Amazon GuardDuty の信頼できる IP アドレスリストを設定したいと考えています。
簡単な説明
GuardDuty を設定して、AWS インフラストラクチャや AWS アプリケーションとの安全な通信のために、許可 IP アドレスを含む、独自にカスタムした信頼できる IP リストを使用できます。詳細については、信頼できる IP リストと脅威リストの使用を参照してください。
解決方法
信頼できる IP リストを作成してアップロードし、アクセス許可を確認して GuardDuty に追加するには、以下の手順に従います。
信頼できる IP リストを作成する
手順に従って、新しい IPSet を作成し、ファイルとして保存します。次に、手順に従って Amazon Simple Storage Service (Amazon S3) バケットにファイルをアップロードします。
注意: 信頼できる IP リストファイルは、TXT、STIX、OTX_CSV、ALIEN_VAULT、PROOF_POINT、FIRE_EYE のいずれかの形式である必要があります。信頼された IP リストは IPv6 アドレスをサポートしていません。信頼できる IP リストごとに、最大 2000 個の IP アドレスと CIDR を設定できます。ディテクタリソースごとに 1 つの信頼できる IP リストのみが許可されます。詳細については、「Amazon GuardDuty のクォータ」を参照してください。
IAM ID のアクセス許可を確認する
AWS Identity and Access Management (IAM) の ID に、以下のような信頼できる IP リストおよび GuardDuty へのアクセス許可があることを確認します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"guardduty:*IPSet*",
"guardduty:List*",
"guardduty:Get*"
],
"Resource": "*"
}
]
}
IAM ID に GuardDuty サービスにリンクされたロールである AWSServiceRoleForAmazonGuardDuty の PutRolePolicy および DeleteRolePolicy に対するアクセス許可があることを確認します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:DeleteRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
詳細については、「IAM ポリシーの編集」を参照してください。
信頼できる IP リストを GuardDuty に追加してアクティブ化する
- [GuardDuty console] (GuardDuty コンソール) を開きます。
- ナビゲーションペインで、[Lists] を選択します。
- [Add a trusted IP list] (信頼されている IP リストの追加) を選択します。
- [List name] に、わかりやすい名前を入力します。
- [Location] に、S3 バケットの場所を入力します。(例: https://s3.amazonaws.com/bucket-name/file.txt)
- [Format] ドロップダウンメニューを選択し、リストのファイルタイプを選択します。
- [I agree] チェックボックスをオンにして、[Add list] を選択します。
- [Trusted IP lists] で、信頼できる IP リスト名に [Active] を選択します。
注意: リストがアクティブになるまでに最大 5 分かかることがあります。
GuardDuty の信頼できる IP リストを変更する場合は、リストを更新してから再度アクティブ化する必要があります。手順については、「信頼されている IP リストと脅威リストを更新するには」を参照してください。
関連情報
Amazon GuardDuty と AWS Web Application Firewall を使用して不審なホストを自動的にブロックする方法
GuardDuty から信頼できる IP リストアドレスの結果にアラートが送信されるのはなぜですか?