Configuração de pré-requisitos para listas de entidades e listas de endereços IP - Amazon GuardDuty
Pré-requisitos para listas de entidadesPré-requisitos para listas de endereços IP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração de pré-requisitos para listas de entidades e listas de endereços IP

GuardDuty usa listas de entidades e listas de endereços IP para personalizar a detecção de ameaças em seu AWS ambiente. As listas de entidades (recomendadas) aceitam endereços IP e nomes de domínio, enquanto as listas de endereços IP aceitam apenas endereços IP. Antes de começar a criar essas listas, você deverá adicionar as permissões necessárias para o tipo de lista que deseja usar.

Pré-requisitos para listas de entidades

Quando você adiciona listas de entidades, GuardDuty lê suas listas confiáveis e de inteligência de ameaças dos buckets do S3. O perfil que você usa para criar listas de entidades deve ter a permissão s3:GetObject para que os buckets do S3 contenham essas listas.

nota

Em um ambiente com várias contas, somente a conta do GuardDuty administrador pode gerenciar listas, que se aplicam automaticamente às contas dos membros.

Se você ainda não tiver a s3:GetObject permissão para a localização do bucket do S3, use o exemplo de política a seguir e amzn-s3-demo-bucket substitua pela localização do bucket do S3.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Pré-requisitos para listas de endereços IP

Várias identidades do IAM exigem permissões especiais para trabalhar com listas de IPs confiáveis e listas de ameaças. GuardDuty Uma identidade com a política gerenciada AmazonGuardDutyFullAccess_v2 (recomendado) anexada só pode renomear e desabilitar as listas de IP confiáveis e listas de ameaças carregadas.

Para conceder a várias identidades o acesso total para trabalhar com listas de IP confiáveis e listas de ameaças (além de renomear e desabilitar, isso inclui fazer upload, habilitar, excluir e atualizar a localização da lista), as seguintes ações devem estar presentes na política de permissões anexada a um usuário, um grupo ou uma função do IAM: 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
Importante

Essas ações não estão incluídas na política gerenciada AmazonGuardDutyFullAccess.

Uso de criptografia SSE-KMS com listas de entidades e listas de IPs

GuardDuty suporta criptografia SSE AES256 e SSE-KMS para suas listas. O SSE-C não é compatível. Para obter mais informações sobre os tipos de criptografia do S3, consulte Proteger dados usando criptografia do lado do servidor.

Independentemente de você usar listas de entidades ou listas de IP, se você usa SSE-KMS, adicione a seguinte declaração à sua política. AWS KMS key 123456789012Substitua pelo seu próprio ID de conta.

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}