本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用实体列表和 IP 地址列表自定义威胁检测
Amazon 通过分析和处理 VPC 流日志、 AWS CloudTrail 事件日志和 DNS 日志来 GuardDuty 监控您的 AWS 环境安全。通过启用一个或多个以[用例为重点的 GuardDuty 保护计划](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty)(除外)[运行时监控](runtime-monitoring.md),您可以扩展其中的监控功能。 GuardDuty
使用列表, GuardDuty 可帮助您自定义环境中威胁检测的范围。您可以配置 GuardDuty 为停止从可信来源生成调查结果,并从威胁列表中生成已知恶意来源的调查结果。 GuardDuty 继续支持传统 IP 地址列表,并将支持扩展到可能包含 IP 地址和/或域的实体列表(推荐)。
**Topics**
+ [理解实体列表和 IP 地址列表](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 清单的重要注意事项](#guardduty-lists-entity-sets-considerations)
+ [列表格式](#prepare_list)
+ [了解列表状态](#guardduty-entity-list-statuses)
+ [设置实体列表和 IP 地址列表的先决条件](guardduty-lists-prerequisites.md)
+ [添加和启用实体列表或 IP 列表](guardduty-lists-create-activate.md)
+ [更新实体列表或 IP 地址列表](guardduty-lists-update-procedure.md)
+ [停用实体列表或 IP 地址列表](guardduty-lists-deactivate-procedure.md)
+ [删除实体列表或 IP 地址列表](guardduty-lists-delete-procedure.md)
## 理解实体列表和 IP 地址列表
GuardDuty 提供了两种实现方法:实体列表(推荐)和 IP 列表。这两种方法都可以帮助您指定可信来源,这些来源可 GuardDuty 阻止生成发现结果和已知威胁,后者 GuardDuty 用于生成调查结果。
**实体列表**同时支持 IP 地址和域名。它们仅需单一 IAM 权限即可实现直接的 Amazon Simple Storage Service(Amazon S3)访问,不会影响多个区域的 IAM 策略大小限制。
**IP 列表**仅支持 IP 地址而且需要使用 [GuardDuty 服务相关角色 (SLR)](slr-permissions.md)(SLR),需要按区域更新 IAM 策略,这可能会影响 IAM 策略的大小限制。
可信列表(包括实体列表和 IP 地址列表)包括您信任的用于与您的 AWS 基础架构进行安全通信的条目。 GuardDuty 不会为可信来源中列出的条目生成搜索结果。在任何给定时间, AWS 账户 每个区域只能添加一个可信实体列表和一个可信 IP 地址列表。
威胁列表(包括实体列表和 IP 地址列表)包含您确认为已知恶意来源的条目。当 GuardDuty 检测到涉及这些来源的活动时,它会生成调查结果,提醒您注意潜在的安全问题。您可以创建自己的威胁列表或整合第三方威胁情报源。此列表可以由第三方威胁情报提供,也可以专门为您的组织创建。除了由于可能存在可疑活动而生成发现结果外, GuardDuty 还会根据涉及威胁列表条目的活动生成调查结果。在任何给定时间, AWS 账户 每个区域最多可以上传六个威胁实体列表和威胁 IP 地址列表。
**注意**
要从 IP 地址列表迁移到实体列表,请按照[实体列表的先决条件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites)中的信息进行操作,然后启用所需的实体列表。之后,您可以选择停用或删除相应的 IP 地址列表。
## GuardDuty 清单的重要注意事项
在开始使用列表之前,请阅读以下注意事项:
+ IP 地址列表和实体列表仅适用于目标位公开可路由 IP 地址和域的流量。
+ 在实体列表中,条目适用于 Amazon VPC 中的 VPC 流日志和 Route53 Resolver DNS 查询日志结果。 CloudTrail
在 IP 地址列表中,条目适用于 Amazon VPC 发现结果中的 VPC 流日志,但不适用于 Route53 Resolver DNS 查询日志结果。 CloudTrail
+ 如果您在可信列表和威胁列表中都包含相同的 IP 地址或域,则可信列表中的此条目将优先。 GuardDuty 如果存在与此条目相关的活动,则不会生成调查结果。
+ 在多账户环境中,只有 GuardDuty 管理员帐户才能管理列表。此设置自动应用于成员账户。 GuardDuty 根据涉及管理员帐户威胁源的已知恶意 IP 地址(和域)的活动生成调查结果,并且不会根据涉及管理员帐户可信来源的 IP 地址(和域)的活动生成调查结果。有关更多信息,请参阅 [亚马逊有多个账户 GuardDuty](guardduty_accounts.md)。
+ 只接受 IPv4 地址。 IPv6 不支持地址。
+ 启用、停用或删除实体列表或 IP 地址列表的过程预计需要 15 分钟完成。在某些情况下,此过程可能需要长达 40 分钟才能完成。
+ GuardDuty 仅当列表的状态变为 “**活动**” 时,才使用列表进行威胁检测。
+ 每当您在列表的 S3 存储桶位置添加或更新条目时,都必须重新启用该列表。有关更多信息,请参阅 [更新实体列表或 IP 地址列表](guardduty-lists-update-procedure.md)。
+ 实体列表和 IP 地址列表具有不同的配额。有关更多信息,请参阅 [GuardDuty 配额](guardduty_limits.md)。
## 列表格式
GuardDuty 您的列表和实体列表接受多种文件格式,每个文件最大 35 MB。每种格式都有特定的要求和功能。
### 纯文本(TXT)
此格式支持 IP 地址、CIDR 范围和域名。每行只能有一个条目。
**Example **实体列表示例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP 地址列表示例****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression(STIX)
此格式支持 IP 地址、CIDR 数据块和域名。STIX 允许您在威胁情报中加入其他背景信息。 GuardDuty 处理 STIX 指标中的 IP 地址、CIDR 范围和域名。
**Example **实体列表示例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP 地址列表示例****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange(OTX)TM CSV
此格式支持 CIDR 数据块、单个 IP 地址和域名。此文件格式采用逗号分隔值。
**Example **实体列表示例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP 地址列表示例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSight 威胁情报 CSV
此格式支持 CIDR 数据块、单个 IP 地址和域名。以下示例列表采用 `FireEyeTM` CSV 格式。
**Example **实体列表示例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP 地址列表示例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
在 ProofPoint CSV 格式中,可以在一个列表中添加 IP 地址或域名。以下示例列表使用 `Proofpoint` CSV 格式。可以选择是否为 `ports` 参数提供值。如果不提供,请在末尾留一个逗号 (,)。
**Example **实体列表示例****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP 地址列表示例****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM 信誉提要
以下示例列表使用 `AlienVault` 格式。
**Example **实体列表示例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP 地址列表示例****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## 了解列表状态
添加实体列表或 IP 地址列表时,会 GuardDuty 显示该列表的状态。**状态**列指示列表是否有效以及是否需要采取任何操作。下表描述了各种有效状态值:
+ **活动**:表示列表当前正在用于自定义威胁检测。
+ **非活动**:表示列表当前未被使用。 GuardDuty 要在您的环境中使用此列表进行威胁检测,请参阅中的步骤 3:激活实体列表或 IP 地址列表[添加和启用实体列表或 IP 列表](guardduty-lists-create-activate.md)。
+ **错误**:表示列表有问题。将鼠标悬停在状态上方可查看错误详情。
+ **激活**-表示 GuardDuty 已启动激活列表的过程。您可以继续监控此列表的状态。如果没有错误,则状态会更新为**活动**。如果状态保持为**正在启用**,您无法对此列表执行任何操作。列表状态可能需要几分钟才能变为**活动**状态。
+ **停用** — 表示 GuardDuty 已启动取消激活列表的过程。您可以继续监控此列表的状态。如果没有错误,则状态应更新为**非活动**。如果状态保持为**正在停用**,您无法对此列表执行任何操作。
+ **待删除**:表示正在删除列表。如果状态保持为**待删除**,您无法对此列表执行任何操作。
# 设置实体列表和 IP 地址列表的先决条件
GuardDuty 使用实体列表和 IP 地址列表自定义 AWS 环境中的威胁检测。实体列表(建议)同时支持 IP 地址和域名,而 IP 地址列表仅支持 IP 地址。在开始创建这些列表之前,您必须为要使用的列表类型添加所需的权限。
## 实体列表的先决条件
添加实体列表时,从 S3 存储桶中 GuardDuty 读取您的可信列表和威胁情报列表。用于创建实体列表的角色必须拥有 `s3:GetObject` 权限,以访问包含这些列表的 S3 存储桶。
**注意**
在多账户环境中,只有 GuardDuty 管理员账户可以管理列表,列表会自动应用于成员账户。
如果您还没有 S3 存储桶位置的`s3:GetObject`权限,请使用以下示例策略并*amzn-s3-demo-bucket*替换为您的 S3 存储桶位置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 地址列表的先决条件
各种 IAM 身份需要特殊权限才能使用中的可信 IP 列表和威胁列表 GuardDuty。已附加 [AmazonGuardDutyFullAccess\$1v2(推荐)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。
要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限(除重命名和停用外,还包括添加、激活、删除和更新列表的位置或名称),确保附加到用户、组或角色的权限策略中包含以下操作:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**重要**
这些操作未包含在 `AmazonGuardDutyFullAccess` 托管策略中。
### 将 SSE-KMS 加密与实体列表和 IP 列表配合使用
GuardDuty 支持对您的列表进行 SSE AES256 和 SSE-KMS 加密。不支持 SSE-C。有关 S3 加密类型的更多信息,请参阅[使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)。
无论您使用的是实体列表还是 IP 列表,如果您使用 SSE-KMS,请将以下声明添加到您的 AWS KMS key 策略中。*123456789012*用您自己的账户 ID 替换。
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# 添加和启用实体列表或 IP 列表
实体列表和 IP 地址列表可帮助您自定义中的威胁检测功能 GuardDuty。有关这些列表的更多信息,请参阅[理解实体列表和 IP 地址列表](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。要管理您 AWS 环境的可信数据和威胁情报数据, GuardDuty建议使用实体列表。在开始之前,请参阅[设置实体列表和 IP 地址列表的先决条件](guardduty-lists-prerequisites.md)。
选择以下访问方法之一添加和启用可信实体列表、威胁实体列表、可信 IP 列表或威胁 IP 列表。
------
#### [ Console ]
**(可选)步骤 1:获取列表的位置 URL**
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在导航窗格中,选择**存储桶**。
1. 选择包含要添加的特定列表的 Amazon S3 存储桶名称。
1. 选择对象(列表)名称以查看其详细信息。
1. 在**属性**选项卡下,复制该对象的 **S3 URI**。
**步骤 2:添加可信或威胁情报数据**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择**实体列表**或**IP 地址列表**选项卡。
1. 根据您选择的选项卡,选择添加可信列表或威胁列表。
1. 在“添加可信列表或威胁列表”的对话框中,执行以下操作:
1. 对于**列表名称**,输入列表的名称。
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 对于**位置**,请提供您上传列表的位置。如果您还没有,请参阅 [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage)。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**位置 URL 的格式:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (可选)对于**预期存储桶拥有者**,您可以输入拥有**位置**字段中指定的 Amazon S3 存储桶的 AWS 账户 ID。
如果不指定 AWS 账户 ID 所有者,则实体列表和 IP 地址列表的 GuardDuty 行为会有所不同。对于实体列表, GuardDuty 将验证当前成员账户是否拥有**位置**字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 AWS 账户 ID 所有者,则 GuardDuty 不执行任何验证。
如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活列表时会出现错误。
1. 选中 **I agree** 复选框。
1. 选择 **Add list**。默认情况下,已添加列表的**状态**为**非活动**。要使列表生效,必须激活列表。
**步骤 3:启用实体列表或 IP 地址列表**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择要启用列表的选项卡:**实体列表**或 **IP 地址列表**。
1. 选择要启用的列表。这将启用**操作**和**编辑**菜单。
1. 选择**操作**,然后选择**启用**。
------
#### [ API/CLI ]
**添加和启用可信实体列表**
1. 运行 [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html)。确保提供要为其创建此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**添加和启用威胁实体列表**
1. 运行 [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html)。确保提供要为其创建此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**添加和启用可信 IP 地址列表**
1. 运行 “[创建” IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。确保提供要为其创建此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其更新可信 IP 地址列表的成员账户的检测器 ID。
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建可信 IP 列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
**添加和启用威胁 IP 列表**
1. 运行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。确保提供要为其创建此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其更新威胁 IP 列表的成员账户的检测器 ID。
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建威胁 IP 列表的成员账户的探测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
------
启用实体列表或 IP 地址列表后,列表可能需要几分钟才能生效。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
# 更新实体列表或 IP 地址列表
实体列表和 IP 地址列表可帮助您自定义中的威胁检测功能 GuardDuty。有关这些列表的更多信息,请参阅[理解实体列表和 IP 地址列表](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。
可以更新列表名称、S3 存储桶位置、预期存储桶所有者账户 ID 以及现有列表中的条目。如果您更新列表中的条目,则必须按照步骤重新激活列表, GuardDuty 才能使用最新版本的列表。更新或启用实体列表或 IP 地址列表后,此列表可能需要几分钟才能生效。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
**注意**
如果列表的状态为**启用**、**停用**或**待删除**,则必须等待几分钟才能执行任何操作。有关这些状态的信息,请参阅[了解列表状态](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
选择一种访问方法来更新实体列表或 IP 地址列表。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择相应的选项卡:**实体列表**或 **IP 地址列表**。
1. 选择一个要更新的列表(可信列表或威胁列表)。这将启用**操作**和**编辑**菜单。
1. 选择**编辑**。
1. 在列表更新对话框中,指定要更新的详细信息。
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
1. (可选)对于**预期存储桶拥有者**,您可以输入拥有**位置**字段中指定的 Amazon S3 存储桶的 AWS 账户 ID。
如果不指定 AWS 账户 ID 所有者,则实体列表和 IP 地址列表的 GuardDuty 行为会有所不同。对于实体列表, GuardDuty 将验证当前成员账户是否拥有**位置**字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 AWS 账户 ID 所有者,则 GuardDuty 不执行任何验证。
如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活列表时会出现错误。
1. 选中**我同意**复选框,然后选择**更新列表**。
------
#### [ API/CLI ]
要开始以下过程,您需要与要更新的列表资源关联的 ID,例如 `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet` 或 `threatIpSet`。
**更新和启用可信实体列表**
1. 运行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。确保提供要为其更新此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令会更新列表的 `name` 并启用此列表:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**更新和启用威胁实体列表**
1. 运行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。确保提供要为其创建此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令会更新列表的 `name` 并启用此列表:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要为其创建威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**更新并启用可信 IP 地址列表**
1. 运行 “[创建” IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。确保提供要为其更新此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令也会启用列表:
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要更新可信 IP 列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
**添加和启用威胁 IP 列表**
1. 运行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。确保提供要为其创建此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令也会启用列表:
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要更新威胁 IP 列表的成员账户的探测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
------
# 停用实体列表或 IP 地址列表
当您不 GuardDuty 想再使用列表时,可以将其停用。此过程可能需要几分钟才能完成。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。列表停用后,实体列表或 IP 地址列表中的条目将不会影响中的 GuardDuty威胁检测。
选择以下其中一种访问方法来停用列表。
------
#### [ Console ]
**停用实体列表或 IP 地址列表**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择要停用列表的选项卡:**实体列表**或 **IP 地址列表**。
1. 在选择的选项卡中,选择要停用的列表。
1. 选择**操作**,然后选择**停用**。
1. 确认操作并选择**停用**。
------
#### [ API/CLI ]
要开始以下过程,您需要与要停用的列表资源关联的 ID,例如 `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet` 或 `threatIpSet`。
**停用受信任实体列表**
1. 运行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。确保提供要为其停用此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
替换为要停`detector-id`用可信实体列表的成员帐户的检测器 ID 以及其他占位符值。*shown in red*
**停用威胁实体列表**
1. 运行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。确保提供要为其停用此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`替换为要为其创建威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
**停用可信 IP 地址列表**
1. 运行[更新IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html)。确保提供要为其停用此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其停用可信 IP 地址列表的成员账户的检测器 ID。
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**停用威胁 IP 列表**
1. 运行 [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html)。确保提供要为其停用此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其停用威胁 IP 列表的成员账户的检测器 ID。
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# 删除实体列表或 IP 地址列表
如果不想再在实体集或 IP 地址集中保留列表条目,可将其删除。此过程可能需要几分钟才能完成。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
如果列表的状态为**启用**或**停用**,则必须等待几分钟才能执行任何操作。有关更多信息,请参阅 [了解列表状态](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
选择一种访问方法来删除列表。
------
#### [ Console ]
**删除实体列表或 IP 地址列表**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择要删除列表的选项卡:**实体列表**或 **IP 地址列表**。
1. 在选择的选项卡中,选择要删除的列表。
1. 选择**操作**,然后选择**删除**。
列表状态将更改为**待删除**。列表删除可能需要几分钟时间。
------
#### [ API/CLI ]
要开始以下过程,您需要与要删除的列表资源关联的 ID,例如 `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet` 或 `threatIpSet`。
**删除可信实体列表**
1. 运行 [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html)。确保提供要为其删除此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除可信实体列表的成员账户的探测器 ID 以及其他占位符值。*shown in red*
**停用威胁实体列表**
1. 运行 [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html)。确保提供要为其删除此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
**删除可信 IP 地址列表**
1. 运行 [“删除” IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html)。确保提供要为其删除此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其删除可信 IP 地址列表的成员账户的检测器 ID。
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
**删除威胁 IP 列表**
1. 运行 [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html)。确保提供要为其删除此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其删除威胁 IP 列表的成员账户的检测器 ID。
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
------