GuardDuty RDS 保护查找类型 - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty RDS 保护查找类型

GuardDuty RDS Protection 可检测数据库实例上的异常登录行为。以下调查结果特定于 S3 存储桶资源,并且始终具有 Resource Type (资源类型) 。调查结果的严重性和详细信息将因调查结果类型而异。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

用户以异常方式成功登录到您账户中的 RDS 数据库。

默认严重性:可变

注意

根据与此发现相关的异常行为,默认严重性可以是 “低”、“中” 和 “高”。

  • — 如果与此发现关联的用户名是从与私有网络关联的 IP 地址登录的。

  • — 如果与该发现关联的用户名是从公有 IP 地址登录的。

  • -如果公有 IP 地址的登录尝试失败的模式持续存在,则表明访问策略过于宽松。

  • 功能:RDS 登录活动监控

这一发现告诉您,在您的环境中,在 RDS 数据库上观察到异常成功登录。Amazon这可能表示之前的隐身用户首次登录到 RDS 数据库。常见的情况是内部用户登录数据库,该数据库由应用程序而不是单个用户以编程方式访问。

GuardDuty Machine Duty Machine Learning Machine Learning(ML)模型将这种成功登录识别为异常。机器学习模型会评估您的所有数据库登录事件,支持的 Amazon Aurora 数据库并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 RDS 登录活动的各种因素,例如发出请求的用户、发出请求的位置以及使用的特定数据库连接详细信息。有关可能异常的登录事件的信息,请参阅基于 RDS 登录活动的异常

修复建议:

如果关联的数据库意外出现此活动,建议更改关联数据库用户的密码,并查看可用的审计日志,了解异常用户执行的活动。中等和高严重性的发现可能表明对数据库的访问策略过于宽松,并且用户凭据可能已被暴露或泄露。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

在您账户的 RDS 数据库上观察到一次或多次异常的登录尝试失败。

默认严重级别:低

  • 功能:RDS 登录活动监控

此发现告诉您,在您的环境中的 RDS 数据库上发现了一个或多个异常登录失败。Amazon来自公有 IP 地址的登录尝试失败可能表明您账户中的 RDS 数据库遭到潜在恶意行为者的暴力攻击。

GuardDuty 异常检测机器学习(ML)模型将这些失败的登录识别为异常。机器学习模型会评估您的所有数据库登录事件,支持的 Amazon Aurora 数据库并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 RDS 登录活动的各种因素,例如发出请求的用户、发出请求的位置以及使用的特定数据库连接详细信息。有关可能异常的 RDS 登录活动的信息,请参阅基于 RDS 登录活动的异常

修复建议:

如果关联的数据库出现意外情况,则可能表明该数据库已公开或对数据库的访问策略过于宽松。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过失败登录事件修复可能受攻击的数据库

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

在经历了一系列异常的登录尝试失败之后,用户以异常方式成功地从公有 IP 地址登录到您账户中的 RDS 数据库。

默认严重级别:高

  • 功能:RDS 登录活动监控

此发现告诉您,在您环境中的 RDS 数据库上观察到异常登录表明成功使用了暴力破解。Amazon在异常成功登录之前,观察到持续存在异常登录尝试失败的模式。这表明您账户中与 RDS 数据库关联的用户和密码可能已被泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。

GuardDuty 异常检测机器学习 (ML) 模型将这种成功的暴力登录识别为异常。机器学习模型会评估您的所有数据库登录事件,支持的 Amazon Aurora 数据库并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 RDS 登录活动的各种因素,例如发出请求的用户、发出请求的位置以及使用的特定数据库连接详细信息。有关可能异常的 RDS 登录活动的信息,请参阅基于 RDS 登录活动的异常

修复建议:

此活动表明数据库凭据可能已被泄露或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解可能受到威胁的用户所执行的活动。持续存在的异常登录尝试失败模式表明对数据库或数据库的访问策略过于宽松,也可能已向公众公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

用户成功地从已知的恶意 IP 地址登录到您账户中的 RDS 数据库。

默认严重级别:高

  • 功能:RDS 登录活动监控

此发现告诉您,成功的 RDS 登录活动来自与Amazon环境中已知恶意活动关联的 IP 地址。这表明您账户中与 RDS 数据库关联的用户和密码可能已被泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。

修复建议:

如果关联的数据库出现意外情况,则可能表明用户凭据可能已被泄露或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解受感染用户执行的活动。此活动还可能表明对数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

与已知恶意活动关联的 IP 地址尝试登录您账户中的 RDS 数据库,但未成功。

默认严重级别:中

  • 功能:RDS 登录活动监控

此发现告诉您,与已知恶意活动关联的 IP 地址试图登录您Amazon环境中的 RDS 数据库,但未能提供正确的用户名或密码。这表明潜在的恶意行为者可能正试图破坏您账户中的 RDS 数据库。

修复建议:

如果关联的数据库出现意外情况,则可能表明该数据库的访问策略过于宽松,或者该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过失败登录事件修复可能受攻击的数据库

Discovery:RDS/MaliciousIPCaller

与已知恶意活动关联的 IP 地址探测了您账户中的 RDS 数据库;未尝试进行身份验证。

默认严重级别:中

  • 功能:RDS 登录活动监控

此发现告诉您,尽管没有尝试登录,但与已知恶意活动关联的 IP 地址探测了您Amazon环境中的 RDS 数据库。这可能表明潜在的恶意行为者正试图扫描可公开访问的基础架构。

修复建议:

如果关联的数据库出现意外情况,则可能表明该数据库的访问策略过于宽松,或者该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过失败登录事件修复可能受攻击的数据库

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

用户从 Tor 出口节点 IP 地址成功登录到您账户中的 RDS 数据库。

默认严重级别:高

  • 功能:RDS 登录活动监控

这一发现告诉您,用户从 Tor 出口节点 IP 地址成功登录到您Amazon环境中的 RDS 数据库。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此可能表示有人未经授权访问您的 Amazon 资源并意图隐藏攻击者的真实身份。

修复建议:

如果关联的数据库出现意外情况,则可能表明用户凭据可能已被泄露或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解受感染用户执行的活动。此活动还可能表明对数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过成功登录事件修复可能受攻击的数据库

CredentialAccess:RDS/TorIPCaller.FailedLogin

一个 Tor IP 地址试图登录您账户中的 RDS 数据库,但未成功。

默认严重级别:中

  • 功能:RDS 登录活动监控

这一发现告诉您,Tor 退出节点 IP 地址试图登录您Amazon环境中的 RDS 数据库,但未能提供正确的用户名或密码。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此可能表示有人未经授权访问您的 Amazon 资源并意图隐藏攻击者的真实身份。

修复建议:

如果关联的数据库出现意外情况,则可能表明该数据库的访问策略过于宽松,或者该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过失败登录事件修复可能受攻击的数据库

Discovery:RDS/TorIPCaller

Tor 退出节点 IP 地址探测了您账户中的 RDS 数据库,但未尝试进行身份验证。

默认严重级别:中

  • 功能:RDS 登录活动监控

这一发现告诉你,尽管没有尝试登录,但 Tor 退出节点 IP 地址探测了你Amazon环境中的 RDS 数据库。这可能表明潜在的恶意行为者正试图扫描可公开访问的基础架构。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问了您账户中的 RDS 资源,目的是隐藏潜在恶意攻击者的真实身份。

修复建议:

如果关联的数据库出现意外情况,则可能表明该数据库的访问策略过于宽松,或者该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅通过失败登录事件修复可能受攻击的数据库