012*Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.
1. *us-east-2*Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.
1. *SourceDetectorID*Substitua pela `detectorID` da GuardDuty conta na região específica em que as descobertas foram geradas.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Substitua *[optional prefix]* parte do valor do *S3 bucket ARN/[optional prefix]* espaço reservado por um local de pasta opcional para o qual você deseja exportar as descobertas. Para obter mais informações sobre ouso de prefixos, consulte [Organizando objetos usando prefixos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) no *Guia de usuário do Amazon S3*.
Quando você fornece um local de pasta opcional que ainda não existe, GuardDuty criará esse local somente se a conta associada ao bucket do S3 for a mesma que a conta que exporta as descobertas. Se você exportar descobertas para um bucket do S3 que pertence a outra conta, o local da pasta já deve existir.
1. *KMS key ARN*Substitua pelo Amazon Resource Name (ARN) da chave KMS associada à criptografia das descobertas exportadas para o bucket do S3. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**nota**
Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Para obter informações sobre endpoints para cada região de inscrição, consulte [GuardDuty endpoints](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) e cotas.
1. Escolha **Salvar**.
## Etapa 4: Exportar descobertas para um bucket do S3 (console)
GuardDuty permite que você exporte descobertas para um bucket existente em outro Conta da AWS.
Ao criar um novo bucket S3 ou escolher um bucket existente em sua conta, é possível adicionar um prefixo. Ao configurar as descobertas de exportação, GuardDuty cria uma nova pasta no bucket do S3 para suas descobertas. O prefixo será anexado à estrutura de pastas padrão criada. GuardDuty O formato do prefixo opcional `/AWSLogs/123456789012/GuardDuty/Region` é , por exemplo:
Todo o caminho do objeto S3 será `amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`. O `UUID` é gerado aleatoriamente e não representa o ID do detector ou o ID da descoberta.
**Importante**
A chave do KMS e o bucket do S3 devem estar na mesma região.
Antes de concluir essas etapas, verifique se as respectivas políticas foram anexadas à chave KMS e ao bucket do S3 existente.
**Para configurar a opção exportar descobertas**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, selecione **Configurações**.
1. Na página **Configurações**, em **Opções de exportação de descobertas**, para o **bucket do S3**, escolha **Configurar agora** (ou **Editar**, conforme necessário).
1. Para **ARN de bucket S3**, insira o ****bucket ARN****. Para encontrar o ARN do bucket, consulte [Visualização das propriedades de um bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) no *Guia do usuário do Amazon S3*.
1. Para o **ARN da chave KMS**, digite o ****key ARN****. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1.
**Anexar políticas**
+ Execute as etapas para anexar a política de bucket do S3. Para obter mais informações, consulte [Etapa 3: Anexar uma política ao bucket Amazon S3](#guardduty_exportfindings-s3-policies).
+ Execute as etapas para anexar a política de chave do KMS. Para obter mais informações, consulte [Etapa 2: Anexar política à sua chave do KMS](#guardduty-exporting-findings-kms-policy).
1. Escolha **Salvar**.
## Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas
Configure a frequência para exportar descobertas ativas atualizadas conforme apropriado para seu ambiente. Por padrão, as descobertas atualizadas são exportadas a cada 6 horas. Isso significa que todas as descobertas que forem atualizadas após a exportação mais recente serão incluídas na próxima exportação. Se as descobertas atualizadas forem exportadas a cada 6 horas e a exportação ocorrer às 12h, todas as descobertas atualizadas após 12h serão exportadas às 18h.
**Como definir a frequência**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Escolha **Configurações**.
1. Na seção **Opções de exportação de descobertas**, selecione **Frequência para descobertas atualizadas**. Isso define a frequência de exportação de descobertas ativas atualizadas para o Amazon S3 EventBridge e para o Amazon S3. Você pode escolher entre as seguintes opções:
+ **Atualização EventBridge e S3 a cada 15 minutos**
+ **Atualização EventBridge e S3 a cada 1 hora**
+ **Atualização EventBridge e S3 a cada 6 horas (padrão)**
1. Escolha **Salvar alterações**.
# Processando GuardDuty descobertas com a Amazon EventBridge
GuardDuty publica (envia) automaticamente descobertas como eventos para a Amazon EventBridge (antiga Amazon CloudWatch Events), um serviço de ônibus de eventos sem servidor. EventBridge fornece um fluxo de dados quase em tempo real de aplicativos e serviços para destinos como tópicos AWS Lambda , funções e streams do Amazon Kinesis Notification Service (Amazon SNS). Para obter mais informações, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
EventBridge permite o monitoramento e o processamento GuardDuty automatizados das descobertas por meio do recebimento de [eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge recebe eventos tanto para descobertas recém-geradas quanto para descobertas agregadas, onde ocorrências subsequentes de uma descoberta existente são combinadas com a original. Cada GuardDuty descoberta recebe uma ID de descoberta e GuardDuty cria um EventBridge evento para cada descoberta com uma ID de descoberta exclusiva. Para obter informações sobre como a agregação funciona em GuardDuty, consulte[GuardDuty encontrando agregação](finding-aggregation.md).
Além do monitoramento e processamento automatizados, o uso de EventBridge permite a retenção de longo prazo dos dados de suas descobertas. GuardDuty armazena as descobertas por 90 dias. Com EventBridge, você pode enviar dados de descobertas para sua plataforma de armazenamento preferida e armazenar os dados pelo tempo que quiser. Para reter as descobertas por um período mais longo, GuardDuty suporta[Exportar as descobertas geradas para bucket do Amazon S3](guardduty_exportfindings.md).
**Topics**
+ [EventBridge frequência de notificação em GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Configurar um tópico e um endpoint do Amazon SNS](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Usando EventBridge com GuardDuty](#eventbridge_events)
+ [Criar uma regra de EventBridge](#guardduty_eventbridge_severity_notification)
+ [EventBridge regra para ambientes com várias contas](#guardduty_findings_eventbridge_multiaccount)
## Entendendo a frequência de EventBridge notificação em GuardDuty
Esta seção explica com que frequência você recebe notificações de busca EventBridge e como atualizar a frequência para ocorrências de busca subsequentes.
**Notificações de descobertas recém-geradas com um ID de descoberta exclusivo**
GuardDuty envia essas notificações quase em tempo real quando gera uma descoberta com um ID de descoberta exclusivo. A notificação inclui todas as ocorrências subsequentes desse ID de descoberta durante o processo de geração da notificação.
A frequência das notificações das descobertas recém-geradas é quase em tempo real. Por padrão, você não pode modificar essa frequência.
**Notificações para ocorrências de descoberta subsequentes**
GuardDuty agrega todas as ocorrências subsequentes de um determinado tipo de descoberta que ocorrem dentro dos intervalos de 6 horas em um único evento. Somente uma conta de administrador pode atualizar a frequência de EventBridge notificação para ocorrências de busca subsequentes. Uma conta de membro não pode atualizar essa frequência em sua própria conta. Por exemplo, se a conta do GuardDuty administrador delegado atualizar a frequência para uma hora, todas as contas dos membros também terão uma frequência de notificação de uma hora sobre as ocorrências de descoberta subsequentes enviadas para. EventBridge Para obter mais informações, consulte [Várias contas na Amazon GuardDuty](guardduty_accounts.md).
Como uma conta de administrador, você pode personalizar a frequência padrão das notificações sobre as ocorrências de descobertas subsequentes. Valores possíveis são 15 minutos, 1 hora ou 6 horas (padrão). Para obter informações sobre como definir a frequência dessas notificações, consulte [Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas](guardduty_exportfindings.md#guardduty_exportfindings-frequency).
Para obter mais detalhes sobre a conta de administrador recebendo EventBridge notificações para contas de membros, consulte[EventBridge regra para ambientes com várias contas](#guardduty_findings_eventbridge_multiaccount).
## Configurar um tópico e um endpoint do Amazon SNS (e-mail, Slack e Amazon Chime)
O Amazon Simple Notification Service (Amazon SNS) é um serviço totalmente gerenciado que fornece entrega de mensagens de publicadores para assinantes. Os publicadores se comunicam de maneira assíncrona com os assinantes enviando mensagens para um *tópico*. Um tópico é um ponto de acesso lógico e um canal de comunicação que permite agrupar vários endpoints AWS Lambda, como Amazon Simple Queue Service (Amazon SQS), HTTP/S e um endereço de e-mail.
**nota**
Você pode adicionar um tópico do Amazon SNS à sua regra de EventBridge evento preferida durante ou após a criação da regra.
**Criar um tópico do Amazon SNS**
Para começar, você deve primeiro configurar um tópico no Amazon SNS e adicionar um endpoint. Para criar um tópico, consulte as etapas em [Etapa 1: criar um tópico](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Depois que o tópico for criado, copie o ARN do tópico para a área de transferência. Você usará esse ARN de tópico para continuar com uma das configurações preferidas.
Escolha um método preferido para estabelecer para onde você deseja enviar os dados de GuardDuty busca.
------
#### [ Email setup ]
**Para configurar um endpoint de e-mail**
Depois que você [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), a próxima etapa é criar uma assinatura para esse tópico. Siga as etapas em [Etapa 2: criar uma assinatura para um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
1. Para **ARN de tópico**, use o ARN do tópico criado na etapa [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge). O ARN do tópico é semelhante ao seguinte:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. Em **Protocol (Protocolo)**, selecione **Email**.
1. Para **Endpoint**, insira um endereço de e-mail no qual deseja receber as notificações do Amazon SNS.
Após criar a assinatura, você precisa confirmá-la por meio de seu cliente de e-mail.
------
#### [ Slack setup ]
**Para configurar o Amazon Q Developer em clientes de aplicações de bate-papo – Slack**
Depois que você [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), a próxima etapa é configurar o cliente para o Slack.
Execute as etapas em [Tutorial: comece a usar o Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) no *Guia do administrador de aplicativos de chat do Amazon Q Developer*.
------
#### [ Chime setup ]
**Para configurar o Amazon Q Developer em clientes de aplicações de bate-papo – Chime**
Depois que você [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), a próxima etapa é configurar o Amazon Q Developer para o Chime.
Execute as etapas em [Tutorial: comece a usar o Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) no *Guia do administrador de aplicativos de chat do Amazon Q Developer*.
------
## Usando a Amazon EventBridge para GuardDuty descobertas
Com EventBridge, você cria regras para especificar os eventos que deseja monitorar. Essas regras também especificam os serviços e aplicações de destino que podem realizar ações automatizadas se esses eventos ocorrerem. Um [alvo](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) é um destino (um recurso ou um endpoint) que EventBridge envia um evento para quando o evento corresponde ao padrão de evento definido na regra. Cada evento é um objeto JSON que está em conformidade com o EventBridge esquema dos AWS eventos e contém uma representação JSON de uma descoberta. Você pode personalizar a regra para enviar somente os eventos que atendam a determinados critérios. Para obter mais informações, consulte [tópico do esquema JSON]. Como os dados das descobertas são estruturados como um [EventBridgeevento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html), você pode monitorar, processar e agir de acordo com as descobertas usando outros aplicativos, serviços e ferramentas.
Para receber notificações sobre GuardDuty descobertas com base em eventos, você deve criar uma EventBridge regra e uma meta para GuardDuty. Essa regra EventBridge permite enviar notificações de descobertas GuardDuty geradas para o alvo especificado na regra.
**nota**
EventBridge e CloudWatch os eventos são o mesmo serviço e API subjacentes. No entanto, EventBridge inclui recursos adicionais que ajudam você a receber eventos de aplicativos de software como serviço (SaaS) e de seus próprios aplicativos. Como o serviço subjacente e a API são os mesmos, o esquema de eventos para GuardDuty descobertas também é o mesmo.
**Como as descobertas arquivadas e não arquivadas funcionam com GuardDuty EventBridge**
Para descobertas que você arquiva manualmente, as ocorrências iniciais e todas as ocorrências subsequentes dessas descobertas (geradas após a conclusão do arquivamento) são enviadas EventBridge com base em uma frequência de notificação específica. Para obter mais informações, consulte [Entendendo a frequência de EventBridge notificação em GuardDuty](#eventbridge-freq-notifications-gdu).
Para as descobertas que são arquivadas automaticamente com[Regras de supressão](findings_suppression-rule.md), as ocorrências iniciais e todas as ocorrências subsequentes dessas descobertas (geradas após a conclusão do arquivamento) *não* são enviadas para. EventBridge Você pode visualizar essas descobertas arquivadas automaticamente no GuardDuty console.
### Esquema de eventos
Um [padrão de evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) define os dados EventBridge usados para determinar se o evento deve ser enviado ao destino. O EventBridge evento para GuardDuty tem o seguinte formato:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
O valor `detail` retorna os detalhes do JSON de uma única descoberta como um objeto, em vez de retornar a sintaxe de resposta *descobertas* inteira que oferece suporte a várias descobertas de uma matriz.
Para obter uma lista completa de todos os parâmetros incluídos`GUARDDUTY_FINDING_JSON_OBJECT`, consulte [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). O parâmetro do `id` que aparece no `GUARDDUTY_FINDING_JSON_OBJECT` é o ID da descoberta descrito anteriormente.
## Criação de uma EventBridge regra para GuardDuty descobertas
Os procedimentos a seguir explicam como usar o EventBridge console da Amazon e o [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) para criar uma EventBridge regra para GuardDuty descobertas. A regra detecta EventBridge eventos que usam o esquema e o padrão de eventos para GuardDuty descobertas e envia esses eventos para uma AWS Lambda função para processamento.
AWS Lambda é um serviço de computação que você pode usar para executar código sem provisionar ou gerenciar servidores. Você empacota seu código e o carrega AWS Lambda como uma função *Lambda*. AWS Lambda em seguida, executa a função quando a função é invocada. Uma função pode ser invocada manualmente por você, automaticamente em resposta a eventos ou em resposta a solicitações de aplicações ou serviços. Para obter mais informações sobre criar e invocar as funções do Lambda, consulte o [Guia do desenvolvedor do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Escolha seu método preferido para criar uma EventBridge regra que envie sua GuardDuty descoberta para um alvo.
------
#### [ Console ]
Siga estas etapas para usar o EventBridge console da Amazon para criar uma regra que envia automaticamente todos os eventos de GuardDuty busca para uma função Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Para obter detalhes sobre as configurações de regras ou para saber como criar uma regra que usa configurações personalizadas, consulte [Criação de regras que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia EventBridge do usuário da Amazon*.
Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a regra, você precisará especificar essa função como o destino da regra. Seu destino também pode ser o tópico do SNS criado anteriormente. Para obter mais informações, consulte [Configurar um tópico e um endpoint do Amazon SNS (e-mail, Slack e Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).
**Para criar uma regra de evento usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. No painel de navegação, em **Barramentos**, selecione **Regras**.
1. Na seção **Regras**, selecione **Criar regra**.
1. Em **Definir detalhe da regra**, faça o seguinte:
1. Em **Nome**, insira um nome para a regra.
1. (Opcional) Em **Descrição**, insira uma breve descrição da regra.
1. Para **Barramento de eventos**, verifique se o **padrão** está selecionado e **Habilitar a regra nos barramentos de eventos selecionados** está ligado.
1. Para **Tipo de regra**, escolha **Regra com padrão de evento**.
1. Ao terminar, escolha **Avançar**.
1. Na página **Criar padrão de evento**, faça o seguinte:
1. Em **Origem do evento**, escolha **AWS eventos ou eventos de EventBridge parceiros**.
1. (Opcional) Em **Exemplo de evento**, analise um evento de busca de amostra GuardDuty para saber o que um evento pode conter. Para fazer isso, selecione **eventos da AWS **. Em seguida, em **Eventos de amostra**, escolha **GuardDutyEncontrar**.
1.
**Opção 1 - Usando o formulário padrão, um modelo que EventBridge fornece**
Na seção **Padrão de evento**, faça o seguinte:
1. Para **Método de criação**, selecione **Usar formulário padrão**.
1. Para **Origem do evento**, escolha **Serviços da AWS**.
1. Para **AWS service (Serviço da AWS)**, escolha **GuardDuty**.
1. Em **Tipo de evento**, escolha **GuardDuty Encontrar**.
Ao terminar, escolha **Avançar**.
1.
**Opção 2 – usar padrão de evento personalizado em JSON**
Na seção **Padrão de evento**, faça o seguinte:
1. Para **Método de criação**, selecione **Padrão personalizado (editor JSON)**.
1. Para **Padrão de evento**, cole o seguinte JSON personalizado que criará um alerta para descobertas médias, altas e críticas. Para obter mais informações, consulte [Níveis de gravidade das descobertas](guardduty_findings-severity.md).
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
Ao terminar, escolha **Avançar**.
1.
**Opção A - Seleção AWS service (Serviço da AWS) - AWS Lambda como alvo**
Na página **Selecionar destino(s)**, faça o seguinte:
1. Para **Tipos de destino**, selecione **AWS service (Serviço da AWS)**.
1. Para **Selecionar um destino**, escolha **Função do Lambda**. Em seguida, para **Função**, selecione a função do Lambda para a qual deseja enviar eventos de descoberta.
1. Para **Configurar versão/alias**, insira as configurações de versão ou alias para a função do Lambda de destino.
1. (Opcional) Para **Configurações adicionais**, insira configurações personalizadas para especificar quais dados de eventos você deseja enviar para a função do Lambda. Você também pode especificar como lidar com eventos que não são entregues à função com sucesso.
1. Ao terminar, escolha **Avançar**.
1.
**Opção B – selecionar tópico do SNS como destino**
Na página **Selecionar destino(s)**, faça o seguinte:
1. Para **Tipos de destino**, selecione **AWS service (Serviço da AWS)**.
1. Em **Select a target** (Selecionar um destino), escolha **SNS topic** (Tópico do SNS). Em seguida, para **Localização de destino**, selecione a opção adequada com base na sua localização de destino. Em **Tópico**, escolha o nome do tópico do SNS criado.
1. Expanda **Additional settings** (Configurações adicionais). Em **Configurar entrada do destino**, escolha **Transformador de entrada**.
1. Escolha **Configurar o transformador de entrada**.
1. Copie o código a seguir e cole-o no campo **Caminho de entrada** na seção **Transformador de entrada de destino**.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. Copie o código a seguir e cole-o no campo **Modelo** para formatar o e-mail.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. Na página **Configurar tags**, insira opcionalmente uma ou mais tags a serem atribuídas à regra. Escolha **Próximo**.
1. Na página **Revisar e criar**, analise as configurações da regra e verifique se estão corretas.
Para alterar uma configuração, selecione **Editar** para a configuração e insira a configuração correta. Você também pode usar as guias de navegação para acessar a página que contém uma configuração.
1. Quando terminar de verificar as configurações, selecione **Criar regra**.
------
#### [ API ]
O procedimento a seguir mostra como usar AWS CLI comandos para criar uma EventBridge regra e um destino para GuardDuty. Especificamente, o procedimento mostra como criar uma regra que permite EventBridge enviar eventos para todas as descobertas GuardDuty geradas para uma AWS Lambda função como alvo da regra.
**nota**
Neste exemplo, estamos usando uma função Lambda como destino para a regra que é acionada. EventBridge Você também pode configurar outros AWS recursos como alvos a serem acionados EventBridge. GuardDuty e EventBridge oferecem suporte aos seguintes tipos de destino: instâncias do Amazon EC2, streams do Amazon Kinesis, tarefas do Amazon ECS, máquinas de estado AWS Step Functions , `run` o comando e destinos integrados. Para obter mais informações, consulte [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)a *Amazon EventBridge API Reference*.
**Para criar uma regra e um destino**
1. Para criar uma regra que permita EventBridge enviar eventos para todas as descobertas GuardDuty geradas, execute o seguinte comando da EventBridge CLI.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
Você pode personalizar ainda mais sua regra para que ela EventBridge instrua o envio de eventos somente para um subconjunto das descobertas GuardDuty geradas. Esse subconjunto é baseado no atributo ou nos atributos da descoberta especificado(s) na regra. Por exemplo, use o seguinte comando da CLI para criar uma regra que permite EventBridge enviar somente eventos para as GuardDuty descobertas com a severidade de 5 ou 8:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
Para isso, você pode usar qualquer um dos valores de propriedade que estão disponíveis no JSON para GuardDuty descobertas.
1. Para anexar uma função Lambda como destino para a regra que você criou na etapa 1, execute o seguinte comando da CLI CloudWatch .
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
Certifique-se de substituir `your-target-name` o comando acima pela sua função Lambda real para os GuardDuty eventos.
1. Para adicionar as permissões necessárias para invocar o destino, execute o seguinte comando da CLI do Lambda.
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
Certifique-se de substituir `your_function` o comando acima pela sua função Lambda real para os GuardDuty eventos.
------
## EventBridge regra para ambientes GuardDuty com várias contas
Ao usar uma conta de GuardDuty administrador delegado, você pode visualizar os eventos gerados nas contas dos membros e agir usando outros aplicativos e serviços. EventBridge as regras em sua conta de administrador serão acionadas com base nas descobertas aplicáveis de suas contas de membros. Se você configurar notificações de busca por meio EventBridge de sua conta de administrador, receberá notificações de descobertas tanto da sua conta quanto das contas dos membros. Por exemplo, você pode usar EventBridge para enviar tipos específicos de descobertas para uma função Lambda que processa e envia os dados para seu sistema de gerenciamento de incidentes e eventos de segurança (SIEM).
Você pode identificar a conta do membro de onde a GuardDuty descoberta se originou usando o `accountId` campo dos detalhes JSON da descoberta. Para criar uma regra de evento personalizada para contas de membros específicas, crie uma nova regra e use o modelo a seguir em **Padrão de eventos**. *123456789012*Substitua pela conta `accountId` do membro para a qual você deseja acionar o evento.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**nota**
Esse exemplo cria uma regra que corresponde a todas as descobertas do ID da conta especificada. Você pode incluir várias contas IDs separando-as com vírgulas, seguindo a sintaxe JSON.
# Entendendo CloudWatch os registros e os motivos para ignorar recursos durante a verificação do Malware Protection for EC2
GuardDuty O Malware Protection for EC2 publica eventos em seu grupo de CloudWatch log da Amazon**/aws/guardduty/malware**-scan-events. Para cada um dos eventos relacionados à verificação de malware, é possível monitorar o status e o resultado da verificação dos recursos afetados. Alguns recursos do Amazon EC2 e volumes do Amazon EBS podem ter sido ignorados durante a Proteção contra malware para a verificação EC2.
## CloudWatch Registros de auditoria na proteção contra GuardDuty malware para EC2
Há três tipos de eventos de escaneamento suportados no grupo de registros**/aws/guardduty/malware-scan-events** CloudWatch .
| Nome do evento de verificação da Proteção contra malware para EC2 | Explicação |
| --- | --- |
| `EC2_SCAN_STARTED` | Criado quando uma proteção contra GuardDuty malware para EC2 está iniciando o processo de verificação de malware, como a preparação para tirar um instantâneo de um volume do EBS. |
| `EC2_SCAN_COMPLETED` | Criado quando a verificação do GuardDuty Malware Protection for EC2 é concluída em pelo menos um dos volumes do EBS do recurso afetado. Esse evento também inclui o `snapshotId` pertencente ao volume do EBS verificado. Após a conclusão da verificação, o resultado da verificação será `CLEAN`, `THREATS_FOUND` ou `NOT_SCANNED`. |
| `EC2_SCAN_SKIPPED` | Criado quando o GuardDuty malware Protection for EC2 scan ignora todos os volumes do EBS do recurso afetado. Para identificar porque foram ignorados, selecione o evento correspondente e veja os detalhes. Para obter mais informações sobre os motivos para ignorar, veja [Razões para ignorar o recurso durante a verificação de malware](#mp-scan-skip-reasons) abaixo. |
**nota**
Se você estiver usando um AWS Organizations, os eventos de CloudWatch registro das contas dos membros em Organizations serão publicados na conta do administrador e no grupo de registros da conta do membro.
Escolha seu método de acesso preferido para visualizar e consultar CloudWatch eventos.
------
#### [ Console ]
1. Faça login no Console de gerenciamento da AWS e abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, em **Logs**, escolha **Grupos de logs**. Escolha o grupo de registros**/aws/guardduty/malware-scan-events** para visualizar os eventos de escaneamento do GuardDuty Malware Protection for EC2.
Para executar uma consulta, escolha **Log Insights**.
Para obter informações sobre a execução de uma consulta, consulte [Análise de dados de log com o CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) no *Guia CloudWatch do usuário da Amazon*.
1. Escolha **ID de verificação** para monitorar os detalhes do recurso afetado e as descobertas do malware. Por exemplo, você pode executar a consulta a seguir para filtrar os eventos de CloudWatch log usando`scanId`. Certifique-se de usar seu próprio válido*scan-id*.
```
fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
```
------
#### [ API/CLI ]
+ Para trabalhar com grupos de registros, consulte [Pesquisar entradas de registro usando o AWS CLI](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli) no *Guia CloudWatch do usuário da Amazon*.
Escolha o grupo de registros**/aws/guardduty/malware-scan-events** para visualizar os eventos de escaneamento do GuardDuty Malware Protection for EC2.
+ Para visualizar e filtrar eventos de log, consulte [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)e [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html), respectivamente, na *Amazon CloudWatch API Reference*.
------
## GuardDuty Proteção contra malware para retenção de registros do EC2
O período padrão de retenção de registros para o grupo de registros**/aws/guardduty/malware-scan-events** é de 90 dias, após os quais os eventos de registro são excluídos automaticamente. Para alterar a política de retenção de registros para seu CloudWatch grupo de registros, consulte [Alterar retenção de dados de log em CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) no *Guia CloudWatch do usuário da Amazon* ou [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)na *Referência de CloudWatch API da Amazon*.
## Razões para ignorar o recurso durante a verificação de malware
Nos eventos relacionados à verificação de malware, alguns recursos do EC2 e volumes do EBS podem ter sido ignorados durante o processo de verificação. A tabela a seguir lista os motivos pelos quais o GuardDuty Malware Protection for EC2 pode não verificar os recursos. Se aplicável, use as etapas propostas para resolver esses problemas e verifique esses recursos na próxima vez que o GuardDuty Malware Protection for EC2 iniciar uma verificação de malware. Os outros problemas são usados para informar você sobre o curso dos eventos e não são acionáveis.
| Razões para ignorar | Explicação | Etapas propostas |
| --- | --- | --- |
| `RESOURCE_NOT_FOUND` | O `resourceArn` fornecido para iniciar a verificação de malware sob demanda não foi encontrado em seu AWS ambiente. | Valide a `resourceArn` de sua instância do Amazon EC2 ou workload de contêiner e tente novamente. |
| `ACCOUNT_INELIGIBLE` | A ID da AWS conta a partir da qual você tentou iniciar uma verificação de malware sob demanda não foi ativada. GuardDuty | Verifique se GuardDuty está habilitado para essa AWS conta. Quando você ativa GuardDuty um novo Região da AWS , a sincronização pode levar até 20 minutos. |
| `UNSUPPORTED_KEY_ENCRYPTION` | GuardDuty O Malware Protection for EC2 suporta volumes não criptografados e criptografados com a chave gerenciada pelo cliente. Ele não suporta a verificação de volumes do EBS que são criptografados usando a criptografia do [Amazon EBS](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html). Atualmente, há uma diferença regional em que esse motivo de salto não é aplicável. Para obter mais informações sobre eles Regiões da AWS, consulte[Disponibilidade de recursos específicos da região](guardduty_regions.md#gd-regional-feature-availability). | Substitua a chave de criptografia por uma chave gerenciada pelo cliente. Para obter mais informações sobre os tipos de criptografia GuardDuty compatíveis, consulte[Volumes Amazon EBS compatíveis para verificação de malware](gdu-malpro-supported-volumes.md). |
| `EXCLUDED_BY_SCAN_SETTINGS` | Durante a verificação de malware, a instância do EC2 ou o volume do EBS foi excluído. Há três possibilidades: a tag foi adicionada à lista de inclusão, mas o recurso não está associado a essa tag; a tag foi adicionada à lista de exclusão e o recurso está associado a essa tag; ou a tag `GuardDutyExcluded` está definida como `true` para esse recurso. | Atualize suas opções de verificação ou as tags associadas ao seu recurso do Amazon EC2. Para obter mais informações, consulte [Opções de verificação com tags definidas pelo usuário](malware-protection-customizations.md#mp-scan-options). |
| `UNSUPPORTED_VOLUME_SIZE` | O volume é maior que 2048 GB. | Não acionável. |
| `NO_VOLUMES_ATTACHED` | GuardDuty O Malware Protection for EC2 encontrou a instância em sua conta, mas nenhum volume do EBS foi anexado a essa instância para continuar com a verificação. | Não acionável. |
| `UNABLE_TO_SCAN` | É um erro de serviço interno. | Não acionável. |
| `SNAPSHOT_NOT_FOUND` | Os snapshots criados a partir dos volumes do EBS e compartilhados com a conta de serviço não foram encontrados, e o GuardDuty Malware Protection for EC2 não pôde continuar com a verificação. | Verifique CloudTrail se os instantâneos não foram removidos intencionalmente. |
| `SNAPSHOT_QUOTA_REACHED` | Você atingiu o volume máximo permitido para snapshots em cada região. Isso evita não apenas reter, mas também criar novos snapshots. | Você pode remover snapshots antigos ou solicitar o aumento da cota. Você pode ver o limite padrão para snapshots por região e como solicitar o aumento da cota em [Cotas de serviço](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) no *Guia de referência geral da AWS *. |
| `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED` | Mais de 11 volumes do EBS foram anexados a uma instância do EC2. GuardDuty O Malware Protection for EC2 examinou os primeiros 11 volumes do EBS, obtidos por meio da classificação alfabética. `deviceName` | Não acionável. |
| `UNSUPPORTED_PRODUCT_CODE_TYPE` | GuardDuty pode escanear a maioria das instâncias com `productCode` as`marketplace`. Algumas instâncias do Marketplace podem não estar qualificadas para escaneamento. GuardDuty ignorará essas instâncias e registrará o motivo como`UNSUPPORTED_PRODUCT_CODE_TYPE`. Esse suporte varia nas regiões da China e AWS GovCloud (US) . Para obter mais informações, consulte [Disponibilidade de recursos específicos da região](guardduty_regions.md#gd-regional-feature-availability). Para obter mais informações, consulte [Paid AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html) no Guia do *usuário do Amazon EC2*. Para obter mais informações, consulte `productCode`Ações de [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) na *Referência de API do Amazon EC2*. | Não acionável. |
# Denunciando falsos positivos no Malware Protection for EC2
GuardDuty A proteção contra malware para EC2 escaneamentos pode identificar um arquivo inofensivo na sua EC2 instância ou carga de trabalho do contêiner da Amazon como sendo malicioso ou prejudicial. Para melhorar sua experiência com o Malware Protection EC2 e o GuardDuty serviço, você pode denunciar resultados falsos positivos se acreditar que um arquivo identificado como malicioso ou prejudicial durante uma verificação não contém realmente malware.
**Para relatar um resultado de escaneamento de EC2 malware da Amazon como falso positivo**
Para iniciar o processo, entre em contato com Suporte. Use as etapas a seguir para fornecer detalhes sobre o recurso escaneado:
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Escolha **escaneamentos de EC2 malware.**
1. Escolha um verificação para ver seu **ID de busca**.
1. Forneça o **ID de descoberta**. Também é necessário fornecer o hash SHA-256 do arquivo. Isso é necessário para garantir que o GuardDuty Malware Protection for EC2 tenha recebido o arquivo correto.
1. A Suporte equipe fornecerá a você uma URL pré-assinada do Amazon Simple Storage Service (Amazon S3) que você poderá usar para carregar o arquivo potencialmente malicioso e o hash SHA-256. Para obter informações sobre as etapas para fazer o upload do objeto digitalizado, consulte [Carregamento de objetos pré-assinados URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) no Guia do usuário do *Amazon* S3.
1. Depois de fazer o upload do arquivo, informe a Suporte equipe.
Eles Suporte fornecerão uma confirmação após o recebimento do arquivo. Os membros da equipe de GuardDuty serviço analisarão seu envio e tomarão as medidas apropriadas para melhorar sua experiência com a Proteção contra Malware EC2 e o GuardDuty serviço. A Suporte equipe continuará fornecendo atualizações sobre o status do seu caso. GuardDuty mantém seu objeto S3 por no máximo 30 dias.
# Relatar o resultado da verificação de objetos do S3 como falso positivo na Proteção contra Malware do S3
Uma verificação da Proteção contra Malware para S3 pode identificar um objeto como potencialmente malicioso ou prejudicial. Se você acredita que o objeto S3 indicado não contém malware, relate esse resultado da verificação de malware como um falso positivo.
Você pode enviar uma denúncia de falso positivo mesmo usando a Proteção contra Malware para S3 de forma independente. Nesse caso, GuardDuty não foi projetado para gerar uma descoberta. Para obter informações sobre como verificar o status de verificação e o status do resultado, consulte[Monitoramento de verificações de objetos de S3](monitoring-malware-protection-s3-scans-gdu.md).
**Para denunciar resultado falso positivo na verificação de malware S3 como falso positivo**
Para iniciar o processo, entre em contato com Suporte. Siga as etapas abaixo para fornecer detalhes sobre o objeto S3 verificado:
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dependendo do seu caso de uso, escolha as etapas apropriadas:
------
#### [ Using Malware Protection for S3 with GuardDuty ]
1. No painel de navegação, selecione **Descobertas**.
1. Na página **Descobertas**, selecione a descoberta de falso positivo para ver seus detalhes.
1. **Ao verificar os detalhes da descoberta, forneça a **ID da descoberta**, a **região**, o **nome** do bucket S3 protegido e a chave do objeto verificado.**
Nos detalhes do **caminho do item**, forneça o **Hash** do objeto. Isso é necessário para garantir que GuardDuty recebeu o arquivo correto.
------
#### [ Using Malware Protection for S3 independently ]
Forneça o nome do bucket S3 protegido, o nome do objeto verificado e Região da AWS.
------
1. A Suporte equipe fornecerá a você uma URL pré-assinada do Amazon Simple Storage Service (Amazon S3) que você poderá usar para carregar o arquivo e o hash potencialmente maliciosos. Para obter informações sobre as etapas para fazer o upload do objeto digitalizado, consulte [Carregamento de objetos pré-assinados URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) no Guia do usuário do *Amazon* S3.
1. Depois de fazer o upload do objeto S3, informe a Suporte equipe.
Eles Suporte fornecerão uma confirmação de recebimento do objeto. Os membros da equipe de GuardDuty serviço analisarão seu envio e tomarão as medidas apropriadas para melhorar sua experiência com o Malware Protection for S3 e o GuardDuty serviço. A Suporte equipe continuará fornecendo atualizações sobre o status do seu caso. GuardDuty mantém seu objeto S3 por no máximo 30 dias.
# Denunciando falsos positivos no Malware Protection for Backup
Para melhorar sua experiência com o GuardDuty Malware Protection for Backup, você pode denunciar possíveis falsos positivos e falsos negativos.
****Para denunciar um potencial falso positivo ou falso negativo identificado no Malware Protection for Backup****
Para iniciar o processo, entre em contato com Suporte. Use as etapas a seguir para fornecer detalhes sobre o recurso digitalizado:
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Selecione **Verificações de malware.**
1. Escolha um verificação para ver seu **ID de busca**.
1. Forneça o **ID de descoberta**. Também é necessário fornecer o hash SHA-256 do arquivo. Isso é necessário para garantir que GuardDuty recebeu o arquivo correto. Forneça também a região da qual você fornecerá a amostra.
1. A Suporte equipe fornecerá uma URL pré-assinada do Amazon Simple Storage Service (Amazon S3) que você usará para carregar o arquivo potencialmente malicioso e o hash SHA-256. Para obter informações sobre as etapas para fazer o upload do recurso digitalizado, consulte [Carregamento de objetos com presignação URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) no Guia do usuário do *Amazon* S3.
1. Depois de fazer o upload do arquivo, informe a Suporte equipe.
Eles Suporte fornecerão uma confirmação após o recebimento do arquivo. Os membros da equipe de GuardDuty serviço analisarão seu envio e tomarão as medidas apropriadas para melhorar sua experiência com o Malware Protection for EC2. A Suporte equipe continuará fornecendo atualizações de status sobre seu caso. GuardDuty mantém seu objeto S3 por no máximo 30 dias.