GuardDuty RDS Protection の検出結果タイプ - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty RDS Protection の検出結果タイプ

GuardDuty RDS Protection は、データベースインスタンスでの異常なログイン動作を検出します。以下の検出結果は サポートされている Amazon Aurora データベース 固有のものであり、リソースタイプRDSDBInstance です。結果の重大度と詳細は、結果タイプによって異なります。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

ユーザーがアカウント内の RDS データベースへのログインに、異常な方法で成功しました。

デフォルトの重要度: 可変

注記

この検出結果に関連する異常な動作に応じて、デフォルトの重要度は「低」、「中」、「高」になります。

  • - この検出結果に関連するユーザー名が、プライベートネットワークに関連付けられた IP アドレスからログインした場合。

  • - この検出結果に関連するユーザー名がパブリック IP アドレスからログインした場合。

  • - パブリック IP アドレスからのログイン試行の失敗が一貫して続いている場合は、アクセスポリシーが過度に制限されていることを示します。

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、AWS 環境の RDS データベースで異常なログインの成功が観察されたことを通知するものです。これは、以前に見たことのないユーザーが RDS データベースに初めてログインしたことを示している可能性があります。一般的なシナリオは、個々のユーザーではなくアプリケーションがプログラム的にアクセスするデータベースに内部ユーザーがログインする場合です。

このログイン成功は、GuardDuty の異常検出機械学習 (ML) モデルにより、異常として識別されています。機械学習モデルは、サポートされている Amazon Aurora データベース 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDS ログインアクティビティのさまざまな要因を追跡します。潜在的に異常なログインイベントについては、「RDS ログインアクティビティベースの異常」を参照してください。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認することをお勧めします。中および高の重要度の検出結果は、データベースへのアクセスポリシーが過度に寛容であり、ユーザーの認証情報が漏洩または侵害された可能性があることを示している可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

アカウント内の RDS データベースで、1 回以上の異常なログイン失敗が確認されました。

デフォルトの重要度: [Low] (低)

  • 機能: RDS ログインアクティビティのモニタリング

この結果から、AWS 環境内の RDS データベースで 1 回以上の異常なログイン失敗が確認されたことがわかります。パブリック IP アドレスからのログインに失敗した場合は、アカウントの RDS データベースが、潜在的に悪意のある攻撃者によるブルートフォース攻撃の試みを受けている可能性があります。

この失敗したログインは、GuardDuty の異常検出機械学習 (ML) モデルにより、異常として識別されています。機械学習モデルは、サポートされている Amazon Aurora データベース 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDS ログインアクティビティのさまざまな要因を追跡します。潜在的に異常な RDS ログインアクティビティについては、「RDS ログインアクティビティベースの異常」を参照してください。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースが公開されているか、データベースのアクセスポリシーが過度に許容されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

通常とは異なるログイン試行を繰り返したユーザーが、パブリック IP アドレスからアカウントの RDS データベースに異常な方法でのログインに成功しました。

デフォルトの重要度: [High] (高)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、ブルートフォースの成功を示す異常なログインが AWS 環境内の RDS データベースで観察されたことを示します。異常なログインの成功の前に、異常なログイン試行失敗の一貫したパターンが観察されました。これは、アカウント内の RDS データベースに関連付けられているユーザーとパスワードが侵害され、悪質な攻撃者によって RDS データベースにアクセスされた可能性があることを示しています。

このブルートフォースの成功は、GuardDuty の異常検出機械学習 (ML) モデルにより、異常として識別されています。機械学習モデルは、サポートされている Amazon Aurora データベース 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDS ログインアクティビティのさまざまな要因を追跡します。潜在的に異常な RDS ログインアクティビティについては、「RDS ログインアクティビティベースの異常」を参照してください。

修復のレコメンデーション

このアクティビティは、データベースの認証情報が漏洩または侵害された可能性があることを示しています。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害された可能性のあるユーザーが行ったアクティビティを確認することをお勧めします。通常とは異なるログイン試行が繰り返される場合は、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

ユーザーが既知の悪意のある IP アドレスからアカウントの RDS データベースへのログインに成功しました。

デフォルトの重要度: [High] (高)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、AWS 環境内の既知の悪意のあるアクティビティに関連付けられた IP アドレスから、成功した RDS ログインアクティビティが発生したことを示します。これは、アカウント内の RDS データベースに関連付けられているユーザーとパスワードが侵害され、悪質な攻撃者によって RDS データベースにアクセスされた可能性があることを示しています。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、ユーザーの認証情報が公開されているか、侵害されている可能性があります。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害されたユーザーが行ったアクティビティを確認することをお勧めします。このアクティビティは、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されていることを示している可能性もあります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

既知の悪意のあるアクティビティに関連する IP アドレスが、アカウントの RDS データベースへのログインに失敗しました。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果から、既知の悪意のあるアクティビティに関連する IP アドレスが AWS 環境内の RDS データベースにログインしようとしたが、正しいユーザー名またはパスワードを入力できなかったことがわかります。これは、潜在的に悪意のある攻撃者がアカウントの RDS データベースを侵害しようとしている可能性があることを示しています。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

Discovery:RDS/MaliciousIPCaller

既知の悪意のあるアクティビティに関連する IP アドレスがアカウントの RDS データベースを調べましたが、認証は行われませんでした。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果から、ログインを試みていないにもかかわらず、既知の悪意のあるアクティビティに関連する IP アドレスが AWS 環境内の RDS データベースを調べたことがわかります。これは、潜在的に悪意のある攻撃者が公的にアクセス可能なインフラストラクチャをスキャンしようとしていることを示している可能性があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

ユーザーが Tor 出口ノードの IP アドレスからアカウントの RDS データベースへのログインに成功しました。

デフォルトの重要度: [High] (高)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、ユーザーが Tor 出口ノードの IP アドレスから AWS 環境内の RDS データベースに正常にログインしたことを示します。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、匿名ユーザーの真のアイデンティティを隠しているという意図により、アカウント内の RDS リソースへの不正アクセスを示している場合があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、ユーザーの認証情報が公開されているか、侵害されている可能性があります。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害されたユーザーが行ったアクティビティを確認することをお勧めします。このアクティビティは、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されていることを示している可能性もあります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/TorIPCaller.FailedLogin

Tor IP アドレスはアカウントの RDS データベースにログインしようとしましたが、失敗しました。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果から、Tor 出口ノードの IP アドレスが AWS 環境内の RDS データベースにログインしようとしたが、正しいユーザー名またはパスワードを入力できなかったことがわかります。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、匿名ユーザーの真のアイデンティティを隠しているという意図により、アカウント内の RDS リソースへの不正アクセスを示している場合があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

Discovery:RDS/TorIPCaller

Tor 出口ノードの IP アドレスがアカウントの RDS データベースを調べましたが、認証は行われませんでした。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、Tor 出口ノードの IP アドレスがお客様の AWS 環境の RDS データベースを確認することをお勧めします。これは、潜在的に悪意のある攻撃者が公的にアクセス可能なインフラストラクチャをスキャンしようとしていることを示している可能性があります。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、悪意のある攻撃者の真のアイデンティティを隠して、アカウント内の RDS リソースへの不正アクセスを行っていることを示している可能性があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。