

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Anpassen der Bedrohungserkennung mit Entitätenlisten und IP-Adresslisten
<a name="guardduty_upload-lists"></a>

Amazon GuardDuty überwacht die Sicherheit Ihrer AWS Umgebung, indem es VPC-Flow-Logs, AWS CloudTrail Event-Logs und DNS-Logs analysiert und verarbeitet. Indem Sie einen oder mehrere spezielle [Use-case GuardDuty Schutzpläne](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (außer[Laufzeitüberwachung](runtime-monitoring.md)) aktivieren, können Sie die darin enthaltenen Überwachungsfunktionen erweitern. GuardDuty 

Mithilfe von Listen können Sie den Umfang der Bedrohungserkennung in Ihrer Umgebung individuell anpassen. GuardDuty Sie können so konfigurieren GuardDuty , dass keine Ergebnisse mehr aus Ihren vertrauenswürdigen Quellen generiert werden und dass Ergebnisse für bekannte bösartige Quellen aus Ihren Bedrohungslisten generiert werden. GuardDuty unterstützt weiterhin ältere IP-Adresslisten und erweitert die Unterstützung auf Entitätslisten (empfohlen), die IP-Adressen, Domänen oder beides enthalten können. 

**Topics**
+ [Grundlegendes zu Entitätslisten und IP-Adresslisten](#guardduty-threat-intel-list-entity-sets)
+ [Wichtige Überlegungen zu GuardDuty Listen](#guardduty-lists-entity-sets-considerations)
+ [Listenformate](#prepare_list)
+ [Grundlegendes zum Listenstatus](#guardduty-entity-list-statuses)
+ [Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten](guardduty-lists-prerequisites.md)
+ [Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste](guardduty-lists-create-activate.md)
+ [Aktualisierung einer Entitäts- oder IP-Adressliste](guardduty-lists-update-procedure.md)
+ [De-activating Entitätsliste oder IP-Adressliste](guardduty-lists-deactivate-procedure.md)
+ [Entitätsliste oder IP-Adressliste löschen](guardduty-lists-delete-procedure.md)

## Grundlegendes zu Entitätslisten und IP-Adresslisten
<a name="guardduty-threat-intel-list-entity-sets"></a>

GuardDuty bietet zwei Implementierungsansätze: Entitätslisten (empfohlen) und IP-Listen. Beide Methoden helfen Ihnen dabei, vertrauenswürdige Quellen zu spezifizieren, die die Generierung GuardDuty von Erkenntnissen verhindern, und bekannte Bedrohungen, die zur Generierung von Erkenntnissen GuardDuty verwendet werden.

**Entitätslisten** unterstützen IP-Adressen, Domainnamen und SHA-256 Datei-Hashes. Sie verwenden direkten Zugriff auf Amazon Simple Storage Service (Amazon S3) mit einer einzigen IAM-Berechtigung, die sich nicht auf die Größenbeschränkungen der IAM-Richtlinien in mehreren Regionen auswirkt.

**IP-Listen** unterstützen nur IP-Adressen und deren Verwendung [GuardDuty Serviceverknüpfte Rolle (SLR)](slr-permissions.md) (SLR), sodass IAM-Richtlinienaktualisierungen pro Region erforderlich sind, was sich auf die Größenbeschränkungen der IAM-Richtlinien auswirken kann.

Vertrauenswürdige Listen (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, denen Sie bei der sicheren Kommunikation mit Ihrer Infrastruktur vertrauen. AWS GuardDuty generiert keine Ergebnisse für Einträge, die in vertrauenswürdigen Quellen aufgeführt sind. Sie können jeweils nur eine Liste vertrauenswürdiger Entitäten und eine Liste vertrauenswürdiger IP-Adressen AWS-Konto pro Region hinzufügen.

Bedrohungslisten (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, die Sie als bekannte bösartige Quellen identifiziert haben. Wenn eine Aktivität GuardDuty erkannt wird, an der diese Quellen beteiligt sind, generiert es Ergebnisse, die Sie vor potenziellen Sicherheitsproblemen warnen. Sie können Ihre eigenen Bedrohungslisten erstellen oder Feeds mit Bedrohungsinformationen von Drittanbietern integrieren. Diese Liste kann von Bedrohungsdaten von Drittanbietern stammen oder speziell für Ihr Unternehmen erstellt werden. Neben der Generierung von Ergebnissen aufgrund einer potenziell verdächtigen Aktivität werden GuardDuty auch Ergebnisse generiert, die auf einer Aktivität basieren, die Einträge aus Ihren Bedrohungslisten beinhaltet. Sie können jederzeit bis zu sechs Listen mit Bedrohungsentitäten und Bedrohungs-IP-Adressen AWS-Konto pro Region hochladen.

**Anmerkung**  
Um von IP-Adresslisten zu Entitätslisten zu migrieren[Voraussetzungen für Entitätslisten](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), folgen Sie den Anweisungen, fügen Sie sie hinzu und aktivieren Sie sie. Danach können Sie wählen, ob Sie die entsprechende IP-Adressliste deaktivieren oder löschen möchten.

## Wichtige Überlegungen zu GuardDuty Listen
<a name="guardduty-lists-entity-sets-considerations"></a>

Bevor Sie mit der Arbeit mit Listen beginnen, sollten Sie die folgenden Überlegungen lesen:
+ IP-Adresslisten und Entitätslisten gelten nur für Datenverkehr, der für öffentlich routbare IP-Adressen und Domänen bestimmt ist.
+ In einer Entitätsliste gelten die Einträge für VPC Flow Logs in Amazon VPC und Route53 Resolver DNS-Abfrageprotokolle. CloudTrail

  In einer IP-Adressliste beziehen sich die Einträge auf CloudTrail die Ergebnisse von VPC Flow Logs in Amazon VPC, nicht aber auf die Ergebnisse der Route53 Resolver DNS-Abfrageprotokolle.
+ Wenn Sie dieselbe IP-Adresse oder Domain sowohl in die Liste der vertrauenswürdigen Adressen als auch in die Liste der Bedrohungen aufnehmen, hat dieser Eintrag in der Liste der vertrauenswürdigen Adressen Vorrang. GuardDuty generiert kein Ergebnis, wenn mit diesem Eintrag eine Aktivität verknüpft ist.
+ In einer Umgebung mit mehreren Konten kann nur das GuardDuty Administratorkonto Listen verwalten. Diese Einstellung gilt automatisch für die Mitgliedskonten. GuardDuty generiert Ergebnisse auf der Grundlage einer Aktivität, an der bekannte bösartige IP-Adressen (und Domänen) aus den Bedrohungsquellen des Administratorkontos beteiligt sind, und generiert keine Ergebnisse, die auf Aktivitäten basieren, die IP-Adressen (und Domänen) aus den vertrauenswürdigen Quellen des Administratorkontos betreffen. Weitere Informationen finden Sie unter [Mehrere Konten bei Amazon GuardDuty](guardduty_accounts.md).
+ Es werden ausschließlich IPv4-Adressen akzeptiert. IPv6-Adressen werden nicht unterstützt.
+ SHA-256 Datei-Hashes werden nur in Listen mit Bedrohungsentitäten unterstützt. Sie können Datei-Hashes nicht in Listen vertrauenswürdiger Entitäten oder IP-Adresslisten aufnehmen.
+ Nachdem Sie eine Entitätsliste oder IP-Adressliste aktiviert, deaktiviert oder gelöscht haben, wird der Vorgang voraussichtlich innerhalb von 15 Minuten abgeschlossen sein. In bestimmten Szenarien kann es bis zu 40 Minuten dauern, bis dieser Vorgang abgeschlossen ist.
+ GuardDuty verwendet eine Liste nur dann zur Erkennung von Bedrohungen, wenn der Status der Liste **Aktiv lautet**.
+ Jedes Mal, wenn Sie einen Eintrag zum S3-Bucket-Speicherort der Liste hinzufügen oder aktualisieren, müssen Sie die Liste erneut aktivieren. Weitere Informationen finden Sie unter [Aktualisierung einer Entitäts- oder IP-Adressliste](guardduty-lists-update-procedure.md).
+ Entitätslisten und IP-Adressen haben unterschiedliche Kontingente. Weitere Informationen finden Sie unter [GuardDuty Kontingente](guardduty_limits.md).

## Listenformate
<a name="prepare_list"></a>

GuardDuty akzeptiert mehrere Dateiformate für Ihre Listen und Entitätslisten mit einem Maximum von 35 MB pro Datei. Jedes Format hat spezifische Anforderungen und Funktionen. 

### Klartext (TXT)
<a name="guardduty-list-format-plaintext"></a>

Dieses Format unterstützt IP-Adressen, CIDR-Bereiche, Domainnamen und SHA-256 Datei-Hashes. SHA-256 Datei-Hashes werden nur in Listen mit Bedrohungsentitäten unterstützt. Jeder Eintrag muss in einer separaten Zeile stehen.

**Example **Beispiel für eine Entitätsliste****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```

**Example **Beispiel für eine Liste bedrohlicher Entitäten mit Datei-Hashes****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3
```

**Example **Beispiel für eine IP-Adressliste****  

```
192.0.2.0/24
198.51.100.1
203.0.113.1
```

### Structured Threat Information Expression (STIX)
<a name="guardduty-list-format-stix"></a>

Dieses Format unterstützt IP-Adressen, CIDR-Block, Domainnamen und SHA-256 Datei-Hashes. STIX ermöglicht es Ihnen, Ihren Bedrohungsinformationen zusätzlichen Kontext hinzuzufügen. GuardDuty verarbeitet IP-Adressen, CIDR-Bereiche, Domainnamen und SHA-256 Datei-Hashes anhand der STIX-Indikatoren. SHA-256 Datei-Hashes werden nur in Listen mit Bedrohungsentitäten unterstützt.

**Example **Beispiel für eine Entitätsliste****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Beispiel für eine Liste bedrohlicher Entitäten mit Datei-Hashes****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    xmlns:FileObj="http://cybox.mitre.org/objects#FileObject-2"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-eeee-ffff-0000-111122223333"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>File hash for malware variant</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">File Hash Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-4444-5555-6666-7777">
                <cybox:Object id="example:File-4444-5555-6666-7777">
                    <cybox:Properties xsi:type="FileObj:FileObjectType">
                        <FileObj:Hashes>
                            <cyboxCommon:Hash>
                                <cyboxCommon:Type xsi:type="cyboxVocabs:HashNameVocab-1.0">SHA256</cyboxCommon:Type>
                                <cyboxCommon:Simple_Hash_Value condition="Equals">a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3</cyboxCommon:Simple_Hash_Value>
                            </cyboxCommon:Hash>
                        </FileObj:Hashes>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Beispiel für eine IP-Adressliste****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>
```

### Open Threat Exchange (OTX)TM CSV
<a name="guardduty-list-format-open-threat-exchange-csv"></a>

Dieses Format unterstützt den CIDR-Block, einzelne IP-Adressen, Domänen und den `SHA256` Indikatortyp für Datei-Hashes. SHA-256 Datei-Hashes werden nur in Listen mit Bedrohungsentitäten unterstützt. Dieses Dateiformat hat kommagetrennte Werte.

**Example **Beispiel für eine Entitätsliste****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```

**Example **Beispiel für eine Liste bedrohlicher Entitäten mit Datei-Hashes****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
SHA256, a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, example
```

**Example **Beispiel für eine IP-Adressliste****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```

### FireEyeTM iSight Threat Intelligence CSV
<a name="guardduty-list-format-fireeye-sight-threat-intel"></a>

Dieses Format unterstützt den CIDR-Block, einzelne IP-Adressen, Domänen und SHA-256 Datei-Hashes in der Spalte. `sha256` SHA-256 Datei-Hashes werden nur in Listen mit Bedrohungsentitäten unterstützt. Die folgenden Beispiellisten verwenden ein `FireEyeTM` CSV-Format.

**Example **Beispiel für eine Entitätsliste****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```

**Example **Beispiel für eine Liste bedrohlicher Entitäten mit Datei-Hashes****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400

01-00000005, Malicious file hash, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000005, https://www.example.com/report/01-00000005, , , , , , , , , , , , , , , a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, , , , , , , , , , , , Related, , , , , , network, , Ursnif, 9b9a6ea0-3cbf-4e12-bd3e-0c1d7b4e5f6a, , , 1494944400
```

**Example **Beispiel für eine IP-Adressliste****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```

### ProofpointTM ET Intelligence Feed CSV
<a name="guardduty-list-format-proofpoint"></a>

Im ProofPoint CSV-Format können Sie entweder IP-Adressen oder Domainnamen zu einer einzigen Liste hinzufügen. Die folgende Beispielliste verwendet das `Proofpoint`-CSV-Format. Die Angabe eines Werts für den `ports` Parameter ist optional. Wenn Sie ihn nicht angeben, hinterlassen Sie am Ende ein Komma (,).

**Example **Beispiel für eine Entitätsliste****  

```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

**Example **Beispiel für eine IP-Adressliste****  

```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

### AlienVaultTM Reputation Feed
<a name="guardduty-list-format-alien-vault-reputation-feed"></a>

Die folgende Beispielliste verwendet das `AlienVault`-Format. Dieses Format unterstützt auch SHA-256 Datei-Hashes in der Indikatorspalte. SHA-256 Datei-Hashes werden nur in Listen mit Bedrohungsentitäten unterstützt.

**Example **Beispiel für eine Entitätsliste****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```

**Example **Beispiel für eine Liste bedrohlicher Entitäten mit Datei-Hashes****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3#4#2#Malicious Hash###0.0,0.0#3
```

**Example **Beispiel für eine IP-Adressliste****  

```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```

## Grundlegendes zum Listenstatus
<a name="guardduty-entity-list-statuses"></a>

Wenn Sie eine Entitätsliste oder eine IP-Adressliste hinzufügen, GuardDuty wird der Status dieser Liste angezeigt. Die Spalte **Status** gibt an, ob die Liste wirksam ist und ob Maßnahmen erforderlich sind. In der folgenden Liste werden gültige Statuswerte beschrieben:
+ **Aktiv** — Zeigt an, dass die Liste derzeit für die Erkennung benutzerdefinierter Bedrohungen verwendet wird.
+ **Inaktiv** — Zeigt an, dass die Liste derzeit nicht verwendet wird. Informationen GuardDuty zur Verwendung dieser Liste zur Erkennung von Bedrohungen in Ihrer Umgebung finden Sie unter Schritt 3: Aktivieren einer Entitäts- oder IP-Adressliste in[Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste](guardduty-lists-create-activate.md).
+ **Fehler** — Zeigt an, dass ein Problem mit der Liste vorliegt. Bewegen Sie den Mauszeiger über den Status, um die Fehlerdetails anzuzeigen. 
+ **Aktiviert** — Zeigt an, GuardDuty dass der Vorgang zur Aktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler auftritt, sollte der Status auf **Aktiv** aktualisiert werden. Solange der Status **Aktiviert** bleibt, können Sie in dieser Liste keine Aktion ausführen. Es kann einige Minuten dauern, bis sich der Status der Liste auf **Aktiv** ändert.
+ **Deaktiviert** — Zeigt an, GuardDuty dass der Prozess der Deaktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler vorliegt, sollte der Status auf **Inaktiv** aktualisiert werden. Solange der Status **Deaktiviert** bleibt, können Sie in dieser Liste keine Aktion ausführen.
+ **Ausstehend löschen** — Zeigt an, dass die Liste gerade gelöscht wird. Solange der Status „**Ausstehend löschen**“ bleibt, können Sie für diese Liste keine Aktion ausführen.