Configuración de requisitos previos para listas de entidades y listas de direcciones IP - Amazon GuardDuty
Requisitos previos para las listas de entidadesRequisitos previos para las listas de direcciones IP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de requisitos previos para listas de entidades y listas de direcciones IP

GuardDuty utiliza listas de entidades y listas de direcciones IP para personalizar la detección de amenazas en su AWS entorno. Las listas de entidades (recomendadas) admiten direcciones IP y nombres de dominio, mientras que las listas de direcciones IP solo admiten direcciones IP. Antes de empezar a crear estas listas, debe añadir los permisos necesarios para el tipo de lista que desee utilizar.

Requisitos previos para las listas de entidades

Al añadir listas de entidades, GuardDuty lee las listas de confianza y de inteligencia sobre amenazas de los buckets de S3. La función que utilice para crear listas de entidades debe tener el s3:GetObject permiso para que los buckets de S3 contengan estas listas.

nota

En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador puede administrar las listas, que se aplican automáticamente a las cuentas de los miembros.

Si aún no tiene el s3:GetObject permiso para la ubicación del bucket de S3, utilice la siguiente política de ejemplo y amzn-s3-demo-bucket sustitúyalo por su ubicación de bucket de S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Requisitos previos para las listas de direcciones IP

Varias identidades de IAM requieren permisos especiales para funcionar con listas de IP confiables y listas de amenazas. GuardDuty Una identidad con la política administrada AmazonGuardDutyFullAccess_v2 (recomendado) adjunta solo puede cambiar de nombre y desactivar las listas de IP de confianza y las listas de amenazas cargadas.

Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listas de amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la adición, activación, eliminación y actualización de la ubicación o el nombre de las listas), asegúrese de que las siguientes acciones estén presentes en la política de permisos adjunta a un usuario, grupo o rol: 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
importante

Estas acciones no se incluyen en la política administrada AmazonGuardDutyFullAccess.

Uso del cifrado SSE-KMS con listas de entidades y listas de IP

GuardDuty admite el cifrado SSE AES256 y SSE-KMS para sus listas. No se admite SSE-C. Para obtener más información sobre los tipos de cifrado de S3, consulte Protección de datos mediante el cifrado del lado del servidor.

Independientemente de si utiliza listas de entidades o listas de IP, si utiliza SSE-KMS, añada la siguiente declaración a su política. AWS KMS key 123456789012Sustitúyala por tu propia ID de cuenta.

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}