Protección RDS en GuardDuty - Amazon GuardDuty
Bases de datos compatiblesCómo la protección de RDS utiliza la supervisión de la actividad de inicio de sesión de RDSConfiguración de la protección de RDS para una cuenta independienteConfiguración de la protección de RDS en entornos multicuenta

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección RDS en GuardDuty

RDS Protection en Amazon GuardDuty analiza y perfila la actividad de inicio de sesión en RDS para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Amazon Aurora MySQL Edition y Aurora compatible con PostgreSQL) y Amazon RDS for PostgreSQL. Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. La protección de RDS no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos.

Cuando RDS Protection detecta un intento de inicio de sesión potencialmente sospechoso o anómalo que indica una amenaza para su base de datos, genera un nuevo hallazgo con detalles sobre la base de datos potencialmente comprometida. GuardDuty

Puedes activar o desactivar la función de protección RDS para cualquier cuenta en cualquier Región de AWS lugar en el que esta función esté disponible en Amazon GuardDuty y en cualquier momento. Una GuardDuty cuenta existente puede activar la protección de RDS con un período de prueba de 30 días. En el caso de una GuardDuty cuenta nueva, la protección RDS ya está habilitada e incluida en el período de prueba gratuito de 30 días. Para obtener más información, consulte Estimación del costo.

nota

Cuando la función de protección RDS no está habilitada, GuardDuty no recopila su actividad de inicio de sesión en el RDS ni detecta un comportamiento de inicio de sesión anómalo o sospechoso.

Para obtener información sobre Regiones de AWS dónde aún GuardDuty no es compatible con la protección RDS, consulte. Disponibilidad de características específicas por región

Bases de datos Amazon Aurora y Amazon RDS compatibles

En la siguiente tabla se muestran las versiones de bases de datos Aurora y Amazon RDS compatibles.

Motor de base de datos Amazon Aurora y Amazon RDS Versiones del motor admitidas

Aurora MySQL

  • 2.10.2 o posteriores

  • 3.02.1 o posteriores

Aurora PostgreSQL

  • 10.17 o posteriores

  • 11.12 o posteriores

  • 12.7 o posteriores

  • 13.3 o posteriores

  • 14.3 o posteriores

  • 15.2 o posterior

  • 16.1 o posterior
RDS para PostgreSQL

Cómo la protección de RDS utiliza la supervisión de la actividad de inicio de sesión de RDS

La protección RDS de Amazon le GuardDuty ayuda a proteger las bases de datos de Amazon Aurora (Aurora) compatibles en su cuenta. Tras activar la función de protección de RDS, comienza GuardDuty inmediatamente a supervisar la actividad de inicio de sesión de RDS desde las bases de datos de Aurora de su cuenta. GuardDuty supervisa y perfila continuamente la actividad de inicio de sesión de RDS para detectar actividades sospechosas, por ejemplo, el acceso no autorizado a la base de datos Aurora de su cuenta por parte de un actor externo nunca antes visto. Al activar la Protección de RDS por primera vez o al tener una instancia de base de datos recién creada, es necesario un periodo de aprendizaje para establecer un comportamiento normal que sirva de referencia. Por este motivo, es posible que las instancias de bases de datos recién habilitadas o creadas no tengan asociado un resultado de inicio de sesión anómalo hasta dentro de dos semanas. Para obtener más información, consulte Supervisión de la actividad de inicio de sesión de RDS.

Cuando RDS Protection detecta una amenaza potencial, como un patrón inusual en una serie de intentos de inicio de sesión correctos, fallidos o incompletos, GuardDuty genera un nuevo hallazgo con detalles sobre la instancia de base de datos potencialmente comprometida. Para obtener más información, consulte Tipos de búsqueda de RDS Protection. Si deshabilita la protección de RDS, deja de supervisar GuardDuty inmediatamente la actividad de inicio de sesión en RDS y no puede detectar ninguna amenaza potencial para las instancias de base de datos compatibles.

nota

GuardDuty no gestiona su actividad de inicio de sesión Bases de datos compatibles ni la de RDS, ni pone a su disposición la actividad de inicio de sesión de RDS.

Configuración de la protección de RDS para una cuenta independiente

Console

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Protección de RDS.

  3. La página Protección de RDS muestra el estado actual de su cuenta. Puede habilitar o deshabilitar la característica en cualquier momento mediante la selección de Habilitar o Deshabilitar. Confirme la opción elegida.

API/CLI

Ejecute la operación de la API updateDetector con su propio ID de detector regional y pase el name del objeto features como RDS_LOGIN_EVENTS y status como ENABLED o DISABLED.

También puede activar o desactivar la protección RDS ejecutando el siguiente AWS CLI comando. No olvide utilizar su propio ID de detector válido.

nota

El siguiente código de ejemplo habilita la protección de RDS. Para desactivarlo, sustituya ENABLED por DISABLED.

Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'

Configuración de la protección de RDS en entornos multicuenta

En un entorno de varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de activar o desactivar la función de protección RDS para las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Esta cuenta de GuardDuty administrador delegado puede optar por habilitar automáticamente la supervisión de la actividad de inicio de sesión de RDS para todas las cuentas nuevas a medida que se unan a la organización. Para obtener más información sobre los entornos de varias cuentas, consulta Administrar varias cuentas en Amazon. GuardDuty

Elija el método de acceso que prefiera para configurar la supervisión de la actividad de inicio de sesión de RDS para la cuenta de administrador delegado GuardDuty .

Console

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administración.

  2. En el panel de navegación, elija Protección de RDS.

  3. En la página Protección de RDS, elija Editar.

  4. Realice una de las siguientes acciones siguientes:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las cuentas nuevas que se unan a la organización.

    • Seleccione Guardar.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Guardar.

API/CLI

Ejecute la operación de la API updateDetector con su propio ID de detector regional y pase el name del objeto features como RDS_LOGIN_EVENTS y status como ENABLED o DISABLED.

Puede activar o desactivar la protección RDS ejecutando el siguiente AWS CLI comando. Asegúrese de utilizar el ID de detector válido de la cuenta de GuardDuty administrador delegado.

nota

El siguiente código de ejemplo habilita la protección de RDS. Para desactivarlo, sustituya ENABLED por DISABLED.

Para encontrar el detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Elija su método de acceso preferido para habilitar la característica de protección de RDS en todas las cuentas de miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    Mediante la página Protección de RDS

    1. En el panel de navegación, elija Protección de RDS.

    2. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente la protección de RDS para las cuentas nuevas y existentes de la organización.

    3. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Accounts (Cuentas).

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de habilitación automática, elija Habilitar para todas las cuentas en Supervisión de la actividad de inicio de sesión de RDS.

    4. Seleccione Guardar.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Activación o desactivación de la Protección de RDS para las cuentas de miembros de forma selectiva.

API/CLI

  • Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

  • El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED por DISABLED.

    Para encontrar las detectorId de tu cuenta y de tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la protección de RDS en todas las cuentas de miembros activos existentes en la organización.

Console
Configuración de la protección de RDS para todas las cuentas de miembros activos existentes

  1. Inicia sesión en la GuardDuty consola AWS Management Console y ábrela en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Protección de RDS.

  3. En la página Protección de RDS, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Elija Confirmar.

API/CLI

  • Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

  • El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED por DISABLED.

    Para encontrar las detectorId correspondientes a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la actividad de inicio de sesión de RDS para las cuentas nuevas que se unan a la organización.

Console

La cuenta de GuardDuty administrador delegado puede habilitar las cuentas de nuevos miembros de una organización a través de la consola, desde la página de protección de RDS o desde la página de cuentas.

Habilitación automática de la Protección de RDS para las cuentas de miembros nuevos

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    • Mediante la página Protección de RDS:

      1. En el panel de navegación, elija Protección de RDS.

      2. En la página Protección de RDS, elija Editar.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que, cada vez que una nueva cuenta se una a su organización, la protección de RDS se habilite automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Guardar.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Accounts (Cuentas).

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las cuentas nuevas en Supervisión de la actividad de inicio de sesión de RDS.

      4. Seleccione Guardar.

API/CLI

  • Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API UpdateOrganizationConfiguration con su propio ID de detector.

  • El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para deshabilitar esta característica, consulte Activación o desactivación de la Protección de RDS para las cuentas de miembros de forma selectiva. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca autoEnable en NONE.

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para activar o desactivar de forma selectiva la supervisión de la actividad de inicio de sesión en RDS en las cuentas de miembros.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. En el panel de navegación, elija Accounts (Cuentas).

    En la página Cuentas, revise la columna Actividad de inicio de sesión de RDS para ver el estado de su cuenta de miembro.

  3. Activación o desactivación de forma selectiva de la actividad de inicio de sesión en RDS

    Seleccione la cuenta para la que desee configurar la protección de RDS. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione Actividad de inicio de sesión de RDS y, a continuación, elija la opción adecuada.

API/CLI

Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

El siguiente ejemplo muestra cómo se puede habilitar la protección de RDS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED por DISABLED.

Para encontrar las detectorId de tu cuenta y de tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
nota

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.