GuardDuty RDS 保护查找类型 - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty RDS 保护查找类型

GuardDuty RDS 防护可检测数据库实例上的异常登录行为。以下发现是特定于的支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库,其资源类型将为RDSDBInstanceRDSLimitlessDB。调查结果的严重性和详细信息将因调查结果类型而异。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

用户以异常方式成功登录到您账户中的 RDS 数据库。

默认严重级别:可变

注意

根据与此调查发现相关的异常行为,默认严重级别为“低”、“中”和“高”。

  • :如果与此调查发现关联的用户名从与私有网络关联的 IP 地址登录。

  • :如果与此调查发现关联的用户名从公有 IP 地址登录。

  • :如果从公有 IP 地址进行的登录尝试一直失败,则表明访问策略过于宽松。

  • 功能:RDS 登录活动监控

此发现告诉您,在您的环境中,在 RDS 数据库上观察到异常成功登录。 Amazon 这种情况可能表明之前未见过的用户首次登录 RDS 数据库。一个常见的场景是内部用户登录到数据库,该数据库是由应用程序,而不是单个用户以编程方式访问的。

异常检测机器学习 (ML) 模型将成功登录识别为 GuardDuty 异常。机器学习模型会评估您的 支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库 中所有数据库登录事件,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 RDS 登录活动的各种因素,如发出请求的用户、发出请求的位置,以及使用的特定数据库连接详细信息。有关可能异常的登录事件的信息,请参阅 基于 RDS 登录活动的异常

修复建议:

如果此活动对于关联数据库来说是意外活动,建议更改关联数据库用户的密码,并查看可用的审计日志,以了解异常用户执行的活动。“中”和“高”严重性调查发现可能表明对数据库的访问策略过于宽松,用户凭证可能已暴露或泄露。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

在您账户的 RDS 数据库上观察到一次或多次异常的失败登录尝试。

默认严重级别:低

  • 功能:RDS 登录活动监控

此发现告诉您,在您的环境中的 RDS 数据库上发现了一个或多个异常登录失败。 Amazon 来自公有 IP 地址的失败登录尝试可能表明,您账户中的 RDS 数据库遭到潜在恶意行为者的暴力攻击。

异常检测机器学习 (ML) 模型将这些失败的登录识别为 GuardDuty 异常。机器学习模型会评估您的 支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库 中所有数据库登录事件,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 RDS 登录活动的各种因素,如发出请求的用户、发出请求的位置,以及使用的特定数据库连接详细信息。有关可能异常的 RDS 登录活动的信息,请参阅 基于 RDS 登录活动的异常

修复建议:

如果此活动对于关联数据库来说是意外活动,则可能表明该数据库已公开,或对该数据库的访问策略过于宽松。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过失败登录事件修复可能受攻击的数据库

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

用户在连续异常登录尝试失败后,以异常方式从公有 IP 地址成功登录到您账户中的 RDS 数据库。

默认严重级别:高

  • 功能:RDS 登录活动监控

此发现告诉您,在您环境中的 RDS 数据库上观察到异常登录表明成功使用了暴力破解。 Amazon 在异常成功登录之前,观察到连续异常登录尝试失败。这表明您账户中与 RDS 数据库关联的用户和密码可能已泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。

异常检测机器学习 (ML) 模型将这种成功的暴力登录识别为 GuardDuty 异常。机器学习模型会评估您的 支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库 中所有数据库登录事件,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 RDS 登录活动的各种因素,如发出请求的用户、发出请求的位置,以及使用的特定数据库连接详细信息。有关可能异常的 RDS 登录活动的信息,请参阅 基于 RDS 登录活动的异常

修复建议:

此活动表明数据库凭证可能已公开或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解可能被盗用的用户执行的活动。连续异常登录尝试失败表明对数据库的访问策略过于宽松,或者数据库可能已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

用户从已知的恶意 IP 地址成功登录您账户中的 RDS 数据库。

默认严重级别:高

  • 功能:RDS 登录活动监控

此发现告诉您,成功的 RDS 登录活动来自与 Amazon 环境中已知恶意活动关联的 IP 地址。这表明您账户中与 RDS 数据库关联的用户和密码可能已泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。

修复建议:

如果此活动对于关联的数据库来说是意外活动,则可能表明用户凭证可能已公开或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解被盗用的用户执行的活动。此活动还可能表明,对数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

与已知恶意活动关联的 IP 地址尝试登录您账户中的 RDS 数据库失败。

默认严重级别:中

  • 功能:RDS 登录活动监控

这一发现告诉您,与已知恶意活动关联的 IP 地址试图登录您 Amazon 环境中的 RDS 数据库,但未能提供正确的用户名或密码。这表明潜在的恶意行为者可能正尝试盗用您账户中的 RDS 数据库。

修复建议:

如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过失败登录事件修复可能受攻击的数据库

Discovery:RDS/MaliciousIPCaller

与已知恶意活动关联的 IP 地址探测了您账户中的 RDS 数据库;未进行任何身份验证尝试。

默认严重级别:中

  • 功能:RDS 登录活动监控

此发现告诉您,尽管没有尝试登录,但与已知恶意活动关联的 IP 地址探测了您 Amazon 环境中的 RDS 数据库。这种情况可能表明潜在的恶意行为者正试图扫描可公开访问的基础设施。

修复建议:

如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过失败登录事件修复可能受攻击的数据库

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

用户从 Tor 出口节点 IP 地址成功登录到您账户中的 RDS 数据库。

默认严重级别:高

  • 功能:RDS 登录活动监控

此调查发现通知您,用户已从 Tor 出口节点 IP 地址成功登录到您 Amazon 环境中的 RDS 数据库。Tor 是一款支持匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问了您账户中的 RDS 资源,并意图隐藏匿名用户的真实身份。

修复建议:

如果此活动对于关联的数据库来说是意外活动,则可能表明用户凭证可能已公开或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解被盗用的用户执行的活动。此活动还可能表明,对数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/TorIPCaller.FailedLogin

Tor IP 地址尝试登录您账户中的 RDS 数据库失败。

默认严重级别:中

  • 功能:RDS 登录活动监控

这一发现告诉您,Tor 退出节点 IP 地址试图登录您 Amazon 环境中的 RDS 数据库,但未能提供正确的用户名或密码。Tor 是一款支持匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问了您账户中的 RDS 资源,并意图隐藏匿名用户的真实身份。

修复建议:

如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过失败登录事件修复可能受攻击的数据库

Discovery:RDS/TorIPCaller

Tor 出口节点 IP 地址探测了您账户中的 RDS 数据库,但未尝试进行身份验证。

默认严重级别:中

  • 功能:RDS 登录活动监控

此调查发现通知您,Tor 出口节点 IP 地址探测了您 Amazon 环境中的 RDS 数据库,但未尝试登录。这种情况可能表明潜在的恶意行为者正试图扫描可公开访问的基础设施。Tor 是一款支持匿名通信的软件。该软件通过一系列网络节点之间的中继对通信进行加密和随机反弹。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问了您账户中的 RDS 资源,并意图隐藏潜在恶意行为者的真实身份。

修复建议:

如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 通过失败登录事件修复可能受攻击的数据库