Types de résultat de la protection RDS GuardDuty - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de résultat de la protection RDS GuardDuty

La protection RDS GuardDuty détecte les comportements de connexion anormaux sur votre instance de base de données. Les résultats suivants sont propres à la Bases de données Amazon Aurora et Amazon RDS prises en charge et leur type de ressource sera RDSDBInstance. La gravité et les détails des résultats diffèrent selon le type de résultat.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

Un utilisateur est parvenu à se connecter à une base de données RDS de votre compte de manière anormale.

Gravité par défaut : variable

Note

Selon le comportement anormal associé à ce résultat, la gravité par défaut peut être Faible, Moyenne ou Élevée.

  • Faible : si le nom d'utilisateur associé à ce résultat s'est connecté à partir d'une adresse IP associée à un réseau privé.

  • Moyenne : si le nom d'utilisateur associé à ce résultat s'est connecté à partir d'une adresse IP publique.

  • Élevée : s'il existe un modèle constant de tentatives de connexion infructueuses à partir d'adresses IP publiques indiquant des stratégies d'accès trop permissives.

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'une connexion réussie anormale a été observée sur une base de données RDS dans votre environnement AWS. Cela peut indiquer qu'un utilisateur inconnu s'est connecté à une base de données RDS pour la première fois. Un scénario courant est celui d'un utilisateur interne se connectant à une base de données à laquelle des applications accèdent par programmation et non des utilisateurs individuels.

Cette connexion réussie a été identifiée comme anormale par le modèle de machine learning (ML) de détection d'anomalies GuardDuty. Le modèle de ML évalue tous les événements de connexion à la base de données dans votre Bases de données Amazon Aurora et Amazon RDS prises en charge et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de l'activité de connexion RDS, tels que l'utilisateur qui a fait la demande, l'emplacement d'origine la demande et les détails spécifiques de connexion à la base de données utilisés. Pour plus d'informations sur les événements de connexion potentiellement inhabituels, veuillez consulter Anomalies basées sur l'activité de connexion RDS.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, il est recommandé de modifier le mot de passe de l'utilisateur de base de données associé et de consulter les journaux d'audit disponibles pour détecter les activités effectuées par l'utilisateur anormal. Les résultats de gravité moyenne ou élevée peuvent indiquer que la stratégie d'accès à la base de données est trop permissive et que les informations d'identification des utilisateurs ont peut-être été divulguées ou compromises. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion réussie.

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

Une ou plusieurs tentatives de connexion infructueuses inhabituelles ont été observées sur une base de données RDS de votre compte.

Gravité par défaut : faible

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'un ou plusieurs échecs de connexion anormaux ont été observés sur une base de données RDS de votre environnement AWS L'échec des tentatives de connexion à partir d'adresses IP publiques peut indiquer que la base de données RDS de votre compte a fait l'objet d'une tentative d'attaque par force brute par un acteur potentiellement malveillant.

Ces échecs de connexion ont été identifiés comme anormaux par le modèle de machine learning (ML) de détection d'anomalies GuardDuty. Le modèle de ML évalue tous les événements de connexion à la base de données dans votre Bases de données Amazon Aurora et Amazon RDS prises en charge et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de l'activité de connexion RDS, tels que l'utilisateur qui a fait la demande, l'emplacement d'origine la demande et les détails spécifiques de connexion à la base de données utilisés. Pour plus d'informations sur les activités de connexion RDS potentiellement inhabituelles, veuillez consulter Anomalies basées sur l'activité de connexion RDS.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, cela peut indiquer que la base de données est exposée au public ou que la stratégie d'accès à la base de données est trop permissive. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion échouée.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

Un utilisateur est parvenu à se connecter à une base de données RDS de votre compte à partir d'une adresse IP publique de manière anormale en suivant un modèle constant de tentatives de connexion infructueuses inhabituelles.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'une connexion anormale impliquant une force brute réussie a été observée sur une base de données RDS dans votre environnement AWS. Avant une connexion réussie anormale, un modèle constant de tentatives de connexion infructueuses inhabituelles a été observé. Cela indique que l'utilisateur et le mot de passe associés à la base de données RDS dans votre compte ont peut-être été compromis et qu'un acteur potentiellement malveillant a peut-être accédé à la base de données RDS.

Cette connexion réussie par force brute a été identifiée comme anormale par le modèle de machine learning (ML) de détection d'anomalies GuardDuty. Le modèle de ML évalue tous les événements de connexion à la base de données dans votre Bases de données Amazon Aurora et Amazon RDS prises en charge et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de l'activité de connexion RDS, tels que l'utilisateur qui a fait la demande, l'emplacement d'origine la demande et les détails spécifiques de connexion à la base de données utilisés. Pour plus d'informations sur les activités de connexion RDS potentiellement inhabituelles, veuillez consulter Anomalies basées sur l'activité de connexion RDS.

Recommandations de correction :

Cette activité indique que les informations d'identification de la base de données ont peut-être été exposées ou compromises. Il est recommandé de modifier le mot de passe de l'utilisateur de base de données associé et de consulter les journaux d'audit disponibles pour prendre connaissance des activités effectuées par l'utilisateur potentiellement compromis. Un modèle constant de tentatives de connexion infructueuses inhabituelles indique une stratégie d'accès à la base de données trop permissive ou que la base de données peut également avoir été exposée publiquement. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion réussie.

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

Un utilisateur est parvenu à se connecter à une base de données RDS de votre compte à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'une activité de connexion RDS réussie s'est produite à partir d'une adresse IP associée à une activité malveillante connue dans votre environnement AWS. Cela indique que l'utilisateur et le mot de passe associés à la base de données RDS dans votre compte ont peut-être été compromis et qu'un acteur potentiellement malveillant a peut-être accédé à la base de données RDS.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, cela peut indiquer que les informations d'identification de l'utilisateur ont peut-être été exposées ou compromises. Il est recommandé de modifier le mot de passe de l'utilisateur de base de données associé et de consulter les journaux d'audit disponibles pour prendre connaissance des activités effectuées par l'utilisateur compromis. Cette activité peut également indiquer qu'il existe une stratégie d'accès trop permissive à la base de données ou que la base de données est exposée au public. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion réussie.

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

Une adresse IP associée à une activité malveillante connue a tenté en vain de se connecter à une base de données RDS dans votre compte.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'une adresse IP associée à une activité malveillante connue a tenté de se connecter à une base de données RDS dans votre environnement AWS, mais n'a pas fourni le nom d'utilisateur ou le mot de passe correct. Cela indique qu'un acteur potentiellement malveillant tente peut-être de compromettre la base de données RDS dans votre compte.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, cela peut indiquer que la stratégie d'accès à la base de données est trop permissive ou que la base de données est exposée au public. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion échouée.

Discovery:RDS/MaliciousIPCaller

Une adresse IP associée à une activité malveillante connue a effectué une recherche dans une base de données RDS de votre compte. Aucune tentative d'authentification n'a été effectuée.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'une adresse IP associée à une activité malveillante connue a effectué une recherche dans une base de données RDS dans votre environnement AWS, bien qu'aucune tentative de connexion n'ait été effectuée. Cela peut indiquer qu'un acteur potentiellement malveillant tente de rechercher une infrastructure accessible au public.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, cela peut indiquer que la stratégie d'accès à la base de données est trop permissive ou que la base de données est exposée au public. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion échouée.

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

Un utilisateur est parvenu à se connecter à une base de données RDS de votre compte à partir d'une adresse IP du nœud de sortie Tor.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'un utilisateur est parvenu à se connecter à une base de données RDS de votre environnement AWS, à partir d'une adresse IP du nœud de sortie Tor. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé aux ressources RDS dans votre compte, dans le but de masquer la véritable identité de l'utilisateur anonyme.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, cela peut indiquer que les informations d'identification de l'utilisateur ont peut-être été exposées ou compromises. Il est recommandé de modifier le mot de passe de l'utilisateur de base de données associé et de consulter les journaux d'audit disponibles pour prendre connaissance des activités effectuées par l'utilisateur compromis. Cette activité peut également indiquer qu'il existe une stratégie d'accès trop permissive à la base de données ou que la base de données est exposée au public. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion réussie.

CredentialAccess:RDS/TorIPCaller.FailedLogin

Une adresse IP Tor a tenté de se connecter sans succès à une base de données RDS dans votre compte.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'une adresse IP de nœud de sortie Tor a tenté de se connecter à une base de données RDS dans votre environnement AWS, mais n'a pas fourni le nom d'utilisateur ou le mot de passe correct. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé aux ressources RDS dans votre compte, dans le but de masquer la véritable identité de l'utilisateur anonyme.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, cela peut indiquer que la stratégie d'accès à la base de données est trop permissive ou que la base de données est exposée au public. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion échouée.

Discovery:RDS/TorIPCaller

Une adresse IP du nœud de sortie Tor a effectué une recherche dans une base de données RDS de votre compte, aucune tentative d'authentification n'a eu lieu.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance de l'activité de connexion RDS

Ce résultat vous informe qu'une adresse IP du nœud de sortie Tor a effectué une recherche dans une base de données RDS dans votre environnement AWS, bien qu'aucune tentative de connexion n'ait eu lieu. Cela peut indiquer qu'un acteur potentiellement malveillant tente de rechercher une infrastructure accessible au public. Tor est un logiciel permettant d'activer les communications anonymes. Il chiffre et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé aux ressources RDS dans votre compte, dans le but de masquer la véritable identité de l'acteur potentiellement malveillant.

Recommandations de correction :

Si cette activité est inattendue pour la base de données associée, cela peut indiquer que la stratégie d'accès à la base de données est trop permissive ou que la base de données est exposée au public. Il est recommandé de placer la base de données dans un VPC privé et de limiter les règles du groupe de sécurité afin d'autoriser le trafic provenant uniquement des sources nécessaires. Pour de plus amples informations, veuillez consulter Correction d'une base de données potentiellement compromise avec des événements de connexion échouée.