エンティティリストと IP アドレスリストの前提条件の設定

GuardDuty はエンティティリストと IP アドレスリストを使用して、環境内の脅威検出をカスタマイズします AWS 。エンティティリスト (推奨) は IP アドレスとドメイン名の両方をサポートし、IP アドレスリストは IP アドレスのみをサポートします。これらのリストの作成を開始する前に、使用するリストのタイプに必要なアクセス許可を追加する必要があります。

エンティティリストの前提条件

エンティティリストを追加すると、GuardDuty は S3 バケットから信頼された脅威インテリジェンスリストと脅威インテリジェンスリストを読み取ります。エンティティリストの作成に使用するロールには、S3 バケットの s3:GetObject アクセス許可にこれらのリストが含まれている必要があります。

注記

マルチアカウント環境では、GuardDuty 管理者アカウントのみがリストを管理でき、メンバーアカウントに自動的に適用されます。

S3 バケットの場所に対する s3:GetObject アクセス許可がまだない場合は、次のポリシー例を使用して amzn-s3-demo-bucket を S3 バケットの場所に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

IP アドレスリストの前提条件

さまざまな IAM アイデンティティは、GuardDuty で信頼できる IP リストおよび脅威リストを用いて機能するための特別な許可を必要とします。AmazonGuardDutyFullAccess_v2 (推奨） マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。

さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前の変更および非アクティブ化に加えて、リストの追加、アクティブ化、削除や、リストの場所または名前の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションがユーザー、グループ、またはロールにアタッチされた許可ポリシーに存在することを確認してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

重要

これらのアクションは AmazonGuardDutyFullAccess マネージドポリシーに含まれていません。

エンティティリストと IP リストでの SSE-KMS 暗号化の使用

GuardDuty は、リストの SSE-AES256 および SSE-KMS 暗号化をサポートしています。SSE-C はサポートされていません。S3 の暗号化タイプの詳細については、「サーバー側の暗号化を使用したデータの保護」を参照してください。

エンティティリストと IP リストのどちらを使用するかにかかわらず、SSE-KMS を使用する場合は、次のステートメントを AWS KMS key ポリシーに追加します。123456789012 を自分のアカウント ID に置き換えます。

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}