Voraussetzungen für Entitätslisten Voraussetzungen für IP-Adresslisten

Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten

GuardDuty verwendet Entitätslisten und IP-Adresslisten, um die Bedrohungserkennung in Ihrer AWS Umgebung individuell anzupassen. Entitätslisten (empfohlen) unterstützen sowohl IP-Adressen als auch Domainnamen, während IP-Adresslisten nur IP-Adressen unterstützen. Bevor Sie mit der Erstellung dieser Listen beginnen, müssen Sie die erforderlichen Berechtigungen für den Listentyp hinzufügen, den Sie verwenden möchten.

Voraussetzungen für Entitätslisten

GuardDuty Liest beim Hinzufügen von Entitätslisten Ihre vertrauenswürdigen Listen und Listen mit Bedrohungsinformationen aus S3-Buckets. Die Rolle, die Sie zum Erstellen von Entitätslisten verwenden, muss über die s3:GetObject Berechtigung für die S3-Buckets verfügen, die diese Listen enthalten.

Anmerkung

In einer Umgebung mit mehreren Konten kann nur das GuardDuty Administratorkonto Listen verwalten, die automatisch für Mitgliedskonten gelten.

Wenn Sie noch nicht über die s3:GetObject Berechtigung für den S3-Bucket-Standort verfügen, verwenden Sie die folgende Beispielrichtlinie und amzn-s3-demo-bucket ersetzen Sie sie durch Ihren S3-Bucket-Standort.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Voraussetzungen für IP-Adresslisten

Verschiedene IAM-Identitäten erfordern spezielle Berechtigungen, um mit vertrauenswürdigen IP-Listen und Bedrohungslisten in arbeiten zu können. GuardDuty Eine Identität, der die verwaltete Richtlinie AmazonGuardDutyFullAccess_v2 (empfohlen) angefügt ist, kann nur hochgeladene Listen mit vertrauenswürdigen IPs und Bedrohungslisten umbenennen und deaktivieren.

Um verschiedenen Identitäten vollen Zugriff auf die Arbeit mit vertrauenswürdigen IP-Listen und Bedrohungslisten zu erteilen (dies umfasst neben dem Umbenennen und Deaktivieren auch das Hinzufügen, Aktivieren, Löschen und Aktualisieren des Speicherorts oder der Namen der Listen), stellen Sie sicher, dass die folgenden Aktionen in der einem Benutzer, einer Gruppe oder einer Rolle zugewiesenen Berechtigungsrichtlinie vorhanden sind:


{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

Wichtig

Diese Aktionen sind nicht in der verwalteten Richtlinie AmazonGuardDutyFullAccess enthalten.

Verwendung der SSE-KMS-Verschlüsselung mit Entitätslisten und IP-Listen

GuardDuty unterstützt SSE- AES256 und SSE-KMS-Verschlüsselung für Ihre Listen. SSE-C wird nicht unterstützt. Weitere Informationen zu Verschlüsselungstypen für S3 finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung.

Unabhängig davon, ob Sie Entitätslisten oder IP-Listen verwenden, fügen Sie Ihrer Richtlinie die folgende Anweisung hinzu, wenn Sie SSE-KMS verwenden. AWS KMS key Ersetzen Sie es 123456789012 durch Ihre eigene Konto-ID.


{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Entitätslisten und IP-Adresslisten

Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste