成功登录事件可能导致数据库受损由于登录事件失败，数据库可能遭到破坏凭证受损的可能性限制网络访问

修复受感染的数据库实例

GuardDuty RDS 保护现已推出预览版。您对 RDS 保护功能的使用受Amazon服务条款

第 2 节（“测试版和预览版”）的约束。

GuardDuty 生成的RDS 保护查找类型，表明启用支持的数据库后您的登录行为可能存在可疑和异常的登录行为GuardDuty RDS 保护。使用 RDS 登录活动，通过识别登录尝试中的异常模式来 GuardDuty 分析和分析威胁。

注意

您可以通过从中选择查找结果类型来访问有关该查找结果的完整信息调查结果表。

按照以下推荐步骤修复Amazon环境中可能受损的 Amazon Aurora 数据库实例。

主题

成功登录事件可能导致数据库受损
由于登录事件失败，数据库可能遭到破坏
凭证受损的可能性
限制网络访问

成功登录事件可能导致数据库受损

以下推荐步骤可以帮助您修复可能遭到入侵的 Aurora 数据库实例，该实例表现出与成功登录事件相关的异常行为。

识别受影响的数据库和用户。

生成的 GuardDuty 查找结果提供了受影响数据库实例的名称和相应的用户详细信息。有关更多信息，请参阅结果详细信息。
确认此行为是预期的还是意外的。

以下列表列出了可能导致生成调查结果 GuardDuty 的潜在情景：
- 经过很长时间后登录其数据库实例的用户已经过去。
- 偶尔登录其数据库实例的用户，例如，每季度登录的财务分析师。
- 参与成功登录尝试的潜在可疑行为者可能会破坏数据库实例。
如果行为出乎意料，请开始此步骤。
1. 限制数据库实例的访问权限
  
  限制可疑账户和此登录活动来源的数据库实例访问权限。有关更多信息，请参阅凭证受损的可能性和限制网络访问。
2. 评估影响并确定访问了哪些信息。
  - 如果可用，请查看审核日志以确定可能已访问的信息。有关更多信息，请参阅 Amazon Aurora 用户指南中的监控 Amazon Aurora 数据库集群中的事件、日志和流。
  - 确定是否访问或修改了任何敏感或受保护的信息。

由于登录事件失败，数据库可能遭到破坏

以下推荐步骤可以帮助您修复可能遭到入侵的 Aurora 数据库实例，该实例表现出与登录失败事件相关的异常行为。

识别受影响的数据库和用户。

生成的 GuardDuty 查找结果提供了受影响数据库实例的名称和相应的用户详细信息。有关更多信息，请参阅结果详细信息。
确定登录尝试失败的来源。

生成的 GuardDuty 查找结果在查找面板的 Act or 部分下提供 IP 地址和 ASN 组织（如果是公共连接）。

自治系统 (AS) 是由一个或多个 IP 前缀（网络上可访问的 IP 地址列表）组成的组，由一个或多个网络运营商运行，这些运营商维护单一、明确定义的路由策略。网络运营商需要自治系统编号 (ASN) 来控制其网络内的路由，并与其他互联网服务提供商 (ISP) 交换路由信息。
确认这种行为是意外的。

检查此活动是否表示企图获得对数据库实例的更多未经授权的访问权限，如下所示：
- 如果源是内部的，请检查应用程序是否配置错误并反复尝试连接。
- 如果这是外部参与者，请检查相应的数据库实例是面向公众还是配置不正确，从而允许潜在的恶意攻击者暴力使用常用用户名。
如果行为出乎意料，请开始此步骤。
1. 限制数据库实例的访问权限
  
  限制可疑账户和此登录活动来源的数据库实例访问权限。有关更多信息，请参阅凭证受损的可能性和限制网络访问。
2. 进行根本原因分析并确定可能导致此活动的步骤。
  
  设置警报，以便在活动修改网络策略并造成不安全状态时收到通知。有关更多信息，请参阅《Amazon Network Firewall开发者指南》Amazon Network Firewall中的防火墙策略。

凭证受损的可能性

GuardDuty 调查结果可能表明，当调查结果中确定的用户执行了意外的数据库操作时，受影响数据库的用户凭据已被泄露。您可以在控制台查找面板内的 RDS 数据库用户详细信息部分或调查结果 JSON 中识别用户。resource.rdsDbUserDetails这些用户详细信息包括用户名、使用的应用程序、访问的数据库、SSL 版本和身份验证方法。

要撤消参与调查的特定用户的访问权限或轮换密码，请参阅《亚马逊 Aurora 用户指南》中的 Amazon Aurora MySQ L 的安全性或 Amazon Aurora PostgreSQL 的安全性。
Amazon Secrets Manager用于安全存储和自动轮换 Amazon Relational Database Service (RDS) 数据库的密钥。有关更多信息，请参阅《Amazon Secrets Manager用户指南》中的Amazon Secrets Manager教程。
使用 IAM 数据库身份验证无需密码即可管理数据库用户的访问权限。有关更多信息，请参阅 A mazon Aurora 用户指南中的 IAM 数据库身份验证。

有关更多信息，请参阅 Amazon RDS 用户指南中的 Amazon Relational Database Service 的安全最佳实践。

限制网络访问

GuardDuty 调查结果可能表明可以在您的应用程序或Virtual Private Cloud (VPC) 之外访问数据库实例。如果调查结果中的远程 IP 地址是意外的连接源，请审核安全组。附加到数据库实例的安全组列表可在 https://console.aws.amazon.com/rds/ 控制台的 “安全组” 下或调查结果 JSONresource.rdsDbInstanceDetails.dbSecurityGroups 中找到。有关配置安全组的更多信息，请参阅 Amazon RDS 用户指南中的使用安全组控制访问。

如果您使用的是防火墙，请通过重新配置网络访问控制列表 (NACL) 来限制对数据库的网络访问。有关更多信息，请参阅《Amazon Network Firewall开发者指南》Amazon Network Firewall中的防火墙。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

修复 Kubernetes 的发现

管理多个账户