本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用實體清單和 IP 位址清單自訂威脅偵測
Amazon GuardDuty 會透過分析和處理 VPC 流程日誌、 AWS CloudTrail 事件日誌和 DNS 日誌來監控 AWS 環境的安全性。透過啟用一或多個以[使用案例為中心的 GuardDuty 保護計畫](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (除了 之外[執行時期監控](runtime-monitoring.md),您可以在 GuardDuty 中擴展監控功能。
透過清單,GuardDuty 可協助您自訂環境中的威脅偵測範圍。您可以設定 GuardDuty 停止從信任的來源產生問題清單,並從威脅清單中產生已知惡意來源的問題清單。GuardDuty 會繼續支援舊版 IP 地址清單,並將支援延伸至可包含 IP 地址、網域或兩者的實體清單 (建議)。
**Topics**
+ [了解實體清單和 IP 地址清單](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 清單的重要考量事項](#guardduty-lists-entity-sets-considerations)
+ [清單格式](#prepare_list)
+ [了解清單狀態](#guardduty-entity-list-statuses)
+ [設定實體清單和 IP 地址清單的先決條件](guardduty-lists-prerequisites.md)
+ [新增和啟用實體清單或 IP 清單](guardduty-lists-create-activate.md)
+ [更新實體清單或 IP 地址清單](guardduty-lists-update-procedure.md)
+ [停用實體清單或 IP 地址清單](guardduty-lists-deactivate-procedure.md)
+ [刪除實體清單或 IP 地址清單](guardduty-lists-delete-procedure.md)
## 了解實體清單和 IP 地址清單
GuardDuty 提供兩種實作方法:實體清單 (建議) 和 IP 清單。這兩種方法都可協助您指定信任的來源,以阻止 GuardDuty 產生調查結果和已知威脅,GuardDuty 會使用這些威脅來產生調查結果。
**實體清單**支援 IP 地址和網域名稱。它們使用直接 Amazon Simple Storage Service (Amazon S3) 存取搭配單一 IAM 許可,這不會影響跨多個區域的 IAM 政策大小限制。
**IP 清單**僅支援 IP 地址和使用 [GuardDuty 服務連結角色 (SLR)](slr-permissions.md)(SLR),需要每個區域的 IAM 政策更新,這可能會影響 IAM 政策大小限制。
信任清單 (實體清單和 IP 地址清單) 包含您信任的項目,以便與 AWS 基礎設施進行安全通訊。GuardDuty 不會為信任來源中列出的項目產生調查結果。在任何指定時間,每個 AWS 帳戶 區域只能新增一個信任實體清單和一個信任 IP 地址清單。
威脅清單 (實體清單和 IP 地址清單) 包含您已識別為已知惡意來源的項目。當 GuardDuty 偵測到涉及這些來源的活動時,會產生調查結果來提醒您潛在的安全問題。您可以建立自己的威脅清單或整合第三方威脅情報摘要。此清單可由第三方威脅情報提供,也可以專門為您的組織建立。除了因為潛在可疑活動產生調查結果之外,GuardDuty 還會根據涉及威脅清單中項目的活動產生調查結果。在任何指定時間,每個 AWS 帳戶 區域最多可上傳六個威脅實體清單和威脅 IP 地址清單。
**注意**
若要從 IP 地址清單遷移至實體清單,請遵循 [實體清單的先決條件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites),然後新增並啟用所需的實體清單。之後,您可以選擇停用或刪除對應的 IP 地址清單。
## GuardDuty 清單的重要考量事項
開始使用清單之前,請閱讀下列考量事項:
+ IP 地址清單和實體清單僅適用於以可公開路由 IP 地址和網域為目標的流量。
+ 在實體清單中,項目會套用至 CloudTrail、Amazon VPC 中的 VPC 流程日誌,以及 Route53 Resolver DNS 查詢日誌調查結果。
在 IP 地址清單中,項目適用於 Amazon VPC 調查結果中的 CloudTrail 和 VPC 流程日誌,但不適用於 Route53 Resolver DNS 查詢日誌調查結果。
+ 如果您在信任和威脅清單中包含相同的 IP 地址或網域,則信任清單中的這個項目將優先。如果存在與此項目相關聯的活動,GuardDuty 將不會產生問題清單。
+ 在多帳戶環境中,只有 GuardDuty 管理員帳戶可以管理清單。此設定會自動套用至成員帳戶。GuardDuty 會根據涉及來自管理員帳戶威脅來源之已知惡意 IP 地址 (和網域) 的活動產生調查結果,而且不會根據涉及來自管理員帳戶信任來源之 IP 地址 (和網域) 的活動產生調查結果。如需詳細資訊,請參閱[Amazon GuardDuty 中的多個帳戶](guardduty_accounts.md)。
+ 僅接受 IPv4 地址。不支援 IPv6 地址。
+ 在您啟用、停用或刪除實體清單或 IP 地址清單後,估計程序會在 15 分鐘內完成。在某些情況下,此程序最多可能需要 40 分鐘才能完成。
+ 只有在清單的狀態變為**作用中**時,GuardDuty 才會使用威脅偵測清單。
+ 每當您在清單的 S3 儲存貯體位置中新增或更新項目時,都必須再次啟用清單。如需詳細資訊,請參閱[更新實體清單或 IP 地址清單](guardduty-lists-update-procedure.md)。
+ 實體清單和 IP 地址具有不同的配額。如需詳細資訊,請參閱[GuardDuty 配額](guardduty_limits.md)。
## 清單格式
GuardDuty 接受您清單和實體清單的多種檔案格式,每個檔案最多 35 MB。每個格式都有特定的要求和功能。
### 純文字 (TXT)
此格式支援 IP 地址、CIDR 範圍和網域名稱。每個項目都必須顯示在單獨的一行上。
**Example **實體清單的範例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP 地址清單的範例****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### 結構化威脅資訊運算式 (STIX)
此格式支援 IP 地址、CIDR 區塊和網域名稱。STIX 可讓您在威脅情報中包含其他內容。GuardDuty 會從 STIX 指標處理 IP 地址、CIDR 範圍和網域名稱。
**Example **實體清單的範例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP 地址清單的範例****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### 開放式威脅交換 (OTX)TM CSV
此格式支援 CIDR 區塊、個別 IP 地址和網域。此檔案格式具有逗號分隔值。
**Example **實體清單的範例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP 地址清單的範例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSIGHT 威脅情報 CSV
此格式支援 CIDR 區塊、個別 IP 地址和網域。下列範例清單使用 `FireEyeTM` CSV 格式。
**Example **實體清單的範例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP 地址清單的範例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET 情報饋送 CSV
在 ProofPoint CSV 格式中,您可以在一個清單中新增 IP 地址或網域名稱。下列範例清單使用 `Proofpoint` CSV 格式。提供 `ports` 參數的值是選用的。當您不提供時,請在結尾保留結尾逗號 (,)。
**Example **實體清單的範例****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP 地址清單的範例****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM 評價饋送
下列範例清單使用 `AlienVault` 格式。
**Example **實體清單的範例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP 地址清單的範例****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## 了解清單狀態
當您新增實體清單或 IP 地址清單時,GuardDuty 會顯示該清單的狀態。**狀態**欄指出清單是否有效,以及是否需要任何動作。下列清單說明有效的狀態值:
+ **作用中** – 表示清單目前正在用於自訂威脅偵測。
+ **非作用中** – 表示清單目前不在使用中。若要讓 GuardDuty 將此清單用於環境中的威脅偵測,請參閱《》中的步驟 3:啟用實體清單或 IP 地址清單[新增和啟用實體清單或 IP 清單](guardduty-lists-create-activate.md)。
+ **錯誤** – 表示清單發生問題。將滑鼠暫留在狀態上以檢視錯誤詳細資訊。
+ **啟用中** – 表示 GuardDuty 已啟動啟用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤,狀態應更新為**作用中**。當狀態保持**啟用時**,您無法對此清單執行任何動作。清單狀態可能需要幾分鐘的時間才能變更為**作用中**。
+ **停用** – 表示 GuardDuty 已啟動停用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤,狀態應更新為**非作用中**。當狀態保持**停用**時,您無法在此清單上執行任何動作。
+ **刪除擱置**中 – 表示清單正在進行刪除。當狀態保持**待定刪除**時,您無法在此清單上執行任何動作。
# 設定實體清單和 IP 地址清單的先決條件
GuardDuty 會使用實體清單和 IP 地址清單,在您的環境中自訂威脅偵測 AWS 。實體清單 (建議) 同時支援 IP 地址和網域名稱,而 IP 地址清單僅支援 IP 地址。開始建立這些清單之前,您必須為要使用的清單類型新增必要的許可。
## 實體清單的先決條件
當您新增實體清單時,GuardDuty 會從 S3 儲存貯體讀取您的信任和威脅情報清單。您用來建立實體清單的角色必須具有 S3 儲存貯體的 `s3:GetObject` 許可,其中包含這些清單。
**注意**
在多帳戶環境中,只有 GuardDuty 管理員帳戶可以管理清單,這些清單會自動套用到成員帳戶。
如果您還沒有 S3 儲存貯體位置的`s3:GetObject`許可,請使用下列範例政策,並將 *amzn-s3-demo-bucket* 取代為您的 S3 儲存貯體位置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 地址清單的先決條件
各種 IAM 身分需要特殊的許可,以在 GuardDuty 中使用信任 IP 清單和威脅清單。具有連接的 [AmazonGuardDutyFullAccess\$1v2 (建議)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 受管政策的身分,只能重新命名和停用上傳的信任 IP 清單和威脅清單。
若要授予各種身分使用信任 IP 清單和威脅清單 (除了重新命名和停用,還包括新增、啟用、刪除和更新清單的位置或名稱) 的完整存取權限,請確認以下動作存在於連接至使用者、群組或角色的許可政策中:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**重要**
這些動作不包含在 `AmazonGuardDutyFullAccess` 受管政策中。
### 搭配實體清單和 IP 清單使用 SSE-KMS 加密
GuardDuty 支援清單的 SSE-AES256 和 SSE-KMS 加密。不支援 SSE-C。如需 S3 加密類型的詳細資訊,請參閱[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)。
無論您使用實體清單還是 IP 清單,如果您使用 SSE-KMS,請將下列陳述式新增至您的 AWS KMS key 政策。以您自己的帳戶 ID 取代 *123456789012*。
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# 新增和啟用實體清單或 IP 清單
實體清單和 IP 地址清單可協助您自訂 GuardDuty 中的威脅偵測功能。如需這些清單的詳細資訊,請參閱 [了解實體清單和 IP 地址清單](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。若要管理您 AWS 環境的信任和威脅情報資料,GuardDuty 建議使用實體清單。開始之前,請參閱[設定實體清單和 IP 地址清單的先決條件](guardduty-lists-prerequisites.md)。
選擇下列其中一種存取方法,以新增和啟用信任實體清單、威脅實體清單、信任 IP 清單或威脅 IP 清單。
------
#### [ Console ]
**(選用) 步驟 1:擷取清單的位置 URL**
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在導覽窗格中,選擇 **儲存貯體**。
1. 選擇 Amazon S3 儲存貯體名稱,其中包含您要新增的特定清單。
1. 選擇物件 (清單) 名稱以檢視其詳細資訊。
1. 在**屬性**索引標籤下,複製此物件的 **S3 URI**。
**步驟 2:新增信任或威脅情報資料**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選擇**實體清單**或 **IP 地址清單**索引標籤。
1. 根據您選取的標籤,選擇新增信任清單或威脅清單。
1. 在對話方塊中新增信任或威脅清單,請執行下列步驟:
1. 針對**清單名稱**,輸入清單的名稱。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 針對**位置**,提供您上傳清單的位置。如果您尚未擁有位置,請參閱[Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage)。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。
**位置 URL 的格式:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (選用) 對於**預期儲存貯體擁有者**,您可以輸入擁有**位置**欄位中指定之 Amazon S3 儲存貯體的 AWS 帳戶 ID。
當您未指定 AWS 帳戶 ID 擁有者時,GuardDuty 對實體清單和 IP 地址清單的行為會有所不同。對於實體清單,GuardDuty 將驗證目前成員帳戶是否擁有**位置**欄位中指定的 S3 儲存貯體。對於 IP 地址清單,如果您未指定 AWS 帳戶 ID 擁有者,GuardDuty 不會執行任何驗證。
如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用清單時收到錯誤。
1. 選取**我同意**核取方塊。
1. 選擇**新增清單**。依預設,新增清單的**狀態**為**非作用中**。若要使清單生效,您必須啟用清單。
**步驟 3:啟用實體清單或 IP 地址清單**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取要在其中啟用清單 - **實體清單**或 **IP 地址清單**的索引標籤。
1. 選取您要啟用的清單。這將啟用**動作**和**編輯**功能表。
1. 選擇**動作**,然後選擇**啟用**。
------
#### [ API/CLI ]
**新增和啟用信任的實體清單**
1. 執行 [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html)。請務必提供您要為其建立此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。
**新增和啟用威脅實體清單**
1. 執行 [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html)。請務必提供您要為其建立此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。
**新增和啟用信任的 IP 地址清單**
1. 執行 [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。請務必提供您要為其建立此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要更新信任 IP 地址清單之成員帳戶的`detector-id`偵測器 ID 取代 。
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立信任 IP 清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
**新增和啟用威脅 IP 清單**
1. 執行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。請務必提供您要為其建立此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並將 取代`detector-id`為您要更新威脅 IP 清單之成員帳戶的偵測器 ID。
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立威脅 IP 清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
------
啟用實體清單或 IP 地址清單後,此清單可能需要幾分鐘才會生效。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
# 更新實體清單或 IP 地址清單
實體清單和 IP 地址清單可協助您自訂 GuardDuty 中的威脅偵測功能。如需這些清單的詳細資訊,請參閱 [了解實體清單和 IP 地址清單](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。
您可以更新清單的名稱、S3 儲存貯體位置、預期的儲存貯體擁有者帳戶 ID,以及現有清單中的項目。如果您更新清單中的項目,您必須依照步驟再次啟用清單,GuardDuty 才能使用最新版本的清單。在您更新或啟用實體清單或 IP 地址清單後,此清單可能需要幾分鐘才會生效。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
**注意**
如果清單的狀態為**啟用**、**停用****或刪除待定**,您必須先等待幾分鐘,才能執行任何動作。如需這些狀態的資訊,請參閱 [了解清單狀態](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
選擇其中一種存取方法來更新實體清單或 IP 地址清單。
------
#### [ Console ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取適當的索引標籤 - **實體清單**或 **IP 地址清單**。
1. 選取您要更新的清單 (受信任或威脅)。這將啟用**動作**和**編輯**功能表。
1. 選擇**編輯**。
1. 在要更新清單的對話方塊中,指定您要更新的詳細資訊。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 與下列支援的格式不相符,則您會在新增和啟用清單期間收到錯誤訊息。
1. (選用) 對於**預期儲存貯體擁有者**,您可以輸入擁有**位置**欄位中指定之 Amazon S3 儲存貯體的 AWS 帳戶 ID。
當您未指定 AWS 帳戶 ID 擁有者時,GuardDuty 對實體清單和 IP 地址清單的行為會有所不同。對於實體清單,GuardDuty 將驗證目前成員帳戶是否擁有**位置**欄位中指定的 S3 儲存貯體。對於 IP 地址清單,如果您未指定 AWS 帳戶 ID 擁有者,GuardDuty 不會執行任何驗證。
如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用清單時收到錯誤。
1. 選取**我同意**核取方塊,然後選擇**更新清單**。
------
#### [ API/CLI ]
若要從下列程序開始,您需要與您要更新之清單資源相關聯的 ID`threatIpSet`,例如 `trustedEntitySetId``trustedIpSet`、、 `threatEntitySetId`或 。
**更新和啟用信任的實體清單**
1. 執行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。請務必提供您要更新此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來更新清單`name`的 ,並啟用此清單:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 與下列支援的格式不相符,則您會在新增和啟用清單期間收到錯誤訊息。
**更新和啟用威脅實體清單**
1. 執行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。請務必提供您要為其建立此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來更新清單`name`的 ,並啟用此清單:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您建立威脅實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 與下列支援的格式不相符,則您會在新增和啟用清單期間收到錯誤訊息。
**更新和啟用信任的 IP 地址清單**
1. 執行 [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。請務必提供您要更新此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 或者,您也可以執行下列命令 AWS Command Line Interface 來啟用清單:
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您要更新信任 IP 清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
**新增和啟用威脅 IP 清單**
1. 執行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。請務必提供您要為其建立此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 或者,您也可以執行下列命令 AWS Command Line Interface 來啟用清單:
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您要更新威脅 IP 清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
------
# 停用實體清單或 IP 地址清單
當您不再希望 GuardDuty 使用清單時,您可以停用該清單。程序可能需要幾分鐘的時間才能完成。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。清單停用後,實體清單或 IP 地址清單中的項目不會影響 GuardDuty 中的威脅偵測。
選擇其中一種存取方法來停用清單。
------
#### [ Console ]
**停用實體清單或 IP 地址清單**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取您要停用清單 - **實體清單**或 **IP 地址清單**的索引標籤。
1. 在選取的索引標籤中,選取您要停用的清單。
1. 選擇**動作**,然後選擇**停用**。
1. 確認動作,然後選擇**停用**。
------
#### [ API/CLI ]
若要從下列程序開始,您需要與您要停用的清單資源相關聯的 ID`threatIpSet`,例如 `trustedEntitySetId``trustedIpSet`、、 `threatEntitySetId`或 。
**停用信任的實體清單**
1. 執行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。請務必提供您要停用此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id` 將 取代為您要停用信任實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**停用威脅實體清單**
1. 執行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。請務必提供您要停用此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id` 將 取代為您要為其建立威脅實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
**停用信任的 IP 地址清單**
1. 執行 [UpdateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html)。請務必提供您要停用此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要停用信任 IP 地址清單之成員帳戶的`detector-id`偵測器 ID 取代 。
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**停用威脅 IP 清單**
1. 執行 [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html)。請務必提供您要停用此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要停用威脅 IP 清單之成員帳戶的`detector-id`偵測器 ID 取代 。
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# 刪除實體清單或 IP 地址清單
當您不想再將清單項目保留在實體集或 IP 地址集中時,您可以將其刪除。程序可能需要幾分鐘的時間才能完成。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
如果清單的狀態為**啟用或停用******,您必須先等待幾分鐘,才能執行任何動作。如需詳細資訊,請參閱[了解清單狀態](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
選擇其中一個存取方法來刪除清單。
------
#### [ Console ]
**刪除實體清單或 IP 地址清單**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取要在其中刪除清單 - **實體清單**或 **IP 地址清單**的索引標籤。
1. 在選取的索引標籤中,選取您要刪除的清單。
1. 選擇**動作**,然後選擇**刪除**。
清單狀態將變更為待**定刪除**。可能需要幾分鐘的時間才會刪除清單。
------
#### [ API/CLI ]
若要從下列程序開始,您需要與要刪除的清單資源相關聯的 ID`threatIpSet`,例如 `trustedIpSet`、、 `trustedEntitySetId` `threatEntitySetId`或 。
**刪除信任的實體清單**
1. 執行 [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html)。請務必提供要刪除此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除信任實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**停用威脅實體清單**
1. 執行 [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html)。請務必提供要刪除此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除威脅實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**刪除信任的 IP 地址清單**
1. 執行 [DeleteIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html)。請務必提供要刪除此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您可以執行下列 AWS Command Line Interface 命令,並確定將 取代`detector-id`為您要刪除信任 IP 地址清單之成員帳戶的偵測器 ID。
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除威脅實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**刪除威脅 IP 清單**
1. 執行 [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html)。請務必提供要刪除此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並將 取代`detector-id`為您要刪除威脅 IP 清單之成員帳戶的偵測器 ID。
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除威脅實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
------