Comment puis-je configurer une liste d'adresses IP approuvées utilisables avec GuardDuty ?

Date de la dernière mise à jour : 28/06/2022

Je souhaite configurer une liste d'adresses IP approuvées utilisables avec Amazon GuardDuty.

Brève description

Afin d'établir une communication sécurisée avec votre infrastructure et vos applications AWS, vous pouvez configurer GuardDuty de sorte à utiliser votre propre liste personnalisée d'adresses IP approuvées. Pour obtenir des informations supplémentaires, consultez la section Utilisation de listes d'adresses IP approuvées et de listes de menaces.

Résolution

Suivez ces instructions pour créer et charger une liste d'adresses IP approuvées, vérifier les autorisations et ajouter cette même liste à GuardDuty.

Création d'une liste d'adresses IP approuvées

Suivez les instructions pour créer un IPSet et l'enregistrer dans un fichier. Ensuite, chargez le fichier dans un compartiment Amazon Simple Storage Service (Amazon S3).

Remarque : le fichier doit se trouver au format TXT, STIX, OTX_CSV, ALIEN_VAULT, PROOF_POINT ou FIRE_EYE. La liste des adresses IP de confiance ne prend pas en charge les adresses IPv6. Vous pouvez avoir un nombre maximum de 2 000 adresses IP et CIDR pour chaque liste d'adresses IP de confiance. Une seule liste d'adresses IP de confiance est autorisée par ressource de détecteur. Pour plus d'informations, consultez la rubrique Quotas pour Amazon GuardDuty.

Vérification des autorisations de l'identité IAM

Assurez-vous que votre identité AWS Identity and Access Management (IAM) dispose d'autorisations avec des listes d'IP de confiance et GuardDuty similaires à ce qui suit :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "guardduty:*IPSet*",
        "guardduty:List*",
        "guardduty:Get*"
      ],
      "Resource": "*"
    }
  ]
}

Assurez-vous que votre identité IAM dispose des autorisations pour PutRolePolicy et DeleteRolePolicy pour le rôle lié au service GuardDuty AWSServiceRoleForAmazonGuardDuty.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:DeleteRolePolicy",
        "iam:PutRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    }
  ]
}

Pour plus d'informations, voir Modifier les politiques IAM.

Ajout et activation d'une liste d'adresses IP approuvées dans GuardDuty

  1. Ouvrez la console GuardDuty.
  2. Dans le volet de navigation, sélectionnez Lists (Listes).
  3. Choisissez Add a trusted IP list (Ajouter une liste d'adresses IP approuvées).
  4. Dans le champ Nom de la liste, saisissez un nom dont vous pourrez aisément vous rappeler.
  5. Dans le champ Emplacement, saisissez l'emplacement de votre compartiment S3 (par exemple, https://s3.amazonaws.com/bucket-name/file.txt).
  6. Cliquez sur le menu déroulant Format, puis choisissez le type de fichier.
  7. Cochez la case J'accepte, puis choisissez Ajouter une liste.
  8. Dans la section Listes d'adresses IP approuvées, attribuez le nom Active à la liste.

Remarque : l'activation de la liste peut prendre jusqu'à 5 minutes.

Si vous modifiez une liste d'adresses IP approuvées dans GuardDuty, vous devez la réactiver après l'avoir mise à jour. Pour obtenir des instructions, consultez la rubrique Mettre à jour les listes d'adresses IP approuvées et les listes de menaces.

Comment utiliser Amazon GuardDuty et AWS Web Application Firewall pour bloquer automatiquement les hôtes suspects (Langue Français non garantie)

Pourquoi GuardDuty m'a-t-il envoyé des résultats d'alerte pour une adresse de liste IP approuvée ?

Cet article vous a-t-il été utile ?

Envoyer un commentaire

Besoin d'aide pour une question technique ou de facturation ?

Contactez AWS Support