¿Cómo configuro una lista de direcciones IP de confianza para GuardDuty?

Descripción corta

Puedes configurar GuardDuty para utilizar tu propia lista personalizada de direcciones IP de confianza. Utiliza esta lista para configurar las direcciones IP permitidas para una comunicación segura con la infraestructura y las aplicaciones de AWS. Para obtener más información, consulta Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP.

Resolución

Creación de una lista de IP de confianza

Revisa el formato aceptado para los archivos de listas de direcciones IP de confianza. A continuación, sigue las instrucciones para cargar el archivo en un bucket de Amazon Simple Storage Service (Amazon S3).

Nota: El archivo de lista de direcciones IP de confianza debe estar en formato TXT, STIX, OTX_CSV, ALIEN_VAULT, PROOF_POINT o FIRE_EYE. La lista de direcciones IP de confianza no admite direcciones IPv6. Puedes tener un número máximo de 2000 direcciones IP y CIDR para cada lista de IP de confianza. Solo puedes tener una lista de direcciones IP de confianza por recurso de Detector. Para obtener más información, consulta Cuotas de Amazon GuardDuty.

Comprobación de los permisos de identidad de IAM

Asegúrate de que tu identidad de AWS Identity and Access Management (IAM) tenga permisos con listas de direcciones IP de confianza y GuardDuty:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "guardduty:*IPSet*",
        "guardduty:List*",
        "guardduty:Get*"
      ],
      "Resource": "*"
    }
  ]
}

Asegúrate de que tu identidad de IAM tenga permisos para PutRolePolicy y DeleteRolePolicy para el rol vinculado al servicio GuardDuty AWSServiceRoleForAmazonGuardDuty:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:DeleteRolePolicy",
        "iam:PutRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    }
  ]
}

Para obtener más información, consulta Edición de políticas de IAM.

Adición y activación de una lista de direcciones IP de confianza en GuardDuty

1. Abre la consola GuardDuty.
2. En el panel de navegación, selecciona Listas.
3. Elige Agregar una lista de direcciones IP de confianza.
4. En Nombre de lista, introduce un nombre que sea significativo para ti.
5. En Ubicación, introduce la ubicación de tu bucket de S3. Por ejemplo, https://s3.amazonaws.com/bucket-name/file.txt.
6. Selecciona el menú desplegable Formato y, a continuación, selecciona el tipo de archivo de tu lista.
7. Selecciona la casilla Acepto y, a continuación, selecciona Agregar lista.
8. En las listas de direcciones IP de confianza, selecciona Activo como nombre de la lista de direcciones IP de confianza.

Nota: La lista puede tardar hasta 15 minutos en activarse.

Si cambias una lista de direcciones IP de confianza en GuardDuty, debes actualizarla y, a continuación, volver a activarla. Para obtener instrucciones, consulta Actualización de una lista de entidades o una lista de direcciones IP.

Información relacionada

Cómo utilizar Amazon GuardDuty y AWS Web Application Firewall para bloquear automáticamente hosts sospechosos

¿Por qué GuardDuty me envió los resultados de una alerta para una dirección de lista de direcciones IP de confianza?