GuardDuty RDS 保护查找类型 - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty RDS 保护查找类型

GuardDuty RDS 保护可检测您的数据库实例上的异常登录行为。以下发现是特定于的支持的Amazon Aurora,其资源类型将为RDSDBInstance。调查结果的严重性和详细信息将因调查结果类型而异。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

用户以异常方式成功登录到您账户中的 RDS 数据库。

默认严重性:可变

注意

根据与该发现相关的异常行为,默认严重性为 “低”、“中” 和 “高”。

  • — 如果与此发现相关的用户名是从与专用网络关联的 IP 地址登录的。

  • 中等 — 如果与此发现相关的用户名是从公共 IP 地址登录的。

  • — 如果存在从公有 IP 地址尝试登录失败的持续模式,则表明访问策略过于宽松。

  • 功能:RDS 登录活动监控

此发现告诉您,在您的Amazon环境中的 RDS 数据库上观察到异常成功登录。这可能表明以前的隐身用户是第一次登录到 RDS 数据库。常见的情况是内部用户登录到由应用程序而不是个人用户以编程方式访问的数据库。您的 RDS 数据库上的角色可能已被泄露并已被潜在的恶意行为者访问。

异常检测机器学习(ML)模型将这种成功的登录识别为 GuardDuty异常。机器学习模型会评估您的所有数据库登录事件,支持的Amazon Aurora并识别与对手使用的技术相关的异常事件。ML 模型跟踪 RDS 登录活动的各种因素,例如发出请求的用户、发出请求的位置以及使用的特定数据库连接详细信息。有关可能异常的登录事件的信息,请参阅基于 RDS 登录活动的异常

补救建议:

如果关联数据库的此活动出乎意料,建议更改关联数据库用户的密码,并查看可用的审计日志以了解异常用户执行的活动。中等和高严重性调查结果可能表明数据库访问策略过于宽松,用户凭证可能已被泄露或泄露。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅使用成功的登录事件修复可能受损的数据库

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

在您账户的 RDS 数据库上观察到一次或多次异常失败的登录尝试。

默认严重性:低

  • 功能:RDS 登录活动监控

此发现告诉您,在您的Amazon环境中的 RDS 数据库上观察到一次或多次异常登录失败。尝试从公有 IP 地址登录失败可能表明您账户中的 RDS 数据库遭到了潜在恶意行为者的暴力攻击。

这些失败的登录被异常检测机器学习(ML)模型确定为 GuardDuty异常。机器学习模型会评估您的所有数据库登录事件,支持的Amazon Aurora并识别与对手使用的技术相关的异常事件。ML 模型跟踪 RDS 登录活动的各种因素,例如发出请求的用户、发出请求的位置以及使用的特定数据库连接详细信息。有关可能不寻常的 RDS 登录活动的信息,请参阅基于 RDS 登录活动的异常

补救建议:

如果此活动对关联数据库来说出乎意料,则可能表明该数据库已公开或数据库的访问策略过于宽松。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅修复带有失败登录事件的潜在受损数据库

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

在连续出现异常的登录尝试失败后,用户以异常方式成功从公有 IP 地址登录到您账户中的 RDS 数据库。

默认严重性:高

  • 功能:RDS 登录活动监控

此发现告知您,在您的Amazon环境中的 RDS 数据库上观察到异常登录,表明暴力破解成功。在异常成功登录之前,观察到一贯的异常登录尝试失败模式。这表明您账户中与 RDS 数据库关联的用户和密码可能已被泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。

这种成功的暴力登录被异常检测机器学习 (ML) 模型确定为 GuardDuty异常。机器学习模型会评估您的所有数据库登录事件,支持的Amazon Aurora并识别与对手使用的技术相关的异常事件。ML 模型跟踪 RDS 登录活动的各种因素,例如发出请求的用户、发出请求的位置以及使用的特定数据库连接详细信息。有关可能不寻常的 RDS 登录活动的信息,请参阅基于 RDS 登录活动的异常

补救建议:

此活动表明数据库凭证可能已被泄露或泄露。建议更改关联数据库用户的密码,并查看可用的审核日志,了解可能被入侵的用户执行的活动。一贯的异常登录尝试失败模式表明,对数据库的访问政策过于宽松,或者数据库也可能已公之于众。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅使用成功的登录事件修复可能受损的数据库

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

用户从已知的恶意 IP 地址成功登录到您账户中的 RDS 数据库。

默认严重性:高

  • 功能:RDS 登录活动监控

此发现告知您,成功的 RDS 登录活动是从与您的Amazon环境中已知恶意活动相关的 IP 地址发生的。这表明您账户中与 RDS 数据库关联的用户和密码可能已被泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。

补救建议:

如果此活动对关联数据库来说是意外的,则可能表明用户凭证可能已泄露或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解受感染用户执行的活动。此活动还可能表明数据库访问政策过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅使用成功的登录事件修复可能受损的数据库

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

与已知恶意活动相关的 IP 地址尝试登录您账户中的 RDS 数据库,但未成功。

默认严重性:中等

  • 功能:RDS 登录活动监控

此发现通知您,与已知恶意活动相关的 IP 地址试图登录您Amazon环境中的 RDS 数据库,但未能提供正确的用户名或密码。这表明潜在的恶意行为者可能正试图破坏您账户中的 RDS 数据库。

补救建议:

如果此活动对关联数据库来说出乎意料,则可能表明数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅修复带有失败登录事件的潜在受损数据库

Discovery:RDS/MaliciousIPCaller

与已知恶意活动相关的 IP 地址探测了您账户中的 RDS 数据库;未尝试进行身份验证。

默认严重性:中等

  • 功能:RDS 登录活动监控

此发现告知您,与已知恶意活动相关的 IP 地址探测了您Amazon环境中的 RDS 数据库,但未尝试登录。这可能表明潜在的恶意行为者正试图扫描可公开访问的基础架构。

补救建议:

如果此活动对关联数据库来说出乎意料,则可能表明数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅修复带有失败登录事件的潜在受损数据库

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

用户从 Tor 出口节点 IP 地址成功登录到您账户中的 RDS 数据库。

默认严重性:高

  • 功能:RDS 登录活动监控

此发现告诉您,用户从 Tor 出口节点 IP 地址成功登录到您Amazon环境中的 RDS 数据库。Tor 是一款用于启用匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问了您账户中的 RDS 资源,目的是隐藏匿名用户的真实身份。

补救建议:

如果此活动对关联数据库来说是意外的,则可能表明用户凭证可能已泄露或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解受感染用户执行的活动。此活动还可能表明数据库访问政策过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅使用成功的登录事件修复可能受损的数据库

CredentialAccess:RDS/TorIPCaller.FailedLogin

Tor IP 地址尝试登录您账户中的 RDS 数据库,但未成功。

默认严重性:中等

  • 功能:RDS 登录活动监控

此发现告知您 Tor 出口节点 IP 地址试图登录您Amazon环境中的 RDS 数据库,但未能提供正确的用户名或密码。Tor 是一款用于启用匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问了您账户中的 RDS 资源,目的是隐藏匿名用户的真实身份。

补救建议:

如果此活动对关联数据库来说出乎意料,则可能表明数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅修复带有失败登录事件的潜在受损数据库

Discovery:RDS/TorIPCaller

Tor 出口节点 IP 地址探测了您账户中的 RDS 数据库,但未尝试进行身份验证。

默认严重性:中等

  • 功能:RDS 登录活动监控

这个发现告诉你,Tor 出口节点 IP 地址探测了你Amazon环境中的 RDS 数据库,尽管没有尝试登录。这可能表明潜在的恶意行为者正试图扫描可公开访问的基础架构。Tor 是一款用于启用匿名通信的软件。它通过一系列网络节点之间的中继对通信进行加密和随机反弹。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问了您账户中的 RDS 资源,目的是隐藏潜在恶意行为者的真实身份。

补救建议:

如果此活动对关联数据库来说出乎意料,则可能表明数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 修复带有失败登录事件的潜在受损数据库