Erkenntnistypen für GuardDuty RDS Protection - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erkenntnistypen für GuardDuty RDS Protection

GuardDuty RDS Protection erkennt ungewöhnliches Anmeldeverhalten auf Ihrer Datenbank-Instance. Die folgenden Erkenntnisse beziehen sich auf Unterstützte Amazon Aurora- und RDS Amazon-Datenbanken und weisen immer den Ressourcentyp RDSDBInstance auf. Der Schweregrad und die Details der Ergebnisse unterscheiden sich je nach Erkennungstyp.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

Ein Benutzer hat sich erfolgreich auf ungewöhnliche Weise bei einer RDS-Datenbank in Ihrem Konto angemeldet.

Standardschweregrad: Variabel

Anmerkung

Je nach dem anomalen Verhalten, das mit diesem Ergebnis einhergeht, kann der Standardschweregrad Niedrig, Mittel und Hoch gewählt werden.

  • Niedrig – Wenn der mit diesem Ergebnis verknüpfte Benutzername von einer IP-Adresse aus angemeldet ist, die einem privaten Netzwerk zugeordnet ist.

  • Mittel – Wenn der mit diesem Ergebnis verknüpfte Benutzername von einer öffentlichen IP-Adresse aus angemeldet ist.

  • Hoch – Wenn es ein einheitliches Muster von fehlgeschlagenen Anmeldeversuchen von öffentlichen IP-Adressen aus gibt, was auf zu freizügige Zugriffsrichtlinien hindeutet.

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Diese Erkenntnis informiert Sie darüber, dass eine ungewöhnliche erfolgreiche Anmeldung in einer RDS-Datenbank in Ihrer AWS-Umgebung beobachtet wurde. Dies kann darauf hindeuten, dass sich ein zuvor unbekannter Benutzer zum ersten Mal bei einer RDS-Datenbank angemeldet hat. Ein häufiges Szenario ist ein interner Benutzer, der sich bei einer Datenbank anmeldet, auf die programmgesteuert von Anwendungen und nicht von einzelnen Benutzern zugegriffen wird.

Diese erfolgreiche Anmeldung wurde vom GuardDuty Machine Learning (ML)-Anomalieentdeckungs-Modell als ungewöhnlich eingestuft. Das ML-Modell bewertet alle Datenbank-Anmeldeereignisse in Ihrer Unterstützte Amazon Aurora- und RDS Amazon-Datenbanken und identifiziert anomale Ereignisse, die mit den von Gegnern verwendeten Techniken in Verbindung stehen. Das ML-Modell verfolgt verschiedene Faktoren der RDS-Anmeldeaktivität, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifischen Datenbank-Verbindungsdetails, die verwendet wurden. Informationen zu potenziell ungewöhnlichen Anmeldeereignissen finden Sie unter RDSAnomalien aufgrund von Anmeldeaktivitäten.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Audit-Logs auf Aktivitäten zu überprüfen, die von dem anomalen Benutzer ausgeführt wurden. Erkenntnisse mit mittlerem und hohem Schweregrad können darauf hindeuten, dass die Zugriffsrichtlinien für die Datenbank zu freizügig sind und die Anmeldeinformationen der Benutzer möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen.

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

Ein oder mehrere ungewöhnliche fehlgeschlagene Anmeldeversuche wurden in einer RDS-Datenbank in Ihrem Konto beobachtet.

Standard-Schweregrad: Niedrig

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Diese Erkenntnis informiert Sie darüber, dass eine oder mehrere ungewöhnliche erfolgreiche Anmeldungen in einer RDS-Datenbank in Ihrer AWS-Umgebung beobachtet wurde. Fehlgeschlagene Anmeldeversuche von öffentlichen IP-Adressen aus können darauf hindeuten, dass die RDS-Datenbank in Ihrem Konto einem Brute-Force-Angriff durch einen potenziell böswilligen Akteur ausgesetzt war.

Diese erfolgreiche Anmeldung wurde vom GuardDuty Machine Learning (ML)-Anomalieentdeckungs-Modell als ungewöhnlich eingestuft. Das ML-Modell bewertet alle Datenbank-Anmeldeereignisse in Ihrer Unterstützte Amazon Aurora- und RDS Amazon-Datenbanken und identifiziert anomale Ereignisse, die mit den von Gegnern verwendeten Techniken in Verbindung stehen. Das ML-Modell verfolgt verschiedene Faktoren der RDS-Anmeldeaktivität, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifischen Datenbank-Verbindungsdetails, die verwendet wurden. Informationen zu potenziell ungewöhnlichen RDS-Anmeldeaktivitäten finden Sie unter RDSAnomalien aufgrund von Anmeldeaktivitäten.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

Ein Benutzer hat sich nach einem konsistenten Muster ungewöhnlicher fehlgeschlagener Anmeldeversuche erfolgreich von einer öffentlichen IP-Adresse aus auf ungewöhnliche Weise bei einer RDS-Datenbank in Ihrem Konto angemeldet.

Standard-Schweregrad: Hoch

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass bei einer RDS-Datenbank in Ihrer AWS-Umgebung eine ungewöhnliche Anmeldung beobachtet wurde, die auf einen erfolgreichen Brute-Force-Angriff hindeutet. Vor einer anomalen erfolgreichen Anmeldung wurde ein konsistentes Muster ungewöhnlicher fehlgeschlagener Anmeldeversuche beobachtet. Dies deutet darauf hin, dass der Benutzer und das Passwort, die mit der RDS-Datenbank in Ihrem Konto verknüpft sind, möglicherweise kompromittiert wurden und dass möglicherweise ein potenziell böswilliger Akteur auf die RDS-Datenbank zugegriffen hat.

Diese erfolgreiche Anmeldung wurde vom GuardDuty Machine Learning (ML)-Anomalieentdeckungs-Modell als ungewöhnlich eingestuft. Das ML-Modell bewertet alle Datenbank-Anmeldeereignisse in Ihrer Unterstützte Amazon Aurora- und RDS Amazon-Datenbanken und identifiziert anomale Ereignisse, die mit den von Gegnern verwendeten Techniken in Verbindung stehen. Das ML-Modell verfolgt verschiedene Faktoren der RDS-Anmeldeaktivität, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und die spezifischen Datenbank-Verbindungsdetails, die verwendet wurden. Informationen zu potenziell ungewöhnlichen RDS-Anmeldeaktivitäten finden Sie unter RDSAnomalien aufgrund von Anmeldeaktivitäten.

Empfehlungen zur Abhilfe:

Diese Aktivität weist darauf hin, dass Datenbankanmeldeinformationen möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Prüfungsprotokolle auf Aktivitäten des potenziell kompromittierten Benutzers zu überprüfen. Ein konsistentes Muster ungewöhnlicher fehlgeschlagener Anmeldeversuche deutet auf eine zu freizügige Zugriffsrichtlinie auf die Datenbank hin, oder die Datenbank wurde möglicherweise auch öffentlich zugänglich gemacht. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen.

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

Ein Benutzer hat sich erfolgreich von einer bekannten bösartigen IP-Adresse aus bei einer RDS-Datenbank in Ihrem Konto angemeldet.

Standard-Schweregrad: Hoch

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass eine erfolgreiche RDS-Anmeldeaktivität von einer IP-Adresse aus erfolgte, die mit einer bekannten bösartigen Aktivität in Ihrer AWS-Umgebung in Verbindung steht. Dies deutet darauf hin, dass der Benutzer und das Passwort, die mit der RDS-Datenbank in Ihrem Konto verknüpft sind, möglicherweise kompromittiert wurden und dass möglicherweise ein potenziell böswilliger Akteur auf die RDS-Datenbank zugegriffen hat.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Benutzeranmeldeinformationen möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Prüfungsprotokolle auf Aktivitäten des potenziell kompromittiert Benutzers zu überprüfen. Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen.

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

Eine IP-Adresse, die mit einer bekannten böswilligen Aktivität verknüpft ist, hat erfolglos versucht, sich bei einer RDS-Datenbank in Ihrem Konto anzumelden.

Standard-Schweregrad: Mittel

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass eine IP-Adresse, die mit bekannten böswilligen Aktivitäten in Verbindung steht, versucht hat, sich bei einer RDS-Datenbank in Ihrer AWS-Umgebung anzumelden, dabei aber nicht den richtigen Benutzernamen oder das richtige Passwort angegeben hat. Dies deutet darauf hin, dass ein potenziell böswilliger Akteur versucht, die RDS-Datenbank in Ihrem Konto zu kompromittieren.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen.

Discovery:RDS/MaliciousIPCaller

Eine IP-Adresse, die mit einer bekannten böswilligen Aktivität in Verbindung steht, hat eine RDS-Datenbank in Ihrem Konto untersucht. Es wurde kein Authentifizierungsversuch unternommen.

Standard-Schweregrad: Mittel

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Diese Erkenntnis informiert Sie darüber, dass eine IP-Adresse, die mit einer bekannten bösartigen Aktivität in Verbindung steht, eine RDS-Datenbank in Ihrer AWS Umgebung untersucht hat, obwohl kein Anmeldeversuch unternommen wurde. Dies kann darauf hindeuten, dass ein potenziell böswilliger Akteur versucht, nach einer öffentlich zugänglichen Infrastruktur zu scannen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen.

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

Ein Benutzer hat sich erfolgreich über eine IP-Adresse des Tor-Ausgangsknotens bei einer RDS-Datenbank in Ihrem Konto angemeldet.

Standard-Schweregrad: Hoch

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass sich ein Benutzer erfolgreich von einer IP-Adresse des Tor-Ausgangsknotens aus bei einer RDS-Datenbank in Ihrer AWS-Umgebung angemeldet hat. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die RDS-Ressourcen hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Benutzeranmeldeinformationen möglicherweise offengelegt oder kompromittiert wurden. Es wird empfohlen, das Passwort des zugehörigen Datenbankbenutzers zu ändern und die verfügbaren Prüfungsprotokolle auf Aktivitäten des potenziell kompromittiert Benutzers zu überprüfen. Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen.

CredentialAccess:RDS/TorIPCaller.FailedLogin

Eine Tor-IP-Adresse hat erfolglos versucht, sich bei einer RDS-Datenbank in Ihrem Konto anzumelden.

Standard-Schweregrad: Mittel

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Dieses Ergebnis informiert Sie darüber, dass die IP-Adresse eines Tor-Ausgangsknotens versucht hat, sich bei einer RDS-Datenbank in Ihrer AWS-Umgebung anzumelden, aber nicht den richtigen Benutzernamen oder das richtige Passwort angegeben hat. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die RDS-Ressourcen hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen.

Discovery:RDS/TorIPCaller

Eine IP-Adresse des Tor-Ausgangsknotens hat eine RDS-Datenbank in Ihrem Konto untersucht, es wurde kein Authentifizierungsversuch unternommen.

Standard-Schweregrad: Mittel

  • Funktion: Überwachung der RDS-Anmeldeaktivitäten

Diese Erkenntnis informiert Sie darüber, dass die IP-Adresse eines Tor-Ausgangsknotens eine RDS-Datenbank in Ihrer AWS-Umgebung untersucht hat, obwohl kein Anmeldeversuch unternommen wurde. Dies kann darauf hindeuten, dass ein potenziell böswilliger Akteur versucht, nach einer öffentlich zugänglichen Infrastruktur zu scannen. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die RDS-Ressourcen in Ihrem Konto hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für die zugehörige Datenbank unerwartet ist, kann dies darauf hindeuten, dass die Datenbank öffentlich zugänglich ist oder dass es eine zu freizügige Zugriffsrichtlinie für die Datenbank gibt. Es wird empfohlen, die Datenbank in einer privaten VPC zu platzieren und die Sicherheitsgruppenregeln so zu beschränken, dass nur Datenverkehr aus den erforderlichen Quellen zugelassen wird. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen.