Pourquoi GuardDuty m'a-t-il envoyé des résultats d'alerte pour une adresse de liste IP approuvée ?

Date de la dernière mise à jour : 17/02/2020

J'ai suivi les instructions pour configurer une liste d'adresses IP approuvées pour Amazon GuardDuty. Pourquoi GuardDuty m'envoie-t-il des résultats d'alerte pour mon adresse IP approuvée ?

Solution

Utilisez les bonnes pratiques suivantes pour vérifier les paramètres de liste d'adresses IP approuvées :

  • Assurez-vous que l'adresse IP approuvée répertorie les téléchargés dans la même région AWS que vos résultats GuardDuty.
  • Vérifiez que les listes d'adresses IP approuvées sont activées. Pour obtenir des instructions, consultez Activation ou désactivation des listes d'adresses IP approuvées et des listes de menaces.
  • Si vous avez modifié la liste d'adresses IP approuvées, vous devez la réactiver dans GuardDuty. Pour obtenir des instructions, consultez la section Mettre à jour les listes d'adresses IP approuvées et les listes de menaces.
  • Assurez-vous que les adresses IP ajoutées dans la liste des adresses IP approuvées sont des adresses IPv4 publiquement routables.
  • L'ajout d'un nom de domaine, d'une adresse IP privée ou d'une adresse IPv6 dans une liste d'adresses IP approuvées n'empêche pas GuardDuty de générer des résultats.
  • Dans les comptes membres, GuardDuty génère des résultats pour des adresses IP malveillantes à partir des listes de menaces du compte principal, et non des listes d'adresses IP approuvées du compte principal. Pour plus d'informations, consultez Comptes principaux GuardDuty.