Comment configurer une liste d'adresses IP approuvées pour GuardDuty ?

Brève description

Vous pouvez configurer GuardDuty pour utiliser votre propre liste d'adresses IP approuvées personnalisées. Utilisez cette liste pour configurer vos adresses IP autorisées afin de sécuriser les communications avec votre infrastructure et vos applications AWS. Pour en savoir plus, voir Utilisation de listes d'adresses IP approuvées et de listes de menaces.

Résolution

Création d'une liste d'adresses IP approuvées

Vérifiez le format accepté des fichiers de listes d'adresses IP approuvées. Suivez ensuite les instructions pour charger le fichier dans un compartiment Amazon Simple Storage Service (Amazon S3).

**Remarque :**Le fichier de liste d'adresses IP approuvées doit être au format TXT, STIX, OTX_CSV, ALIEN_VAULT, PROOF_POINT ou FIRE_EYE. La liste d'adresses IP approuvées ne prend pas en charge les adresses IPv6. Le nombre maximum d’adresses IP et CIDR est fixé à 2 000 par liste d’adresses IP approuvées. La configuration est limitée à une seule liste d’adresses IP approuvées par ressource Detector. Pour en savoir plus, consultez Quotas pour Amazon GuardDuty.

Vérifiez les autorisations d'identité IAM

Assurez-vous que votre identité AWS Identity and Access Management (IAM) dispose des autorisations relatives aux listes d'adresses IP approuvées et à GuardDuty :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "guardduty:*IPSet*",
        "guardduty:List*",
        "guardduty:Get*"
      ],
      "Resource": "*"
    }
  ]
}

Assurez-vous que votre identité IAM dispose des autorisations pour PuTolePolicy et DeleteRolePolicy pour le rôle lié au service GuardDuty AWSServiceRoleForAmazonGuardDuty.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:DeleteRolePolicy",
        "iam:PutRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    }
  ]
}

Pour en savoir plus, consultez la rubrique Modification des stratégies IAM.

Ajouter et activer une liste d'adresses IP approuvées dans GuardDuty

1. Ouvrez la console GuardDuty.
2. Dans le volet de navigation, choisissez Listes.
3. Choisissez** Ajouter une liste d'adresses IP approuvées**.
4. Dans le champ Nom de la liste, saisissez un nom qui évoque quelque chose pour vous.
5. Dans le champ Emplacement, saisissez l'emplacement de votre compartiment S3. Par exemple, https://s3.amazonaws.com/bucket-name/file.txt.
6. Choisissez le menu déroulant Format, puis le type de fichier de votre liste.
7. Cochez la case J’accepte, puis choisissez Ajouter une liste.
8. Dans les Listes d’adresses IP approuvées, choisissez Active comme nom de liste d'adresses IP approuvées.

**Remarque :**l'activation de la liste peut prendre jusqu'à 5 minutes.

Si vous modifiez une liste d'adresses IP approuvées dans GuardDuty, vous devez la mettre à jour puis la réactiver. Vous trouverez des instructions en consultant la rubrique Mettre à jour les listes d'adresses IP approuvées et les listes de menaces.

Informations connexes

Comment utiliser Amazon GuardDuty et AWS Web Application Firewall pour bloquer automatiquement les hôtes suspects.

Pourquoi GuardDuty m'a-t-il envoyé des résultats d'alerte pour une adresse de liste d’adresses IP approuvées ?