Configurando pré-requisitos para listas de entidades e listas de endereços IP - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando pré-requisitos para listas de entidades e listas de endereços IP

GuardDuty usa listas de entidades e listas de endereços IP para personalizar a detecção de ameaças em seu AWS ambiente. As listas de entidades (recomendadas) oferecem suporte a endereços IP e nomes de domínio, enquanto as listas de endereços IP oferecem suporte somente a endereços IP. Antes de começar a criar essas listas, você deve adicionar as permissões necessárias para o tipo de lista que deseja usar.

Pré-requisitos para listas de entidades

Quando você adiciona listas de entidades, GuardDuty lê suas listas confiáveis e de inteligência de ameaças dos buckets do S3. A função que você usa para criar listas de entidades deve ter a s3:GetObject permissão para que os buckets do S3 contenham essas listas.

nota

Em um ambiente com várias contas, somente a conta do GuardDuty administrador pode gerenciar listas, que se aplicam automaticamente às contas dos membros.

Se você ainda não tiver a s3:GetObject permissão para a localização do bucket do S3, use o exemplo de política a seguir e amzn-s3-demo-bucket substitua pela localização do bucket do S3.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]" } ] }

Pré-requisitos para listas de endereços IP

Várias identidades do IAM exigem permissões especiais para trabalhar com listas de IPs confiáveis e listas de ameaças. GuardDuty Uma identidade com a política gerenciada AmazonGuardDutyFullAccess_v2 (recomendado) anexada só pode renomear e desabilitar as listas de IP confiáveis e listas de ameaças carregadas.

Para conceder a várias identidades o acesso total para trabalhar com listas de IP confiáveis e listas de ameaças (além de renomear e desabilitar, isso inclui fazer upload, habilitar, excluir e atualizar a localização da lista), as seguintes ações devem estar presentes na política de permissões anexada a um usuário, um grupo ou uma função do IAM:

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Importante

Essas ações não estão incluídas na política gerenciada AmazonGuardDutyFullAccess.

Usando a criptografia SSE-KMS com listas de entidades e listas de IP

GuardDuty suporta criptografia SSE AES256 e SSE-KMS para suas listas. O SSE-C não é compatível. Para obter mais informações sobre os tipos de criptografia para o S3, consulte Proteção de dados usando criptografia do lado do servidor.

Independentemente de você usar listas de entidades ou listas de IP, se você usa SSE-KMS, adicione a seguinte declaração à sua política. AWS KMS key 123456789012Substitua pelo seu próprio ID de conta.

{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }