修复可能受损的数据库 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能受损的数据库

GuardDuty 在您启用支持的数据库后生成的RDS 保护查找类型,表明您的登录行为可能存在可疑和异常。GuardDuty RDS 保护使用 RDS 登录活动,通过识别登录尝试中的异常模式来 GuardDuty 分析和描述威胁。

注意

您可以从 调查发现表 中选择某个调查发现类型来访问其完整信息。

请按照以下建议步骤修复您的 Amazon 环境中可能遭到入侵的 Amazon Aurora 数据库。

通过成功登录事件修复可能受攻击的数据库

以下建议的步骤可以帮助您修复可能受攻击的 Aurora 数据库,该数据库表现出与成功登录事件相关的异常行为。

  1. 确定受影响的数据库和用户。

    生成的 GuardDuty 结果提供了受影响数据库的名称和相应的用户详细信息。有关更多信息,请参阅调查发现详细信息

  2. 确认这种行为是预期的还是意外的。

    以下列表列出了可能导致生成调查结果 GuardDuty 的潜在场景:

    • 经过很长时间后才登录到其数据库的用户。

    • 偶尔登录数据库的用户,例如,每个季度登录一次的财务分析师。

    • 尝试登录成功的潜在可疑攻击者可能会攻击数据库。

  3. 如果行为出乎意料,请开始此步骤。

    1. 限制数据库访问

      限制可疑账户和登录活动源的数据库访问。有关更多信息,请参阅 修复可能遭泄露的凭证限制网络访问

    2. 评测影响并确定访问了哪些信息。

通过失败登录事件修复可能受攻击的数据库

以下建议的步骤可以帮助您修复可能受攻击的 Aurora 数据库,该数据库表现出与失败登录事件相关的异常行为。

  1. 确定受影响的数据库和用户。

    生成的 GuardDuty 结果提供了受影响数据库的名称和相应的用户详细信息。有关更多信息,请参阅调查发现详细信息

  2. 确定失败登录尝试源。

    生成的 GuardDuty 调查结果在调查结果面板的 “Acto r” 部分下提供 IP 地址ASN 组织(如果是公共连接)。

    自治系统(AS)是由一个或多个网络运营商运行的一个或多个 IP 前缀(可在网络上访问的 IP 地址列表)组成的群组,这些运营商维护单一、明确定义的路由策略。网络运营商需要自治系统号(ASN)来控制其网络中的路由,并与其他互联网服务提供商(ISP)交换路由信息。

  3. 确认这种行为是否是意料之外的。

    检查此活动是否表示试图获得对数据库的其他未经授权的访问,如下所示:

    • 如果源是内部的,请检查应用程序是否配置错误并重复尝试连接。

    • 如果是外部攻击者,则检查相应的数据库是否面向公众或配置错误,从而允许潜在的恶意行为者暴力破解常用用户名。

  4. 如果行为出乎意料,请开始此步骤。

    1. 限制数据库访问

      限制可疑账户和登录活动源的数据库访问。有关更多信息,请参阅 修复可能遭泄露的凭证限制网络访问

    2. 执行根本原因分析并确定可能导致此活动的步骤。

      设置警报,以便在活动修改网络策略并造成不安全状态时收到通知。有关更多信息,请参阅《Amazon Network Firewall 开发人员指南》Amazon Network Firewall的防火墙策略

修复可能遭泄露的凭证

GuardDuty 调查结果可能表明,当调查结果中确定的用户执行了意外的数据库操作时,受影响数据库的用户凭据已被泄露。您可以在控制台的调查发现面板中的 RDS DB 用户详细信息部分或调查发现 JSON 的 resource.rdsDbUserDetails 中识别用户。这些用户详细信息包括用户名、使用的应用程序、访问的数据库、SSL 版本和身份验证方法。

限制网络访问

GuardDuty 调查结果可能表明,除了您的应用程序或虚拟私有云 (VPC) 之外,还可以访问数据库。如果调查发现中的远程 IP 地址是意外的连接源,请对安全组进行审计。附加到数据库的安全组列表可在 https://console.aws.amazon.com/rds/ 控制台的安全组下或调查发现 JSON 的 resource.rdsDbInstanceDetails.dbSecurityGroups 中找到。有关配置安全组的更多信息,请参阅《Amazon RDS 用户指南》中的使用安全组控制访问

如果使用的是防火墙,请通过重新配置网络访问控制列表(NACL)来限制对数据库的网络访问。有关更多信息,请参阅《Amazon Network Firewall 开发人员指南》Amazon Network Firewall的防火墙