As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando pré-requisitos para listas de entidades e listas de endereços IP
GuardDuty usa listas de entidades e listas de endereços IP para personalizar a detecção de ameaças em seu AWS ambiente. As listas de entidades (recomendadas) oferecem suporte a endereços IP e nomes de domínio, enquanto as listas de endereços IP oferecem suporte somente a endereços IP. Antes de começar a criar essas listas, você deve adicionar as permissões necessárias para o tipo de lista que deseja usar.
Pré-requisitos para listas de entidades
Quando você adiciona listas de entidades, GuardDuty lê suas listas confiáveis e de inteligência de ameaças dos buckets do S3. A função que você usa para criar listas de entidades deve ter a s3:GetObject
permissão para que os buckets do S3 contenham essas listas.
nota
Em um ambiente com várias contas, somente a conta do GuardDuty administrador pode gerenciar listas, que se aplicam automaticamente às contas dos membros.
Se você ainda não tiver a s3:GetObject
permissão para a localização do bucket do S3, use o exemplo de política a seguir e amzn-s3-demo-bucket
substitua pela localização do bucket do S3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/[object-key]
" } ] }
Pré-requisitos para listas de endereços IP
Várias identidades do IAM exigem permissões especiais para trabalhar com listas de IPs confiáveis e listas de ameaças. GuardDuty Uma identidade com a política gerenciada AmazonGuardDutyFullAccess_v2 (recomendado) anexada só pode renomear e desabilitar as listas de IP confiáveis e listas de ameaças carregadas.
Para conceder a várias identidades o acesso total para trabalhar com listas de IP confiáveis e listas de ameaças (além de renomear e desabilitar, isso inclui fazer upload, habilitar, excluir e atualizar a localização da lista), as seguintes ações devem estar presentes na política de permissões anexada a um usuário, um grupo ou uma função do IAM:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::
555555555555
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Importante
Essas ações não estão incluídas na política gerenciada AmazonGuardDutyFullAccess
.
Usando a criptografia SSE-KMS com listas de entidades e listas de IP
GuardDuty suporta criptografia SSE AES256 e SSE-KMS para suas listas. O SSE-C não é compatível. Para obter mais informações sobre os tipos de criptografia para o S3, consulte Proteção de dados usando criptografia do lado do servidor.
Independentemente de você usar listas de entidades ou listas de IP, se você usa SSE-KMS, adicione a seguinte declaração à sua política. AWS KMS key 123456789012
Substitua pelo seu próprio ID de conta.
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789012
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }