As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Customizing threat detection with entity lists and IP address lists
<a name="guardduty_upload-lists"></a>

A Amazon GuardDuty monitora a segurança do seu AWS ambiente analisando e processando registros de fluxo de VPC, registros de AWS CloudTrail eventos e registros de DNS. Ao habilitar um ou mais [planos de GuardDuty proteção Use-case focados](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (exceto[Monitoramento de runtime](runtime-monitoring.md)), você pode expandir os recursos de monitoramento internos GuardDuty. 

Com listas, GuardDuty ajuda você a personalizar o escopo da detecção de ameaças em seu ambiente. Você pode configurar GuardDuty para parar de gerar descobertas de suas fontes confiáveis e gerar descobertas de fontes maliciosas conhecidas a partir de suas listas de ameaças. GuardDuty continua oferecendo suporte a listas de endereços IP antigas e estende o suporte a listas de entidades (recomendadas) que podem conter endereços IP, domínios ou ambos. 

**Topics**
+ [Noções básicas sobre listas de entidades e listas de endereços IP](#guardduty-threat-intel-list-entity-sets)
+ [Considerações importantes sobre listas GuardDuty](#guardduty-lists-entity-sets-considerations)
+ [Formatos das listas](#prepare_list)
+ [Noções básicas sobre os status de listas](#guardduty-entity-list-statuses)
+ [Configuração de pré-requisitos para listas de entidades e listas de endereços IP](guardduty-lists-prerequisites.md)
+ [Como adicionar e ativar uma lista de entidades ou lista de IPs](guardduty-lists-create-activate.md)
+ [Atualizando uma lista de entidades ou lista de endereços IP](guardduty-lists-update-procedure.md)
+ [De-activating lista de entidades ou lista de endereços IP](guardduty-lists-deactivate-procedure.md)
+ [Excluindo lista de entidades ou lista de endereços IP](guardduty-lists-delete-procedure.md)

## Noções básicas sobre listas de entidades e listas de endereços IP
<a name="guardduty-threat-intel-list-entity-sets"></a>

GuardDuty oferece duas abordagens de implementação: listas de entidades (recomendadas) e listas de IP. Ambas as abordagens ajudam você a especificar fontes confiáveis, que GuardDuty impedem de gerar descobertas, e ameaças conhecidas, que são GuardDuty usadas para gerar descobertas.

**As listas de entidades** oferecem suporte a endereços IP, nomes de domínio e hashes de SHA-256 arquivos. Elas usam acesso direto ao Amazon Simple Storage Service (Amazon S3) com uma única permissão do IAM que não afeta os limites de tamanho da política do IAM em várias regiões.

As **listas de IP** oferecem suporte somente para endereços IP e usam [GuardDuty função vinculada ao serviço (SLR)](slr-permissions.md) (SLR), exigindo atualizações da política do IAM por região, o que pode afetar os limites de tamanho da política do IAM.

As listas confiáveis (listas de entidades e listas de endereços IP) incluem entradas nas quais você confia para comunicação segura com sua AWS infraestrutura. GuardDuty não gera descobertas para entradas listadas em fontes confiáveis. A qualquer momento, você pode adicionar somente uma lista de entidades confiáveis e uma lista de endereços IP confiáveis Conta da AWS por região.

As listas de ameaças (listas de entidades e listas de endereços IP) incluem entradas que você identificou como fontes conhecidas maliciosas. Quando GuardDuty detecta uma atividade envolvendo essas fontes, ela gera descobertas para alertá-lo sobre possíveis problemas de segurança. Você pode criar suas próprias listas de ameaças ou incorporar feeds de inteligência de ameaças de terceiros. Essa lista pode ser fornecida por inteligência de ameaças de terceiros ou criada especificamente para sua organização. Além de gerar descobertas devido a uma atividade potencialmente suspeita, GuardDuty também gera descobertas com base em uma atividade que envolve entradas de suas listas de ameaças. A qualquer momento, você pode fazer upload de até seis listas de entidades de ameaças e listas de endereços IP de ameaças Conta da AWS por região.

**nota**  
Para migrar de listas de endereços IP para listas de entidades, siga [Pré-requisitos para listas de entidades](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), adicione e ative a lista de entidades necessária. Depois disso, você pode optar por desativar ou excluir a lista de endereços IP correspondente.

## Considerações importantes sobre listas GuardDuty
<a name="guardduty-lists-entity-sets-considerations"></a>

Antes de começar a trabalhar com listas, leia as considerações a seguir:
+ As listas de endereços IPs e listas de ameaças são aplicáveis somente ao tráfego destinado para domínios e endereços IP roteáveis publicamente.
+ Em uma lista de entidades, as entradas se aplicam às CloudTrail descobertas dos registros de consulta de DNS do VPC Flow Logs no Amazon VPC e do Route53 Resolver.

  Em uma lista de endereços IP, as entradas se aplicam aos CloudTrail registros de fluxo de VPC nas descobertas do Amazon VPC, mas não às descobertas dos registros de consulta de DNS do Route53 Resolver.
+ Se você incluir o mesmo endereço IP ou domínio nas listas confiáveis e de ameaças, essa entrada na lista de confiáveis terá precedência. GuardDuty não gerará uma descoberta se houver uma atividade associada a essa entrada.
+ Em um ambiente com várias contas, somente a conta GuardDuty do administrador pode gerenciar listas. Essa configuração se aplica automaticamente às contas dos membros. GuardDuty gera descobertas com base em uma atividade que envolve endereços IP (e domínios) maliciosos conhecidos das fontes de ameaça da conta do administrador e não gera descobertas com base em atividades que envolvem endereços IP (e domínios) das fontes confiáveis da conta do administrador. Para obter mais informações, consulte [Várias contas na Amazon GuardDuty](guardduty_accounts.md).
+ Apenas os endereços IPv4 são aceitos. Os endereços IPv6 elásticos não são compatíveis.
+ SHA-256 hashes de arquivos são suportados somente em listas de entidades de ameaças. Você não pode incluir hashes de arquivos em listas de entidades confiáveis ou listas de endereços IP.
+ Depois de ativar, desativar ou excluir uma lista de entidades ou uma lista de endereços IP, estima-se que o processo seja concluído em 15 minutos. Em determinadas situações, o processo pode levar até 40 minutos para ser concluído.
+ GuardDuty usa uma lista para detecção de ameaças somente quando o status da lista se torna **Ativo**.
+ Sempre que você adiciona ou atualiza uma entrada no local do bucket do S3 da lista, você deve ativar a lista novamente. Para obter mais informações, consulte [Atualizando uma lista de entidades ou lista de endereços IP](guardduty-lists-update-procedure.md).
+ As listas de entidades e de endereços IP têm diferentes cotas. Para obter mais informações, consulte [GuardDuty cotas](guardduty_limits.md).

## Formatos das listas
<a name="prepare_list"></a>

GuardDuty aceita vários formatos de arquivo para suas listas e listas de entidades, com um máximo de 35 MB por arquivo. Cada formato tem requisitos e recursos específicos. 

### Texto sem formatação (TXT)
<a name="guardduty-list-format-plaintext"></a>

Esse formato oferece suporte a endereços IP, intervalos CIDR, nomes de domínio e hashes de SHA-256 arquivos. SHA-256 hashes de arquivos são suportados somente em listas de entidades de ameaças. Cada entrada deve aparecer em uma linha separada.

**Example **Exemplo de lista de entidades****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```

**Example **Exemplo de lista de entidades de ameaça com hashes de arquivo****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3
```

**Example **Exemplo de lista de endereços IP****  

```
192.0.2.0/24
198.51.100.1
203.0.113.1
```

### Expressão estruturada de informações sobre ameaças (STIX)
<a name="guardduty-list-format-stix"></a>

Esse formato oferece suporte a endereços IP, blocos CIDR, nomes de domínio e hashes de SHA-256 arquivos. O STIX permite que você inclua contexto adicional com sua inteligência de ameaças. GuardDuty processa endereços IP, intervalos CIDR, nomes de domínio e hashes de SHA-256 arquivos dos indicadores STIX. SHA-256 hashes de arquivos são suportados somente em listas de entidades de ameaças.

**Example **Exemplo de uma lista de entidades****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Exemplo de lista de entidades de ameaça com hashes de arquivo****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    xmlns:FileObj="http://cybox.mitre.org/objects#FileObject-2"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-eeee-ffff-0000-111122223333"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>File hash for malware variant</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">File Hash Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-4444-5555-6666-7777">
                <cybox:Object id="example:File-4444-5555-6666-7777">
                    <cybox:Properties xsi:type="FileObj:FileObjectType">
                        <FileObj:Hashes>
                            <cyboxCommon:Hash>
                                <cyboxCommon:Type xsi:type="cyboxVocabs:HashNameVocab-1.0">SHA256</cyboxCommon:Type>
                                <cyboxCommon:Simple_Hash_Value condition="Equals">a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3</cyboxCommon:Simple_Hash_Value>
                            </cyboxCommon:Hash>
                        </FileObj:Hashes>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Exemplo de uma lista de endereços IP****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>
```

### CSV Open Threat Exchange (OTX)TM
<a name="guardduty-list-format-open-threat-exchange-csv"></a>

Esse formato suporta o bloco CIDR, endereços IP individuais, domínios e o tipo de `SHA256` indicador para hashes de arquivos. SHA-256 hashes de arquivos são suportados somente em listas de entidades de ameaças. Esse formato de arquivo tem valores separados por vírgulas.

**Example **Exemplo de lista de entidades****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```

**Example **Exemplo de lista de entidades de ameaça com hashes de arquivo****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
SHA256, a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, example
```

**Example **Exemplo de lista de endereços IP****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```

### FireEyeCSV de inteligência de ameaças do TM iSight
<a name="guardduty-list-format-fireeye-sight-threat-intel"></a>

Esse formato oferece suporte ao bloco CIDR, endereços IP individuais, domínios e hashes de SHA-256 arquivos na coluna. `sha256` SHA-256 hashes de arquivos são suportados somente em listas de entidades de ameaças. Os exemplos de listas a seguir usam um formato CSV do `FireEyeTM`.

**Example **Exemplo de lista de entidades****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```

**Example **Exemplo de lista de entidades de ameaça com hashes de arquivo****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400

01-00000005, Malicious file hash, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000005, https://www.example.com/report/01-00000005, , , , , , , , , , , , , , , a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, , , , , , , , , , , , Related, , , , , , network, , Ursnif, 9b9a6ea0-3cbf-4e12-bd3e-0c1d7b4e5f6a, , , 1494944400
```

**Example **Exemplo de lista de endereços IP****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```

### CSV ProofpointTM ET Intelligence Feed
<a name="guardduty-list-format-proofpoint"></a>

No formato ProofPoint CSV, você pode adicionar endereços IP ou nomes de domínio em uma única lista. A lista de exemplo a seguir usa o formato CSV `Proofpoint`. O fornecimento de um valor para o parâmetro `ports` é opcional. Se você não fornecer, deixe uma vírgula (,) no final.

**Example **Exemplo de lista de entidades****  

```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

**Example **Exemplo de lista de endereços IP****  

```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

### AlienVaultFeed de reputação da TM
<a name="guardduty-list-format-alien-vault-reputation-feed"></a>

A lista de exemplos a seguir usa o formato `AlienVault`. Esse formato também suporta hashes de SHA-256 arquivo na coluna indicadora. SHA-256 hashes de arquivos são suportados somente em listas de entidades de ameaças.

**Example **Exemplo de lista de entidades****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```

**Example **Exemplo de lista de entidades de ameaça com hashes de arquivo****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3#4#2#Malicious Hash###0.0,0.0#3
```

**Example **Exemplo de lista de endereços IP****  

```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```

## Noções básicas sobre os status de listas
<a name="guardduty-entity-list-statuses"></a>

Quando você adiciona uma lista de entidades ou uma lista de endereços IP, GuardDuty mostra o status dessa lista. A coluna **Status** indica se a lista é efetiva e se alguma ação é necessária. A lista a seguir descreve valores de status válidos:
+ **Ativo** – indica que a lista está sendo usada atualmente para detecção personalizada de ameaças.
+ **Inativo** – indica que a lista não está em uso no momento. GuardDuty Para usar essa lista para detecção de ameaças em seu ambiente, consulte Etapa 3: Ativando uma lista de entidades ou lista de endereços IP em[Como adicionar e ativar uma lista de entidades ou lista de IPs](guardduty-lists-create-activate.md).
+ **Erro** – indica que há um problema com a lista. Passe o mouse sobre o status para ver os detalhes do erro. 
+ **Ativando** — Indica que GuardDuty iniciou o processo de ativação da lista. Você pode continuar monitorando o status dessa lista. Se não houver erro, o status deverá ser atualizado para **Ativo**. Enquanto o status permanecer **Ativando**, você não poderá realizar nenhuma ação nessa lista. Pode levar alguns minutos para que o status da lista mude para o estado **Ativo**.
+ **Desativação** — Indica que GuardDuty iniciou o processo de desativação da lista. Você pode continuar monitorando o status dessa lista. Se não houver erro, o status deverá ser atualizado para **Inativo**. Enquanto o status permanecer **Desativando**, você não poderá realizar nenhuma ação nessa lista.
+ **Exclusão pendente** – indica que a lista está em processo de ser excluída. Enquanto o status permanecer **Exclusão pendente**, você não poderá realizar nenhuma ação nessa lista.