本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用實體清單和 IP 位址清單自訂威脅偵測
<a name="guardduty_upload-lists"></a>

Amazon GuardDuty 會透過分析和處理 VPC 流程日誌、 AWS CloudTrail 事件日誌和 DNS 日誌來監控 AWS 環境的安全性。透過啟用一或多個以[使用案例為中心的 GuardDuty 保護計畫](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) ( 除外[執行時期監控](runtime-monitoring.md))，您可以在 GuardDuty 中擴展監控功能。

透過清單，GuardDuty 可協助您自訂環境中的威脅偵測範圍。您可以設定 GuardDuty 停止從信任的來源產生問題清單，並從威脅清單中產生已知惡意來源的問題清單。GuardDuty 會繼續支援舊版 IP 地址清單，並將支援延伸至可包含 IP 地址、網域或兩者的實體清單 （建議）。

**Topics**
+ [了解實體清單和 IP 地址清單](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 清單的重要考量事項](#guardduty-lists-entity-sets-considerations)
+ [清單格式](#prepare_list)
+ [了解清單狀態](#guardduty-entity-list-statuses)
+ [設定實體清單和 IP 地址清單的先決條件](guardduty-lists-prerequisites.md)
+ [新增和啟用實體清單或 IP 清單](guardduty-lists-create-activate.md)
+ [更新實體清單或 IP 地址清單](guardduty-lists-update-procedure.md)
+ [停用實體清單或 IP 地址清單](guardduty-lists-deactivate-procedure.md)
+ [刪除實體清單或 IP 地址清單](guardduty-lists-delete-procedure.md)

## 了解實體清單和 IP 地址清單
<a name="guardduty-threat-intel-list-entity-sets"></a>

GuardDuty 提供兩種實作方法：實體清單 （建議） 和 IP 清單。這兩種方法都可協助您指定信任的來源，以阻止 GuardDuty 產生調查結果和已知威脅，GuardDuty 會使用這些威脅來產生調查結果。

**實體清單**支援 IP 地址、網域名稱和 SHA-256 檔案雜湊。它們使用直接 Amazon Simple Storage Service (Amazon S3) 存取搭配單一 IAM 許可，這不會影響跨多個區域的 IAM 政策大小限制。

**IP 清單**僅支援 IP 地址和使用 [GuardDuty 服務連結角色 (SLR)](slr-permissions.md)(SLR)，需要每個區域的 IAM 政策更新，這可能會影響 IAM 政策大小限制。

信任清單 （實體清單和 IP 地址清單） 包含您信任的項目，以便與 AWS 基礎設施進行安全通訊。GuardDuty 不會為信任來源中列出的項目產生調查結果。在任何指定時間，每個 AWS 帳戶 區域只能新增一個信任實體清單和一個信任 IP 地址清單。

威脅清單 （實體清單和 IP 地址清單） 包含您已識別為已知惡意來源的項目。當 GuardDuty 偵測到涉及這些來源的活動時，會產生調查結果來提醒您潛在的安全問題。您可以建立自己的威脅清單或整合第三方威脅情報摘要。此清單可由第三方威脅情報提供，也可以專門為您的組織建立。除了因為潛在可疑活動產生調查結果之外，GuardDuty 還會根據涉及威脅清單中項目的活動產生調查結果。在任何指定時間，每個 AWS 帳戶 區域最多可上傳六個威脅實體清單和威脅 IP 地址清單。

**注意**  
若要從 IP 地址清單遷移至實體清單，請遵循 [實體清單的先決條件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites)，然後新增並啟用所需的實體清單。之後，您可以選擇停用或刪除對應的 IP 地址清單。

## GuardDuty 清單的重要考量事項
<a name="guardduty-lists-entity-sets-considerations"></a>

開始使用清單之前，請閱讀下列考量事項：
+ IP 地址清單和實體清單僅適用於以可公開路由 IP 地址和網域為目標的流量。
+ 在實體清單中，項目會套用至 CloudTrail、Amazon VPC 中的 VPC 流程日誌，以及 Route53 Resolver DNS 查詢日誌調查結果。

  在 IP 地址清單中，項目適用於 Amazon VPC 調查結果中的 CloudTrail 和 VPC 流程日誌，但不適用於 Route53 Resolver DNS 查詢日誌調查結果。
+ 如果您在信任和威脅清單中包含相同的 IP 地址或網域，則信任清單中的這個項目將優先。如果存在與此項目相關聯的活動，GuardDuty 將不會產生問題清單。
+ 在多帳戶環境中，只有 GuardDuty 管理員帳戶可以管理清單。此設定會自動套用至成員帳戶。GuardDuty 會根據涉及來自管理員帳戶威脅來源之已知惡意 IP 地址 （和網域） 的活動產生調查結果，而且不會根據涉及來自管理員帳戶信任來源之 IP 地址 （和網域） 的活動產生調查結果。如需詳細資訊，請參閱[Amazon GuardDuty 中的多個帳戶](guardduty_accounts.md)。
+ 僅接受 IPv4 地址。不支援 IPv6 地址。
+ 僅威脅實體清單中支援 SHA-256 檔案雜湊。您無法在信任的實體清單或 IP 地址清單中包含檔案雜湊。
+ 在您啟用、停用或刪除實體清單或 IP 地址清單後，估計程序會在 15 分鐘內完成。在某些情況下，此程序最多可能需要 40 分鐘才能完成。
+ 只有在清單的狀態變為**作用中**時，GuardDuty 才會使用威脅偵測清單。
+ 每當您在清單的 S3 儲存貯體位置中新增或更新項目時，都必須再次啟用清單。如需詳細資訊，請參閱[更新實體清單或 IP 地址清單](guardduty-lists-update-procedure.md)。
+ 實體清單和 IP 地址具有不同的配額。如需詳細資訊，請參閱[GuardDuty 配額](guardduty_limits.md)。

## 清單格式
<a name="prepare_list"></a>

GuardDuty 接受您清單和實體清單的多種檔案格式，每個檔案最多 35 MB。每個格式都有特定的要求和功能。

### 純文字 (TXT)
<a name="guardduty-list-format-plaintext"></a>

此格式支援 IP 地址、CIDR 範圍、網域名稱和 SHA-256 檔案雜湊。僅威脅實體清單中支援 SHA-256 檔案雜湊。每個項目都必須顯示在單獨的一行上。

**Example **實體清單的範例****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```

**Example **具有檔案雜湊的威脅實體清單範例****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3
```

**Example **IP 地址清單的範例****  

```
192.0.2.0/24
198.51.100.1
203.0.113.1
```

### 結構化威脅資訊運算式 (STIX)
<a name="guardduty-list-format-stix"></a>

此格式支援 IP 地址、CIDR 區塊、網域名稱和 SHA-256 檔案雜湊。STIX 可讓您在威脅情報中包含其他內容。GuardDuty 會從 STIX 指標處理 IP 地址、CIDR 範圍、網域名稱和 SHA-256 檔案雜湊。僅威脅實體清單中支援 SHA-256 檔案雜湊。

**Example **實體清單的範例****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **具有檔案雜湊的威脅實體清單範例****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    xmlns:FileObj="http://cybox.mitre.org/objects#FileObject-2"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-eeee-ffff-0000-111122223333"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>File hash for malware variant</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">File Hash Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-4444-5555-6666-7777">
                <cybox:Object id="example:File-4444-5555-6666-7777">
                    <cybox:Properties xsi:type="FileObj:FileObjectType">
                        <FileObj:Hashes>
                            <cyboxCommon:Hash>
                                <cyboxCommon:Type xsi:type="cyboxVocabs:HashNameVocab-1.0">SHA256</cyboxCommon:Type>
                                <cyboxCommon:Simple_Hash_Value condition="Equals">a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3</cyboxCommon:Simple_Hash_Value>
                            </cyboxCommon:Hash>
                        </FileObj:Hashes>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **IP 地址清單的範例****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>
```

### 開放式威脅交換 (OTX)TM CSV
<a name="guardduty-list-format-open-threat-exchange-csv"></a>

此格式支援 CIDR 區塊、個別 IP 地址、網域，以及檔案雜湊的`SHA256`指標類型。僅威脅實體清單中支援 SHA-256 檔案雜湊。此檔案格式具有逗號分隔值。

**Example **實體清單的範例****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```

**Example **具有檔案雜湊的威脅實體清單範例****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
SHA256, a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, example
```

**Example **IP 地址清單的範例****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```

### FireEyeTM iSIGHT 威脅情報 CSV
<a name="guardduty-list-format-fireeye-sight-threat-intel"></a>

此格式支援 `sha256` 欄中的 CIDR 區塊、個別 IP 地址、網域和 SHA-256 檔案雜湊。僅威脅實體清單中支援 SHA-256 檔案雜湊。下列範例清單使用 `FireEyeTM` CSV 格式。

**Example **實體清單的範例****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```

**Example **具有檔案雜湊的威脅實體清單範例****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400

01-00000005, Malicious file hash, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000005, https://www.example.com/report/01-00000005, , , , , , , , , , , , , , , a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, , , , , , , , , , , , Related, , , , , , network, , Ursnif, 9b9a6ea0-3cbf-4e12-bd3e-0c1d7b4e5f6a, , , 1494944400
```

**Example **IP 地址清單的範例****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```

### ProofpointTM ET 情報饋送 CSV
<a name="guardduty-list-format-proofpoint"></a>

在 ProofPoint CSV 格式中，您可以在一個清單中新增 IP 地址或網域名稱。下列範例清單使用 `Proofpoint` CSV 格式。提供 `ports` 參數的值是選用的。當您不提供時，請在結尾保留結尾逗號 (，)。

**Example **實體清單的範例****  

```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

**Example **IP 地址清單的範例****  

```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

### AlienVaultTM 評價饋送
<a name="guardduty-list-format-alien-vault-reputation-feed"></a>

下列範例清單使用 `AlienVault` 格式。此格式也支援指標欄中的 SHA-256 檔案雜湊。僅威脅實體清單中支援 SHA-256 檔案雜湊。

**Example **實體清單的範例****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```

**Example **具有檔案雜湊的威脅實體清單範例****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3#4#2#Malicious Hash###0.0,0.0#3
```

**Example **IP 地址清單的範例****  

```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```

## 了解清單狀態
<a name="guardduty-entity-list-statuses"></a>

當您新增實體清單或 IP 地址清單時，GuardDuty 會顯示該清單的狀態。**狀態**欄指出清單是否有效，以及是否需要任何動作。下列清單說明有效的狀態值：
+ **作用中** – 表示清單目前正在用於自訂威脅偵測。
+ **非作用中** – 表示清單目前不在使用中。若要讓 GuardDuty 將此清單用於環境中的威脅偵測，請參閱《》中的步驟 3：啟用實體清單或 IP 地址清單[新增和啟用實體清單或 IP 清單](guardduty-lists-create-activate.md)。
+ **錯誤** – 表示清單發生問題。將滑鼠暫留在狀態上以檢視錯誤詳細資訊。
+ **啟用中** – 表示 GuardDuty 已啟動啟用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤，狀態應更新為**作用中**。當狀態保持**啟用時**，您無法對此清單執行任何動作。清單狀態可能需要幾分鐘的時間才能變更為**作用中**。
+ **停用** – 表示 GuardDuty 已啟動停用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤，狀態應更新為**非作用中**。當狀態保持**停用**時，您無法在此清單上執行任何動作。
+ **刪除擱置**中 – 表示清單正在進行刪除。當狀態保持**待定刪除**時，您無法在此清單上執行任何動作。