Pré-requisitos para listas de entidades Pré-requisitos para listas de endereços IP

Configurando pré-requisitos para listas de entidades e listas de endereços IP

GuardDuty usa listas de entidades e listas de endereços IP para personalizar a detecção de ameaças em seu AWS ambiente. As listas de entidades (recomendadas) oferecem suporte a endereços IP e nomes de domínio, enquanto as listas de endereços IP oferecem suporte somente a endereços IP. Antes de começar a criar essas listas, você deve adicionar as permissões necessárias para o tipo de lista que deseja usar.

Pré-requisitos para listas de entidades

Quando você adiciona listas de entidades, GuardDuty lê suas listas confiáveis e de inteligência de ameaças dos buckets do S3. A função que você usa para criar listas de entidades deve ter a s3:GetObject permissão para que os buckets do S3 contenham essas listas.

nota

Em um ambiente com várias contas, somente a conta do GuardDuty administrador pode gerenciar listas, que se aplicam automaticamente às contas dos membros.

Se você ainda não tiver a s3:GetObject permissão para a localização do bucket do S3, use o exemplo de política a seguir e amzn-s3-demo-bucket substitua pela localização do bucket do S3.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Pré-requisitos para listas de endereços IP

Várias identidades do IAM exigem permissões especiais para trabalhar com listas de IPs confiáveis e listas de ameaças. GuardDuty Uma identidade com a política gerenciada AmazonGuardDutyFullAccess_v2 (recomendado) anexada só pode renomear e desabilitar as listas de IP confiáveis e listas de ameaças carregadas.

Para conceder a várias identidades o acesso total para trabalhar com listas de IP confiáveis e listas de ameaças (além de renomear e desabilitar, isso inclui fazer upload, habilitar, excluir e atualizar a localização da lista), as seguintes ações devem estar presentes na política de permissões anexada a um usuário, um grupo ou uma função do IAM:


{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

Importante

Essas ações não estão incluídas na política gerenciada AmazonGuardDutyFullAccess.

Usando a criptografia SSE-KMS com listas de entidades e listas de IP

GuardDuty suporta criptografia SSE AES256 e SSE-KMS para suas listas. O SSE-C não é compatível. Para obter mais informações sobre os tipos de criptografia para o S3, consulte Proteção de dados usando criptografia do lado do servidor.

Independentemente de você usar listas de entidades ou listas de IP, se você usa SSE-KMS, adicione a seguinte declaração à sua política. AWS KMS key 123456789012Substitua pelo seu próprio ID de conta.


{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Listas de entidades e listas de endereços IP

Adicionar e ativar uma lista de entidades ou lista de IPs