Behebung einer potenziell gefährdeten Datenbank

GuardDuty GeneratorenErkenntnistypen für RDS Protection, die auf ein potenziell verdächtiges und ungewöhnliches Anmeldeverhalten in Ihrem Unterstützte Datenbanken nach der Aktivierung hinweisen. RDS-Schutz GuardDuty Analysiert und profiliert mithilfe von RDS-Anmeldeaktivitäten Bedrohungen, indem ungewöhnliche Muster bei Anmeldeversuchen identifiziert werden.

Anmerkung

Sie können auf die vollständigen Informationen zu einem Erkenntnistyp zugreifen, indem Sie ihn aus der GuardDuty Typen von aktiven Ergebnissen auswählen.

Folgen Sie diesen empfohlenen Schritten, um eine potenziell gefährdete Amazon Aurora Aurora-Datenbank in Ihrer AWS Umgebung zu beheben.

Behebung einer potenziell gefährdeten Datenbank mit erfolgreichen Anmeldeereignissen

Die folgenden empfohlenen Schritte können Ihnen helfen, eine potenziell gefährdete Aurora-Datenbank zu beheben, die im Zusammenhang mit erfolgreichen Anmeldeereignissen ungewöhnliches Verhalten zeigt.

1. Identifizieren Sie die betroffene Datenbank und den betroffenen Benutzer.

   Das generierte GuardDuty Ergebnis enthält den Namen der betroffenen Datenbank und die entsprechenden Benutzerdetails. Weitere Informationen finden Sie unter Erkenntnisdetails.

2. Bestätigen Sie, ob dieses Verhalten erwartet oder unerwartet ist.

   In der folgenden Liste sind mögliche Szenarien aufgeführt, die GuardDuty zur Generierung eines Ergebnisses geführt haben könnten:

   • Ein Benutzer, der sich nach Ablauf einer langen Zeit bei seiner Datenbank anmeldet.

   • Ein Benutzer, der sich gelegentlich bei seiner Datenbank anmeldet, z. B. ein Finanzanalyst, der sich vierteljährlich anmeldet.

   • Ein potenziell verdächtiger Akteur, der an einem erfolgreichen Anmeldeversuch beteiligt ist, gefährdet möglicherweise die Datenbank.

3. Beginnen Sie mit diesem Schritt, wenn das Verhalten unerwartet ist.

   1. Beschränken Sie den Datenbankzugriff

      Beschränken Sie den Datenbankzugriff für die verdächtigen Konten und die Quelle dieser Anmeldeaktivität. Weitere Informationen erhalten Sie unter Behebung potenziell kompromittierter Anmeldeinformationen und Einschränken von Netzwerkzugriff.

   2. Beurteilen Sie die Auswirkungen und stellen Sie fest, auf welche Informationen zugegriffen wurde.

      • Falls verfügbar, überprüfen Sie die Prüfungsprotokolle, um festzustellen, auf welche Informationen möglicherweise zugegriffen wurde. Weitere Informationen finden Sie unter Überwachung von Ereignissen, Protokollen und Streams in einem Amazon-Aurora-DB-Cluster im Amazon-Aurora-Benutzerhandbuch.

      • Stellen Sie fest, ob auf vertrauliche oder geschützte Informationen zugegriffen oder diese geändert wurden.

Behebung einer potenziell gefährdeten Datenbank mit erfolglosen Anmeldeereignissen

Die folgenden empfohlenen Schritte können Ihnen helfen, eine potenziell gefährdete Aurora-Datenbank zu beheben, die im Zusammenhang mit erfolglosen Anmeldeereignissen ungewöhnliches Verhalten zeigt.

1. Identifizieren Sie die betroffene Datenbank und den betroffenen Benutzer.

   Das generierte GuardDuty Ergebnis enthält den Namen der betroffenen Datenbank und die entsprechenden Benutzerdetails. Weitere Informationen finden Sie unter Erkenntnisdetails.

2. Identifizieren Sie die Quelle der fehlgeschlagenen Anmeldeversuche.

   Das generierte GuardDuty Ergebnis enthält die IP-Adresse und die ASN-Organisation (falls es sich um eine öffentliche Verbindung handelte) im Bereich „Akteur“ des Ergebnisfensters.

   Ein Autonomes System (AS) ist eine Gruppe von einem oder mehreren IP-Präfixen (Listen von IP-Adressen, auf die in einem Netzwerk zugegriffen werden kann), die von einem oder mehreren Netzwerkbetreibern betrieben werden und eine einzige, klar definierte Routing-Richtlinie einhalten. Netzbetreiber benötigen autonome Systemnummern (ASNs), um das Routing in ihren Netzwerken zu kontrollieren und Routing-Informationen mit anderen Internetdienstanbietern auszutauschen (ISPs).

3. Bestätigen Sie, dass dieses Verhalten unerwartet ist.

   Prüfen Sie wie folgt, ob diese Aktivität einen Versuch darstellt, zusätzlichen unbefugten Zugriff auf die Datenbank zu erlangen:

   • Wenn es sich um eine interne Quelle handelt, überprüfen Sie, ob eine Anwendung falsch konfiguriert ist, und wiederholt versucht, eine Verbindung herzustellen.

   • Handelt es sich um einen externen Akteur, prüfen Sie, ob die entsprechende Datenbank öffentlich zugänglich ist oder ob sie falsch konfiguriert ist, sodass potenzielle böswillige Akteure gängige Benutzernamen mit Brute-Force-Angriffen verwenden können.

4. Beginnen Sie mit diesem Schritt, wenn das Verhalten unerwartet ist.

   1. Beschränken Sie den Datenbankzugriff

      Beschränken Sie den Datenbankzugriff für die verdächtigen Konten und die Quelle dieser Anmeldeaktivität. Weitere Informationen erhalten Sie unter Behebung potenziell kompromittierter Anmeldeinformationen und Einschränken von Netzwerkzugriff.

   2. Führen Sie eine Ursachenanalyse durch und ermitteln Sie die Schritte, die möglicherweise zu dieser Aktivität geführt haben.

      Richten Sie eine Warnung ein, um benachrichtigt zu werden, wenn eine Aktivität eine Netzwerkrichtlinie ändert und zu einem unsicheren Zustand führt. Weitere Informationen finden Sie unter Firewall-Richtlinien in AWS Network Firewall im Entwicklerhandbuch für AWS Network Firewall .

Behebung potenziell kompromittierter Anmeldeinformationen

Ein GuardDuty Befund kann darauf hindeuten, dass die Benutzeranmeldedaten für eine betroffene Datenbank kompromittiert wurden, als der in dem Befund identifizierte Benutzer einen unerwarteten Datenbankvorgang ausgeführt hat. Sie können den Benutzer im Bereich RDS-DB-Benutzerdetails im Suchfenster der Konsole oder in der resource.rdsDbUserDetails der JSON-Datei mit den Erkenntnissen identifizieren. Zu diesen Benutzerdetails gehören der Benutzername, die verwendete Anwendung, die abgerufene Datenbank, die SSL-Version und die Authentifizierungsmethode.

• Informationen zum Widerrufen des Zugriffs oder zum Wechseln von Passwörtern für bestimmte Benutzer, die an der Erkenntnis beteiligt sind, finden Sie unter Sicherheit mit Amazon Aurora MySQL oder Sicherheit mit Amazon Aurora PostgreSQL im Amazon-Aurora-Benutzerhandbuch.

• Wird verwendet AWS Secrets Manager , um die Geheimnisse für Amazon Relational Database Service (RDS) -Datenbanken sicher zu speichern und automatisch zu rotieren. Weitere Informationen finden Sie unter AWS Secrets Manager -Konzepte im AWS Secrets Manager -Benutzerhandbuch.

• Verwenden Sie die IAM-Datenbankauthentifizierung, um den Zugriff von Datenbankbenutzern zu verwalten, ohne dass Passwörter erforderlich sind. Weitere Informationen finden Sie unter IAM-Datenbank-Authentifizierung im Amazon Aurora-Benutzerhandbuch.

  Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon Relational Database Service im Amazon-RDS-Benutzerhandbuch.

Einschränken von Netzwerkzugriff

Ein GuardDuty Ergebnis kann darauf hindeuten, dass auf eine Datenbank auch außerhalb Ihrer Anwendungen oder Virtual Private Cloud (VPC) zugegriffen werden kann. Wenn es sich bei der Remote-IP-Adresse in der Erkenntnis um eine unerwartete Verbindungsquelle handelt, überprüfen Sie die Sicherheitsgruppen. Eine Liste der an die Datenbank angehängten Sicherheitsgruppen ist in der https://console.aws.amazon.com/rds/Konsole unter Sicherheitsgruppen oder in der JSON-Datei resource.rdsDbInstanceDetails.dbSecurityGroups der Ergebnisse verfügbar. Weitere Informationen zur Konfiguration von Sicherheitsgruppen finden Sie unter Zugriffskontrolle mit Sicherheitsgruppen im Amazon-RDS-Benutzerhandbuch.

Wenn Sie eine Firewall verwenden, schränken Sie den Netzwerkzugriff auf die Datenbank ein, indem Sie die Network Access Control Lists (NACLs) neu konfigurieren. Weitere Informationen finden Sie unter Firewall-Richtlinien in AWS Network Firewall im Entwicklerhandbuch für AWS Network Firewall .