Configurar los requisitos previos para las listas de entidades y las listas de direcciones IP - Amazon GuardDuty
Requisitos previos para las listas de entidadesRequisitos previos para las listas de direcciones IP

Configurar los requisitos previos para las listas de entidades y las listas de direcciones IP

GuardDuty utiliza listas de entidades y listas de direcciones IP para personalizar la detección de amenazas en su entorno de AWS. Las listas de entidades (recomendado) admiten direcciones IP y nombres de dominio, mientras que las listas de direcciones IP solo admiten direcciones IP. Antes de comenzar a crear estas listas, debe agregar los permisos necesarios para el tipo de lista que desea usar.

Requisitos previos para las listas de entidades

Al añadir listas de entidades, GuardDuty lee las listas de confianza y de inteligencia de amenazas de los buckets de S3. El rol que utilice para crear las listas de entidades debe tener el permiso s3:GetObject para que los buckets de S3 contengan estas listas.

nota

En un entorno con varias cuentas, solo la cuenta de administrador de GuardDuty puede administrar las listas, lo cual se aplica de manera automática a las cuentas de miembro.

Si aún no tiene el permiso s3:GetObject para la ubicación del bucket de S3, utilice la siguiente política de ejemplo y sustituya amzn-s3-demo-bucket por la ubicación del bucket de S3.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Requisitos previos para las listas de direcciones IP

Algunas identidades de IAM requieren permisos especiales para trabajar con listas de IP de confianza y listas de amenazas en GuardDuty. Una identidad con la política administrada AmazonGuardDutyFullAccess_v2 (recomendada) adjunta solo puede cambiar de nombre y desactivar las listas de IP de confianza y las listas de amenazas cargadas.

Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listas de amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la adición, activación, eliminación y actualización de la ubicación o el nombre de las listas), asegúrese de que las siguientes acciones estén presentes en la política de permisos adjunta a un usuario, grupo o rol: 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
importante

Estas acciones no se incluyen en la política administrada AmazonGuardDutyFullAccess.

Uso del cifrado SSE-KMS con listas de entidades y listas de IP

GuardDuty admite los siguientes cifrado para las listas: SSE-AES256 y SSE-KMS. No se admite SSE-C. Para obtener más información sobre los tipos de cifrado para S3, consulte Protección de los datos con el cifrado del servidor.

Independientemente de si utiliza listas de entidades o listas de IP, si utiliza SSE-KMS, añada la siguiente declaración a su política AWS KMS key. Sustituya 123456789012 por el ID de su propia cuenta.

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}