Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección RDS en GuardDuty
RDS Protection en Amazon GuardDuty analiza y perfila la actividad de inicio de sesión en RDS para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Amazon Aurora MySQL Edition y Aurora compatible con PostgreSQL) y Amazon RDS for PostgreSQL. Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. La protección de RDS no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos.
Cuando RDS Protection detecta un intento de inicio de sesión potencialmente sospechoso o anómalo que indica una amenaza para su base de datos, genera un nuevo hallazgo con detalles sobre la base de datos potencialmente comprometida. GuardDuty
Puedes activar o desactivar la función de protección RDS para cualquier cuenta en cualquier Región de AWS lugar en el que esta función esté disponible en Amazon GuardDuty y en cualquier momento. Una GuardDuty cuenta existente puede activar la protección de RDS con un período de prueba de 30 días. En el caso de una GuardDuty cuenta nueva, la protección RDS ya está habilitada e incluida en el período de prueba gratuito de 30 días. Para obtener más información, consulte Estimación del costo.
Cuando la función de protección RDS no está habilitada, GuardDuty no recopila su actividad de inicio de sesión en el RDS ni detecta un comportamiento de inicio de sesión anómalo o sospechoso.
Para obtener información sobre Regiones de AWS dónde aún GuardDuty no es compatible con la protección RDS, consulte. Disponibilidad de características específicas por región
Bases de datos Amazon Aurora y Amazon RDS compatibles
En la siguiente tabla se muestran las versiones de bases de datos Aurora y Amazon RDS compatibles.
Motor de base de datos Amazon Aurora y Amazon RDS |
Versiones del motor admitidas |
Aurora MySQL
|
-
2.10.2 o posteriores
-
3.02.1 o posteriores
|
Aurora PostgreSQL
|
-
10.17 o posteriores
-
11.12 o posteriores
-
12.7 o posteriores
-
13.3 o posteriores
-
14.3 o posteriores
-
15.2 o posterior
-
16.1 o posterior
|
RDS para PostgreSQL |
|
Cómo la protección de RDS utiliza la supervisión de la actividad de inicio de sesión de RDS
La protección RDS de Amazon le GuardDuty ayuda a proteger las bases de datos de Amazon Aurora (Aurora) compatibles en su cuenta. Tras activar la función de protección de RDS, comienza GuardDuty inmediatamente a supervisar la actividad de inicio de sesión de RDS desde las bases de datos de Aurora de su cuenta. GuardDuty supervisa y perfila continuamente la actividad de inicio de sesión de RDS para detectar actividades sospechosas, por ejemplo, el acceso no autorizado a la base de datos Aurora de su cuenta por parte de un actor externo nunca antes visto. Al activar la Protección de RDS por primera vez o al tener una instancia de base de datos recién creada, es necesario un periodo de aprendizaje para establecer un comportamiento normal que sirva de referencia. Por este motivo, es posible que las instancias de bases de datos recién habilitadas o creadas no tengan asociado un resultado de inicio de sesión anómalo hasta dentro de dos semanas. Para obtener más información, consulte Supervisión de la actividad de inicio de sesión de RDS.
Cuando RDS Protection detecta una amenaza potencial, como un patrón inusual en una serie de intentos de inicio de sesión correctos, fallidos o incompletos, GuardDuty genera un nuevo hallazgo con detalles sobre la instancia de base de datos potencialmente comprometida. Para obtener más información, consulte Tipos de búsqueda de RDS Protection. Si deshabilita la protección de RDS, deja de supervisar GuardDuty inmediatamente la actividad de inicio de sesión en RDS y no puede detectar ninguna amenaza potencial para las instancias de base de datos compatibles.
GuardDuty no gestiona su actividad de inicio de sesión Bases de datos compatibles ni la de RDS, ni pone a su disposición la actividad de inicio de sesión de RDS.
- Console
-
- API/CLI
-
Ejecute la operación de la API updateDetector con su propio ID de detector regional y pase el name
del objeto features
como RDS_LOGIN_EVENTS
y status
como ENABLED
o DISABLED
.
También puede activar o desactivar la protección RDS ejecutando el siguiente AWS CLI comando. No olvide utilizar su propio ID de detector
válido.
El siguiente código de ejemplo habilita la protección de RDS. Para desactivarlo, sustituya ENABLED
por DISABLED
.
Para encontrar la detectorId
correspondiente a su cuenta y región actual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'
En un entorno de varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de activar o desactivar la función de protección RDS para las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Esta cuenta de GuardDuty administrador delegado puede optar por habilitar automáticamente la supervisión de la actividad de inicio de sesión de RDS para todas las cuentas nuevas a medida que se unan a la organización. Para obtener más información sobre los entornos de varias cuentas, consulta Administrar varias cuentas en Amazon. GuardDuty
Elija el método de acceso que prefiera para configurar la supervisión de la actividad de inicio de sesión de RDS para la cuenta de administrador delegado GuardDuty .
- Console
-
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
Asegúrese de utilizar las credenciales de la cuenta de administración.
-
En el panel de navegación, elija Protección de RDS.
-
En la página Protección de RDS, elija Editar.
Realice una de las siguientes acciones siguientes:
Uso de Habilitar para todas las cuentas
Uso de Configurar cuentas manualmente
Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.
Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).
Seleccione Guardar.
- API/CLI
-
Ejecute la operación de la API updateDetector con su propio ID de detector regional y pase el name
del objeto features
como RDS_LOGIN_EVENTS
y status
como ENABLED
o DISABLED
.
Puede activar o desactivar la protección RDS ejecutando el siguiente AWS CLI comando. Asegúrese de utilizar el ID de detector
válido de la cuenta de GuardDuty administrador delegado.
El siguiente código de ejemplo habilita la protección de RDS. Para desactivarlo, sustituya ENABLED
por DISABLED
.
Para encontrar el detectorId
correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 555555555555
--features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
Elija su método de acceso preferido para habilitar la característica de protección de RDS en todas las cuentas de miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.
- Console
-
Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.
Realice una de las siguientes acciones siguientes:
Mediante la página Protección de RDS
En el panel de navegación, elija Protección de RDS.
Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente la protección de RDS para las cuentas nuevas y existentes de la organización.
Seleccione Guardar.
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.
Uso de la página Cuentas
En el panel de navegación, elija Accounts (Cuentas).
En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.
En la ventana Administrar preferencias de habilitación automática, elija Habilitar para todas las cuentas en Supervisión de la actividad de inicio de sesión de RDS.
Seleccione Guardar.
Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Activación o desactivación de la Protección de RDS para las cuentas de miembros de forma selectiva.
- API/CLI
-
-
Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector
.
-
El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED
por DISABLED
.
Para encontrar las detectorId
de tu cuenta y de tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED
"}]'
También puede pasar una lista de ID de cuentas separadas por un espacio.
-
Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts
vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.
Elija su método de acceso preferido para habilitar la protección de RDS en todas las cuentas de miembros activos existentes en la organización.
- Console
-
Configuración de la protección de RDS para todas las cuentas de miembros activos existentes
Inicia sesión en la GuardDuty consola AWS Management Console y ábrela en https://console.aws.amazon.com/guardduty/.
Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.
En el panel de navegación, elija Protección de RDS.
En la página Protección de RDS, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.
En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.
Elija Confirmar.
- API/CLI
-
-
Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector
.
-
El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED
por DISABLED
.
Para encontrar las detectorId
correspondientes a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED
"}]'
También puede pasar una lista de ID de cuentas separadas por un espacio.
-
Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts
vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.
Elija su método de acceso preferido para habilitar la actividad de inicio de sesión de RDS para las cuentas nuevas que se unan a la organización.
- Console
-
La cuenta de GuardDuty administrador delegado puede habilitar las cuentas de nuevos miembros de una organización a través de la consola, desde la página de protección de RDS o desde la página de cuentas.
- API/CLI
-
-
Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API UpdateOrganizationConfiguration con su propio ID de detector
.
-
El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para deshabilitar esta característica, consulte Activación o desactivación de la Protección de RDS para las cuentas de miembros de forma selectiva. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca autoEnable
en NONE
.
Para encontrar la detectorId
correspondiente a su cuenta y región actual, consulte la página de configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
--auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
También puede pasar una lista de ID de cuentas separadas por un espacio.
-
Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts
vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.
Elija el método de acceso que prefiera para activar o desactivar de forma selectiva la supervisión de la actividad de inicio de sesión en RDS en las cuentas de miembros.
- Console
-
Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.
-
En el panel de navegación, elija Accounts (Cuentas).
En la página Cuentas, revise la columna Actividad de inicio de sesión de RDS para ver el estado de su cuenta de miembro.
-
Activación o desactivación de forma selectiva de la actividad de inicio de sesión en RDS
Seleccione la cuenta para la que desee configurar la protección de RDS. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione Actividad de inicio de sesión de RDS y, a continuación, elija la opción adecuada.
- API/CLI
-
Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector
.
El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED
por DISABLED
.
Para encontrar las detectorId
de tu cuenta y de tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED
"}]'
También puede pasar una lista de ID de cuentas separadas por un espacio.
Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts
vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.