Comment puis-je configurer une liste d'adresses IP approuvées utilisables avec GuardDuty ?

Date de la dernière mise à jour : 03/02/2020

Je souhaite configurer une liste d'adresses IP approuvées utilisables avec Amazon GuardDuty.  

Courte description

Afin d'établir une communication sécurisée avec votre infrastructure et vos applications AWS, vous pouvez configurer GuardDuty de sorte à utiliser votre propre liste personnalisée d'adresses IP approuvées. Pour obtenir des informations supplémentaires, consultez la section Utilisation de listes d'adresses IP approuvées et de listes de menaces.

Solution

Suivez ces instructions pour créer et charger une liste d'adresses IP approuvées, vérifier les autorisations et ajouter cette même liste à GuardDuty.

Création d'une liste d'adresses IP approuvées

Commencez par créer une liste d'adresses IP approuvées et enregistrez-la sous forme de fichier. Ensuite, chargez le fichier dans un compartiment Amazon Simple Storage Service (Amazon S3).

Remarque : le fichier doit se trouver au format TXT, STIX, OTX_CSV, ALIEN_VAULT, PROOF_POINT ou FIRE_EYE.

Vérification des autorisations de l'identité IAM

Assurez-vous que votre identité AWS Identity and Access Management (IAM) dispose d'autorisations similaires aux suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "guardduty:*IPSet*",
                "guardduty:List*",
                "guardduty:Get*"
            ],
            "Resource": "*"
        }
    ]
}

Autorisations pour PutRolePolicy et DeleteRolePolicy applicables au rôle AWSServiceRoleForAmazonGuardDuty lié au service GuardDuty.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}

Pour obtenir des informations supplémentaires, consultez la section Modification des stratégies IAM.

Ajout et activation d'une liste d'adresses IP approuvées dans GuardDuty

  1. Ouvrez la console GuardDuty.
  2. Dans le volet de navigation, sélectionnez Listes.
  3. Choisissez Ajouter une liste d'adresses IP approuvées.
  4. Dans le champ Nom de la liste, saisissez un nom dont vous pourrez aisément vous rappeler.
  5. Dans le champ Emplacement, saisissez l'emplacement de votre compartiment S3 (par exemple, https://s3.amazonaws.com/bucket-name/file.txt).
  6. Cliquez sur le menu déroulant Format, puis choisissez le type de fichier.
  7. Cochez la case J'accepte, puis choisissez Ajouter une liste.
  8. Dans la section Listes d'adresses IP approuvées, attribuez le nom Active à la liste.

Remarque : l'activation de la liste peut prendre jusqu'à 5 minutes.

Si vous modifiez une liste d'adresses IP approuvées dans GuardDuty, vous devez la réactiver après l'avoir mise à jour. Pour obtenir des instructions, consultez la section Mettre à jour les listes d'adresses IP approuvées et les listes de menaces.