如何为 GuardDuty 设置可信 IP 地址列表?

1 分钟阅读
0

我想要为 Amazon GuardDuty 设置可信 IP 地址列表。

简短描述

您可以将 GuardDuty 配置为使用您自己的自定义可信 IP 列表。请使用此列表来配置允许的 IP 地址,以便与 AWS 基础架构和应用程序进行安全通信。有关详细信息,请参阅使用可信 IP 列表和威胁列表

解决方法

创建可信 IP 列表

查看可信 IP 列表文件的可接受格式。然后,按照说明将文件上传到 Amazon Simple Storage Service (Amazon S3) 桶

注意:可信 IP 列表文件必须采用 TXT、STIX、OTX_CSV、ALIEN_VAULT、PROOF_POINT 或 FIRE_EYE 格式。可信 IP 列表不支持 IPv6 地址。每个可信 IP 列表最多可以有 2000 个 IP 地址和 CIDR。每个检测器资源只能有一个可信 IP 列表。有关详细信息,请参阅 Amazon GuardDuty 的限额

检查 IAM 身份权限

确保您的 AWS Identity and Access Management (IAM) 身份对可信 IP 列表和 GuardDuty 具有相应权限:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "guardduty:*IPSet*",
        "guardduty:List*",
        "guardduty:Get*"
      ],
      "Resource": "*"
    }
  ]
}

确保您的 IAM 身份对 GuardDuty 服务关联角色 AWSServiceRoleForAmazonGuardDuty具有 PutRolePolicyDeleteRolePolicy 权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:DeleteRolePolicy",
        "iam:PutRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    }
  ]
}

有关详细信息,请参阅编辑 IAM 策略

在 GuardDuty 中添加并激活可信 IP 列表

  1. 打开 GuardDuty 控制台
  2. 在导航窗格中,选择列表
  3. 选择添加可信 IP 列表
  4. 列表名称中,输入对您有意义的名称。
  5. 位置中,输入 S3 桶的位置。例如,https://s3.amazonaws.com/bucket-name/file.txt
  6. 选择格式下拉菜单,然后选择列表的文件类型。
  7. 选中我同意复选框,然后选择添加列表
  8. 可信 IP 列表中,为您的可信 IP 列表名称选择活动

**注意:**激活列表可能需要长达 5 分钟的时间。

如果在 GuardDuty 中更改了可信 IP 列表,则必须更新该列表,然后重新激活该列表。有关说明,请参阅更新可信 IP 列表和威胁列表

相关信息

如何使用 Amazon GuardDuty 和 AWS Web Application Firewall 自动屏蔽可疑主机

为什么 GuardDuty 向我发送可信 IP 列表地址的提醒调查发现结果?

AWS 官方
AWS 官方已更新 2 年前