本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 新增和啟用實體清單或 IP 清單 實體清單和 IP 地址清單可協助您自訂 GuardDuty 中的威脅偵測功能。如需這些清單的詳細資訊,請參閱 [了解實體清單和 IP 地址清單](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。若要管理您 AWS 環境的信任和威脅情報資料,GuardDuty 建議使用實體清單。開始之前,請參閱[設定實體清單和 IP 地址清單的先決條件](guardduty-lists-prerequisites.md)。 選擇下列其中一種存取方法,以新增和啟用信任實體清單、威脅實體清單、信任 IP 清單或威脅 IP 清單。 ------ #### [ Console ] **(選用) 步驟 1:擷取清單的位置 URL** 1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。 1. 在導覽窗格中,選擇 **儲存貯體**。 1. 選擇 Amazon S3 儲存貯體名稱,其中包含您要新增的特定清單。 1. 選擇物件 (清單) 名稱以檢視其詳細資訊。 1. 在**屬性**索引標籤下,複製此物件的 **S3 URI**。 **步驟 2:新增信任或威脅情報資料** 1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 1. 在導覽窗格中,選擇**清單**。 1. 在**清單**頁面上,選擇**實體清單**或 **IP 地址清單**索引標籤。 1. 根據您選取的標籤,選擇新增信任清單或威脅清單。 1. 在對話方塊中新增信任或威脅清單,請執行下列步驟: 1. 針對**清單名稱**,輸入清單的名稱。 **清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。 對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。 1. 針對**位置**,提供您上傳清單的位置。如果您尚未擁有位置,請參閱[Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage)。 僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。 **位置 URL 的格式:** + https://s3.amazonaws.com/bucket.name/file.txt + https://s3-aws-region.amazonaws.com/bucket.name/file.txt + http://bucket.s3.amazonaws.com/file.txt + http://bucket.s3-aws-region.amazonaws.com/file.txt + s3://bucket.name/file.txt 1. (選用) 對於**預期儲存貯體擁有者**,您可以輸入擁有**位置**欄位中指定之 Amazon S3 儲存貯體的 AWS 帳戶 ID。 當您未指定 AWS 帳戶 ID 擁有者時,GuardDuty 對實體清單和 IP 地址清單的行為會有所不同。對於實體清單,GuardDuty 將驗證目前成員帳戶是否擁有**位置**欄位中指定的 S3 儲存貯體。對於 IP 地址清單,如果您未指定 AWS 帳戶 ID 擁有者,GuardDuty 不會執行任何驗證。 如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用清單時收到錯誤。 1. 選取**我同意**核取方塊。 1. 選擇**新增清單**。依預設,新增清單的**狀態**為**非作用中**。若要使清單生效,您必須啟用清單。 **步驟 3:啟用實體清單或 IP 地址清單** 1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 1. 在導覽窗格中,選擇**清單**。 1. 在**清單**頁面上,選取要在其中啟用清單 - **實體清單**或 **IP 地址清單**的索引標籤。 1. 選取您要啟用的清單。這將啟用**動作**和**編輯**功能表。 1. 選擇**動作**,然後選擇**啟用**。 ------ #### [ API/CLI ] **新增和啟用信任的實體清單** 1. 執行 [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html)。請務必提供您要為其建立此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。 **清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。 1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作: ``` aws guardduty create-trusted-entity-set \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --name "AnyOrganization ListEXAMPLE" \ --format TXT \ --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \ --activate ``` `detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。 如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。 `expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。 僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。 **新增和啟用威脅實體清單** 1. 執行 [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html)。請務必提供您要為其建立此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。 **清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。 1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作: ``` aws guardduty create-threat-entity-set \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --name "AnyOrganization ListEXAMPLE" \ --format TXT \ --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \ --activate ``` `detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。 如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。 `expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。 僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。 **新增和啟用信任的 IP 地址清單** 1. 執行 [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。請務必提供您要為其建立此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。 對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。 **清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。 1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要更新信任 IP 地址清單之成員帳戶的`detector-id`偵測器 ID 取代 。 ``` aws guardduty create-ip-set \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --name "AnyOrganization ListEXAMPLE" \ --format TXT \ --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \ --activate ``` `detector-id` 將 取代為您建立信任 IP 清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。 如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。 `expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。 **新增和啟用威脅 IP 清單** 1. 執行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。請務必提供您要為其建立此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。 **清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。 對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。 1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並將 取代`detector-id`為您要更新威脅 IP 清單之成員帳戶的偵測器 ID。 ``` aws guardduty create-threat-intel-set \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --name "AnyOrganization ListEXAMPLE" \ --format TXT \ --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \ --activate ``` `detector-id` 將 取代為您建立威脅 IP 清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。 如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。 `expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。 ------ 啟用實體清單或 IP 地址清單後,此清單可能需要幾分鐘才會生效。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。