Configurando pré-requisitos para listas de entidades e listas de endereços IP - Amazon GuardDuty
Pré-requisitos para listas de entidadesPré-requisitos para listas de endereços IP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando pré-requisitos para listas de entidades e listas de endereços IP

GuardDuty usa listas de entidades e listas de endereços IP para personalizar a detecção de ameaças em seu AWS ambiente. As listas de entidades (recomendadas) oferecem suporte a endereços IP e nomes de domínio, enquanto as listas de endereços IP oferecem suporte somente a endereços IP. Antes de começar a criar essas listas, você deve adicionar as permissões necessárias para o tipo de lista que deseja usar.

Pré-requisitos para listas de entidades

Quando você adiciona listas de entidades, GuardDuty lê suas listas confiáveis e de inteligência de ameaças dos buckets do S3. A função que você usa para criar listas de entidades deve ter a s3:GetObject permissão para que os buckets do S3 contenham essas listas.

nota

Em um ambiente com várias contas, somente a conta do GuardDuty administrador pode gerenciar listas, que se aplicam automaticamente às contas dos membros.

Se você ainda não tiver a s3:GetObject permissão para a localização do bucket do S3, use o exemplo de política a seguir e amzn-s3-demo-bucket substitua pela localização do bucket do S3.

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Pré-requisitos para listas de endereços IP

Várias identidades do IAM exigem permissões especiais para trabalhar com listas de IPs confiáveis e listas de ameaças. GuardDuty Uma identidade com a política gerenciada AmazonGuardDutyFullAccess_v2 (recomendado) anexada só pode renomear e desabilitar as listas de IP confiáveis e listas de ameaças carregadas.

Para conceder a várias identidades o acesso total para trabalhar com listas de IP confiáveis e listas de ameaças (além de renomear e desabilitar, isso inclui fazer upload, habilitar, excluir e atualizar a localização da lista), as seguintes ações devem estar presentes na política de permissões anexada a um usuário, um grupo ou uma função do IAM: 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
Importante

Essas ações não estão incluídas na política gerenciada AmazonGuardDutyFullAccess.

Usando a criptografia SSE-KMS com listas de entidades e listas de IP

GuardDuty suporta criptografia SSE AES256 e SSE-KMS para suas listas. O SSE-C não é compatível. Para obter mais informações sobre os tipos de criptografia para o S3, consulte Proteção de dados usando criptografia do lado do servidor.

Independentemente de você usar listas de entidades ou listas de IP, se você usa SSE-KMS, adicione a seguinte declaração à sua política. AWS KMS key 123456789012Substitua pelo seu próprio ID de conta.

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}