Tipos de búsqueda GuardDuty RDS Protection - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de búsqueda GuardDuty RDS Protection

La protección GuardDuty RDS detecta un comportamiento de inicio de sesión anómalo en la instancia de la base de datos. Los siguientes resultados son específicos de los recursos del bucket de S3 y siempre tendrán un Tipo de recurso de . La gravedad y los detalles de los resultados variarán en función del tipo de resultado.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

Un usuario ha iniciado sesión correctamente en una base de datos de RDS de su cuenta de forma anómala.

Gravedad predeterminada: variable

nota

Según el comportamiento anómalo asociado a este hallazgo, la gravedad predeterminada puede ser baja, media y alta.

  • Bajo: si el nombre de usuario asociado a esta búsqueda inició sesión desde una dirección IP asociada a una red privada.

  • Medio: si el nombre de usuario asociado a esta búsqueda inició sesión desde una dirección IP pública.

  • Alto: si hay un patrón constante de intentos fallidos de inicio de sesión desde direcciones IP públicas, lo que indica que las políticas de acceso son demasiado permisivas.

  • Característica: monitoreo de la actividad de inicio de sesión con RDS

Este hallazgo le informa de que se ha observado un inicio de sesión correcto y anómalo en una base de datos de RDS de su entorno. AWS Esto puede indicar que un usuario anterior invisible inició sesión en una base de datos de RDS por primera vez. Un escenario común es el de un usuario interno que inicia sesión en una base de datos a la que acceden mediante programación las aplicaciones y no los usuarios individuales.

El modelo de aprendizaje automático (ML) de detección de anomalías (ML) de GuardDuty identificó este inicio de sesión exitoso como anómalo. El modelo ML evalúa todos los eventos de inicio de sesión en la base de datos Bases de datos Amazon Aurora y Amazon RDS compatibles e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo ML rastrea varios factores de la actividad de inicio de sesión en el RDS, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud y los detalles específicos de conexión a la base de datos que se utilizaron. Para obtener información sobre los eventos de inicio de sesión que son potencialmente inusuales, consulteAnomalías basadas en la actividad de inicio de sesión en RDS.

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, se recomienda cambiar la contraseña del usuario de la base de datos asociada y revisar los registros de auditoría disponibles para ver si hay actividad realizada por el usuario anómalo. Los resultados de gravedad media y alta pueden indicar que existe una política de acceso demasiado permisiva a la base de datos y que las credenciales de los usuarios pueden haber quedado expuestas o comprometidas. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión correctos.

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

Se observaron uno o más intentos de inicio de sesión fallidos poco habituales en una base de datos de RDS de su cuenta.

Gravedad predeterminada: baja

  • Característica: monitoreo de la actividad de inicio de sesión en RDS

Este hallazgo le informa de que se observaron uno o más errores de inicio de sesión anómalos en una base de datos de RDS de su entorno. AWS Un intento fallido de inicio de sesión desde direcciones IP públicas puede indicar que la base de datos de RDS de su cuenta ha sido objeto de un intento de ataque de fuerza bruta por parte de un agente potencialmente malintencionado.

El modelo de aprendizaje automático (ML) de detección de anomalías de GuardDuty identificó estos inicios de sesión fallidos como anómalos. El modelo ML evalúa todos los eventos de inicio de sesión en la base de datos Bases de datos Amazon Aurora y Amazon RDS compatibles e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo ML rastrea varios factores de la actividad de inicio de sesión en el RDS, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud y los detalles específicos de conexión a la base de datos que se utilizaron. Para obtener información sobre la actividad de inicio de sesión en RDS que puede ser inusual, consulte. Anomalías basadas en la actividad de inicio de sesión en RDS

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, puede indicar que la base de datos está expuesta públicamente o que existe una política de acceso demasiado permisiva a la base de datos. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

Un usuario ha iniciado sesión correctamente en una base de datos de RDS de su cuenta desde una dirección IP pública de forma anómala tras un patrón constante de intentos de inicio de sesión fallidos e inusuales.

Gravedad predeterminada: alta

  • Característica: monitorización de la actividad de inicio de sesión en RDS

Este hallazgo le informa de que se ha observado un inicio de sesión anómalo, indicativo de una fuerza bruta exitosa, en una base de datos de RDS de su entorno. AWS Antes de iniciar sesión correctamente de forma anómala, se observaba un patrón constante de intentos de inicio de sesión fallidos inusuales. Esto indica que es posible que el usuario y la contraseña asociados a la base de datos de RDS de su cuenta estén comprometidos y que una persona potencialmente malintencionada haya accedido a la base de datos de RDS.

El modelo de aprendizaje automático (ML) de detección de anomalías (ML) de GuardDuty identificó este inicio de sesión exitoso por fuerza bruta como anómalo. El modelo ML evalúa todos los eventos de inicio de sesión en la base de datos Bases de datos Amazon Aurora y Amazon RDS compatibles e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo ML rastrea varios factores de la actividad de inicio de sesión en el RDS, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud y los detalles específicos de conexión a la base de datos que se utilizaron. Para obtener información sobre la actividad de inicio de sesión en RDS que puede ser inusual, consulte. Anomalías basadas en la actividad de inicio de sesión en RDS

Recomendaciones de corrección:

Esta actividad indica que las credenciales de la base de datos pueden estar expuestas o comprometidas. Se recomienda cambiar la contraseña del usuario de la base de datos asociado y revisar los registros de auditoría disponibles para ver la actividad realizada por el usuario potencialmente comprometido. Un patrón constante de intentos inusuales de inicio de sesión fallidos indica una política de acceso demasiado permisiva a la base de datos o que la base de datos también puede haber estado expuesta al público. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión correctos.

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

Un usuario ha iniciado sesión correctamente en una base de datos de RDS de su cuenta desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Característica: monitoreo de la actividad de inicio de sesión en RDS

Este hallazgo le informa de que se ha producido una actividad de inicio de sesión correcta en el RDS desde una dirección IP asociada a una actividad maliciosa conocida en su AWS entorno. Esto indica que es posible que el usuario y la contraseña asociados a la base de datos de RDS de su cuenta estén comprometidos y que una persona potencialmente malintencionada haya accedido a la base de datos de RDS.

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, puede indicar que las credenciales del usuario pueden estar expuestas o comprometidas. Se recomienda cambiar la contraseña del usuario de la base de datos asociado y revisar los registros de auditoría disponibles para ver si hay actividad realizada por el usuario comprometido. Esta actividad también puede indicar que existe una política de acceso demasiado permisiva a la base de datos o que la base de datos está expuesta públicamente. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión correctos.

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

Una dirección IP asociada a una actividad maliciosa conocida intentó iniciar sesión sin éxito en una base de datos de RDS de su cuenta.

Gravedad predeterminada: media

  • Característica: monitorización de la actividad de inicio de sesión en RDS

Este hallazgo le informa de que una dirección IP asociada a una actividad maliciosa conocida intentó iniciar sesión en una base de datos de RDS de su AWS entorno, pero no proporcionó el nombre de usuario o la contraseña correctos. Esto indica que un agente potencialmente malintencionado podría estar intentando comprometer la base de datos de RDS de su cuenta.

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, puede indicar que existe una política de acceso demasiado permisiva a la base de datos o que la base de datos está expuesta públicamente. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos.

Discovery:RDS/MaliciousIPCaller

Una dirección IP asociada a una actividad maliciosa conocida ha explorado una base de datos de RDS de su cuenta; no se ha realizado ningún intento de autenticación.

Gravedad predeterminada: media

  • Característica: monitoreo de la actividad de inicio de sesión en RDS

Este hallazgo le informa de que una dirección IP asociada a una actividad maliciosa conocida ha explorado una base de datos de RDS de su AWS entorno, aunque no se ha realizado ningún intento de inicio de sesión. Esto puede indicar que un agente potencialmente malintencionado está intentando buscar una infraestructura de acceso público.

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, puede indicar que existe una política de acceso demasiado permisiva a la base de datos o que la base de datos está expuesta públicamente. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos.

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

Un usuario ha iniciado sesión correctamente en una base de datos de RDS de tu cuenta desde una dirección IP del nodo de salida de Tor.

Gravedad predeterminada: alta

  • Característica: monitoreo de la actividad de inicio de sesión en RDS

Este hallazgo le informa de que un usuario ha iniciado sesión correctamente en una base de datos de RDS de su AWS entorno desde una dirección IP de un nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, puede indicar que las credenciales del usuario pueden haber quedado expuestas o comprometidas. Se recomienda cambiar la contraseña del usuario de la base de datos asociado y revisar los registros de auditoría disponibles para ver si hay actividad realizada por el usuario comprometido. Esta actividad también puede indicar que existe una política de acceso demasiado permisiva a la base de datos o que la base de datos está expuesta públicamente. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión correctos.

CredentialAccess:RDS/TorIPCaller.FailedLogin

Una dirección IP de Tor intentó iniciar sesión sin éxito en una base de datos de RDS de tu cuenta.

Gravedad predeterminada: media

  • Característica: monitoreo de la actividad de inicio de sesión en RDS

Este hallazgo le informa de que una dirección IP del nodo de salida de Tor intentó iniciar sesión en una base de datos de RDS de su AWS entorno, pero no proporcionó el nombre de usuario o la contraseña correctos. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, puede indicar que existe una política de acceso demasiado permisiva a la base de datos o que la base de datos está expuesta públicamente. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos.

Discovery:RDS/TorIPCaller

Una dirección IP del nodo de salida de Tor ha explorado una base de datos de RDS de tu cuenta, pero no se ha realizado ningún intento de autenticación.

Gravedad predeterminada: media

  • Característica: monitoreo de la actividad de inicio de sesión en RDS

Este hallazgo indica que una dirección IP del nodo de salida de Tor ha explorado una base de datos de RDS de su AWS entorno, aunque no se ha realizado ningún intento de inicio de sesión. Esto puede indicar que un agente potencialmente malintencionado está intentando buscar una infraestructura de acceso público. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada para la base de datos asociada, puede indicar que existe una política de acceso demasiado permisiva a la base de datos o que la base de datos está expuesta públicamente. Se recomienda colocar la base de datos en una VPC privada y limitar las reglas del grupo de seguridad para permitir el tráfico únicamente desde las fuentes necesarias. Para obtener más información, consulte Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos.