Como adicionar e ativar uma lista de entidades ou lista de IPs - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como adicionar e ativar uma lista de entidades ou lista de IPs

Listas de entidades e listas de endereços IP ajudam você a personalizar os recursos de detecção de ameaças no GuardDuty. Para obter mais informações sobre essas listas, consulte Noções básicas sobre listas de entidades e listas de endereços IP. Para gerenciar os dados confiáveis e de inteligência de ameaças do seu AWS ambiente, GuardDuty recomenda o uso de listas de entidades. Antes de começar, consulte Configuração de pré-requisitos para listas de entidades e listas de endereços IP.

Escolha um dos métodos de acesso a seguir para adicionar e habilitar uma lista de entidades confiável, uma lista de entidades de ameaças, uma lista de IPs confiáveis ou uma lista de IPs de ameaças.

Console
(Opcional) Etapa 1: buscar o URL do local da sua lista

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Buckets.

  3. Escolha o nome do bucket do Amazon S3 com a lista específica que deseja adicionar.

  4. Escolha o nome do objeto (lista) para visualizar os respectivos detalhes.

  5. Na guia Propriedades, copie o URI do S3 para esse objeto.

Etapa 2: adicionar dados confiáveis ou de inteligência contra ameaças

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Listas de domínios.

  3. Na página Listas, escolha a guia Listas de entidades ou Listas de endereços IP.

  4. Com base na guia selecionada, escolha para adicionar uma lista confiável ou uma lista de ameaças.

  5. Na caixa de diálogo para adicionar uma lista confiável ou de ameaças, faça o seguinte:

    1. Em Nome da lista, insira um nome para sua lista.

      Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

      Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.

    2. Em Localização, informe o local em que o upload da sua lista foi realizado. Se você ainda não tiver configurado, consulte Step 1: Fetching location URL of your list.

      Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.

      Formato do URL de localização:

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (Opcional) Para Proprietário esperado do bucket, você pode inserir o Conta da AWS ID que possui o bucket do Amazon S3 especificado no campo Localização.

      Quando você não especifica um proprietário de Conta da AWS ID, ele se GuardDuty comporta de forma diferente para listas de entidades e listas de endereços IP. Para listas de entidades, GuardDuty validará se a conta do membro atual é proprietária do bucket S3 especificado no campo Localização. Para listas de endereços IP, se você não especificar um proprietário de Conta da AWS ID, GuardDuty não realiza nenhuma validação.

      Se GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificado, você receberá um erro no momento da ativação da lista.

    4. Marque a caixa de seleção Concordo.

    5. Escolha Adicionar lista. Por padrão, o Status da lista adicionada é Inativo. Para que a lista seja efetiva, você deve habilitá-la.

Etapa 3: ativar uma lista de entidades ou lista de endereços IP

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Listas de domínios.

  3. Na página Listas, selecione a guia na qual você deseja ativar a lista – Listas de entidades ou Listas de endereços IP.

  4. Selecione uma lista que você deseja ativar. Isso habilitará o menu Ação e Editar.

  5. Escolha Ações e Ativar.

API/CLI
Para adicionar e ativar uma lista de entidades confiáveis

  1. Executar CreateTrustedEntitySet. Forneça o detectorId da conta de membro para a qual deseja criar essa lista de entidades confiáveis. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Outra alternativa é executar o seguinte comando da AWS Command Line Interface : 

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que sejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se a Conta da AWS ID associada a esse --detector-id valor possui o bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

    Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.

Para adicionar e ativar listas de entidades de ameaças

  1. Executar CreateThreatEntitySet. Forneça o detectorId da conta de membro para a qual você deseja criar essa lista de entidades de ameaças. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Outra alternativa é executar o seguinte comando da AWS Command Line Interface : 

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que sejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se a Conta da AWS ID associada a esse --detector-id valor possui o bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

    Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos compatíveis, receberá uma mensagem de erro durante a adição e ativação da lista.

Para adicionar e ativar uma lista de endereços IPs confiáveis

  1. Execute Create IPSet. Forneça o detectorId da conta de membro para a qual deseja criar essa lista de endereços IPs confiáveis. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo detector-id pelo ID do detector da conta de membro para a qual a lista de endereços IPs confiáveis será atualizada.

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de IPs confiáveis e outros valores de espaço reservado que sejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o expected-bucket-owner parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

Para adicionar e ativar listas de IP de ameaças

  1. Executar CreateThreatIntelSet. Forneça o detectorId da conta de membro para a qual deseja criar essa lista de endereços IPs de ameaças. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.

  2. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo detector-id pelo ID do detector da conta de membro para a qual a lista de IPs confiáveis será atualizada.

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de IPs de ameaças e outros valores de espaço reservado que estejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o expected-bucket-owner parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

Depois que você ativar uma lista de entidades ou de endereços IP, poderá levar alguns minutos para que essa lista entre em vigor. Para obter mais informações, consulte Considerações importantes sobre listas GuardDuty.