Configuration des prérequis pour les listes d'entités et les listes d'adresses IP - Amazon GuardDuty
Conditions requises pour les listes d'entitésConditions requises pour les listes d'adresses IP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des prérequis pour les listes d'entités et les listes d'adresses IP

GuardDuty utilise des listes d'entités et des listes d'adresses IP pour personnaliser la détection des menaces dans votre AWS environnement. Les listes d'entités (recommandées) prennent en charge à la fois les adresses IP et les noms de domaine, tandis que les listes d'adresses IP ne prennent en charge que les adresses IP. Avant de commencer à créer ces listes, vous devez ajouter les autorisations requises pour le type de liste que vous souhaitez utiliser.

Conditions requises pour les listes d'entités

Lorsque vous ajoutez des listes d'entités, GuardDuty lit vos listes de renseignements fiables et de renseignements sur les menaces à partir de compartiments S3. Le rôle que vous utilisez pour créer des listes d'entités doit disposer de l's3:GetObjectautorisation pour que les compartiments S3 contiennent ces listes.

Note

Dans un environnement multi-comptes, seul le compte GuardDuty administrateur peut gérer les listes, qui s'appliquent automatiquement aux comptes des membres.

Si vous n'avez pas encore l's3:GetObjectautorisation pour l'emplacement du compartiment S3, utilisez l'exemple de politique suivant et remplacez-le amzn-s3-demo-bucket par l'emplacement de votre compartiment S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Conditions requises pour les listes d'adresses IP

Les différentes identités IAM nécessitent des autorisations spéciales pour pouvoir utiliser des listes d'adresses IP fiables et des listes de menaces. GuardDuty Une identité avec la stratégie gérée AmazonGuardDutyFullAccess_v2 (recommandé) attachée peut uniquement renommer et désactiver les listes d'adresses IP approuvées et les listes des menaces chargées .

Pour accorder à différentes identités un accès complet à la gestion des listes d'adresses IP approuvées et des listes des menaces (en plus de renommer et de désactiver, cela inclut l'ajout, l'activation, la suppression et la mise à jour de l'emplacement ou du nom des listes), assurez-vous que les actions suivantes sont présentes dans la stratégie d'autorisations attachée à un utilisateur, un groupe ou un rôle : 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
Important

Ces actions ne sont pas incluses dans la politique gérée AmazonGuardDutyFullAccess.

Utilisation du chiffrement SSE-KMS avec des listes d'entités et des listes d'adresses IP

GuardDuty prend en charge le chiffrement SSE AES256 et SSE-KMS pour vos listes. SSE-C n'est pas pris en charge. Pour plus d'informations sur les types de chiffrement pour S3, consultez la section Protection des données à l'aide du chiffrement côté serveur.

Que vous utilisiez des listes d'entités ou des listes d'adresses IP, si vous utilisez SSE-KMS, ajoutez l'instruction suivante à votre AWS KMS key politique. 123456789012Remplacez-le par votre propre identifiant de compte.

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}