GuardDuty Protection RDS - Amazon GuardDuty
Bases de données prises en chargeComment la protection RDS utilise-t-elle la surveillance de l'activité de connexion RDS ?Configuration de la protection RDS pour un compte autonomeConfiguration de la protection RDS dans des environnements à comptes multiples

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty Protection RDS

Dans Amazon, RDS Protection GuardDuty analyse et profile l'activité de connexion RDS pour détecter les menaces d'accès potentielles à vos bases de données Amazon Aurora (édition compatible Amazon Aurora MySQL et édition compatible Aurora PostgreSQL). Cette fonctionnalité vous permet d'identifier les comportements de connexion potentiellement suspects. La protection RDS ne nécessite aucune infrastructure supplémentaire ; elle est conçue de manière à ne pas affecter les performances de vos instances de base de données.

Lorsque RDS Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, elle GuardDuty génère une nouvelle découverte contenant des informations sur la base de données potentiellement compromise.

Vous pouvez activer ou désactiver la fonctionnalité de protection RDS pour n'importe quel compte, Région AWS partout où cette fonctionnalité est disponible sur Amazon GuardDuty, à tout moment. Un GuardDuty compte existant peut activer RDS Protection avec une période d'essai de 30 jours. Pour un nouveau GuardDuty compte, la protection RDS est déjà activée et incluse dans la période d'essai gratuite de 30 jours. Pour plus d’informations, consultez Estimation du coût.

Note

Lorsque la fonction de protection RDS n'est pas activée, elle GuardDuty ne collecte pas votre activité de connexion RDS et ne détecte aucun comportement de connexion anormal ou suspect.

Pour plus d'informations sur Régions AWS Where qui GuardDuty ne prend pas encore en charge la protection RDS, consultezDisponibilité des fonctionnalités propres à la région.

Bases de données Amazon Aurora prises en charge

Le tableau suivant indique les versions de base de données Aurora prises en charge.

Moteur de base de données Amazon Aurora Versions de moteur prises en charge

Aurora MySQL

  • Versions 2.10.2 ou ultérieures

  • Versions 3.02.1 ou ultérieures

Aurora PostgreSQL

  • Versions 10.17 ou ultérieures

  • Versions 11.12 ou ultérieures

  • Versions 12.7 ou ultérieures

  • Versions 13.3 ou ultérieures

  • Versions 14.3 ou ultérieures

  • 15.2 ou version ultérieure

  • 16.1 ou version ultérieure

Comment la protection RDS utilise-t-elle la surveillance de l'activité de connexion RDS ?

La protection RDS d'Amazon vous GuardDuty aide à protéger les bases de données Amazon Aurora (Aurora) prises en charge dans votre compte. Après avoir activé la fonction de protection RDS, commence GuardDuty immédiatement à surveiller l'activité de connexion RDS à partir des bases de données Aurora de votre compte. GuardDuty surveille et profile en permanence l'activité de connexion RDS pour détecter toute activité suspecte, par exemple un accès non autorisé à la base de données Aurora sur votre compte, par un acteur externe invisible auparavant. Lorsque vous activez la protection RDS pour la première fois ou que vous avez une instance de base de données nouvellement créée, une période d'apprentissage est nécessaire pour définir un comportement normal. Pour cette raison, il est possible que les instances de base de données nouvellement activées ou créées n'aient aucun résultat de connexion anormale pendant jusqu'à deux semaines. Pour plus d’informations, consultez Surveillance de l'activité de connexion RDS.

Lorsque RDS Protection détecte une menace potentielle, telle qu'un schéma inhabituel issu d'une série de tentatives de connexion réussies, échouées ou incomplètes, GuardDuty génère un nouveau résultat contenant des informations détaillées sur l'instance de base de données potentiellement compromise. Pour plus d’informations, consultez Types de résultat de la protection RDS. Si vous désactivez la protection RDS, la surveillance de l'activité de connexion RDS est GuardDuty immédiatement interrompue et aucune menace potentielle ne peut être détectée pour les instances de base de données prises en charge.

Note

GuardDuty ne gère pas votre activité de connexion Bases de données prises en charge ou celle de RDS, et ne met pas l'activité de connexion RDS à votre disposition.

Configuration de la protection RDS pour un compte autonome

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Protection RDS.

  3. La page Protection RDS indique l'état actuel de votre compte. Vous pouvez activer ou désactiver la fonctionnalité à tout moment en sélectionnant Activer ou Désactiver. Confirmez votre sélection.

API/CLI

Exécutez l'opération d'API updateDetector en utilisant votre propre ID de détecteur régional et en transmettant l'objet features name en tant que RDS_LOGIN_EVENTS et status en tant que ENABLED ou DISABLED.

Vous pouvez également activer ou désactiver la protection RDS en exécutant la AWS CLI commande suivante. Assurez-vous d'utiliser votre propre ID de détecteur valide.

Note

L'exemple de code suivant active la protection RDS. Pour la désactiver, remplacez ENABLED par DISABLED.

Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'

Configuration de la protection RDS dans des environnements à comptes multiples

Dans un environnement à comptes multiples, seul le compte d' GuardDuty administrateur délégué a la possibilité d'activer ou de désactiver la fonctionnalité de protection RDS pour les comptes des membres de son organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Ce compte d' GuardDuty administrateur délégué peut choisir d'activer automatiquement la surveillance des activités de connexion RDS pour tous les nouveaux comptes lorsqu'ils rejoignent l'organisation. Pour plus d'informations sur les environnements à comptes multiples, consultez Gérer plusieurs comptes sur Amazon. GuardDuty

Choisissez votre méthode d'accès préférée pour configurer la surveillance de l'activité de connexion RDS pour le compte d' GuardDuty administrateur délégué.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte de gestion.

  2. Dans le panneau de navigation, choisissez Protection RDS.

  3. Sur la page Protection RDS, choisissez Modifier.

  4. Effectuez l’une des actions suivantes :

    Utilisation d'Activer pour tous les comptes

    • Choisissez Activer pour tous les comptes. Cela activera le plan de protection pour tous les GuardDuty comptes actifs de votre AWS organisation, y compris les nouveaux comptes qui rejoignent l'organisation.

    • Choisissez Enregistrer.

    Utilisation de Configurer les comptes manuellement

    • Pour activer le plan de protection uniquement pour le compte GuardDuty administrateur délégué, choisissez Configurer les comptes manuellement.

    • Choisissez Activer dans la section compte GuardDuty administrateur délégué (ce compte).

    • Choisissez Enregistrer.

API/CLI

Exécutez l'opération d'API updateDetector en utilisant votre propre ID de détecteur régional et en transmettant l'objet features name en tant que RDS_LOGIN_EVENTS et status en tant que ENABLED ou DISABLED.

Vous pouvez activer ou désactiver la protection RDS en exécutant la AWS CLI commande suivante. Assurez-vous d'utiliser l'identifiant de détecteur valide du compte GuardDuty administrateur délégué.

Note

L'exemple de code suivant active la protection RDS. Pour la désactiver, remplacez ENABLED par DISABLED.

Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Choisissez votre méthode d'accès préférée pour activer la fonctionnalité de protection RDS pour tous les comptes membres. Cela inclut les comptes membres existants et les nouveaux comptes qui rejoignent l'organisation.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Effectuez l’une des actions suivantes :

    Utilisation de la page Protection RDS

    1. Dans le panneau de navigation, choisissez Protection RDS.

    2. Choisissez Activer pour tous les comptes. Cette action active automatiquement la protection RDS pour les comptes existants et nouveaux de l'organisation.

    3. Choisissez Enregistrer.

      Note

      La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

    Utilisation de la page Comptes

    1. Dans le panneau de navigation, choisissez Accounts (Comptes).

    2. Sur la page Comptes, choisissez les préférences d'activation automatique avant Ajouter des comptes par invitation.

    3. Dans la fenêtre Gérer les préférences d'activation automatique, choisissez Activer pour tous les comptes sous Surveillance de l'activité de connexion RDS.

    4. Choisissez Enregistrer.

    Si vous ne pouvez pas utiliser l'option Activer pour tous les comptes, veuillez consulter Activer ou désactiver la protection RDS de manière sélective pour les comptes membres.

API/CLI

  • Pour activer ou désactiver la protection RDS de manière sélective pour vos comptes membres, invoquez l'opération d'API updateMemberDetectors en utilisant votre propre ID de détecteur.

  • L'exemple suivant montre comment vous pouvez activer la protection RDS pour un compte membre unique. Pour la désactiver, remplacez ENABLED par DISABLED.

    Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    Note

    Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

  • Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Choisissez votre méthode d'accès préférée pour activer la protection RDS pour tous les comptes membres actifs existants de votre organisation.

Console
Pour configurer la protection RDS pour tous les comptes membres actifs existants

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

    Connectez-vous à l'aide des informations d'identification du compte GuardDuty administrateur délégué.

  2. Dans le panneau de navigation, choisissez Protection RDS.

  3. Sur la page Protection RDS, vous pouvez afficher l'état actuel de la configuration. Dans la section Comptes membres actifs, choisissez Actions.

  4. Dans le menu déroulant Actions, choisissez Activer pour tous les comptes membres actifs existants.

  5. Choisissez Confirmer.

API/CLI

  • Pour activer ou désactiver la protection RDS de manière sélective pour vos comptes membres, invoquez l'opération d'API updateMemberDetectors en utilisant votre propre ID de détecteur.

  • L'exemple suivant montre comment vous pouvez activer la protection RDS pour un compte membre unique. Pour la désactiver, remplacez ENABLED par DISABLED.

    Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    Note

    Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

  • Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Choisissez votre méthode d'accès préférée pour activer l'activité de connexion RDS pour les nouveaux comptes qui rejoignent votre organisation.

Console

Le compte d' GuardDuty administrateur délégué peut activer de nouveaux comptes membres dans une organisation via la console, en utilisant soit la protection RDS, soit la page des comptes.

Pour activer automatiquement la protection RDS pour les nouveaux comptes membres

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Effectuez l’une des actions suivantes :

    • Utilisation de la page Protection RDS :

      1. Dans le panneau de navigation, choisissez Protection RDS.

      2. Sur la page Protection RDS, choisissez Modifier.

      3. Choisissez Configurer les comptes manuellement.

      4. Sélectionnez Activer automatiquement pour les nouveaux comptes membres. Cette étape garantit que chaque fois qu'un nouveau compte rejoint votre organisation, la protection RDS sera automatiquement activée pour son compte. Seul le compte GuardDuty administrateur délégué de l'organisation peut modifier cette configuration.

      5. Choisissez Enregistrer.

    • Utilisation de la page Comptes :

      1. Dans le panneau de navigation, choisissez Accounts (Comptes).

      2. Sur la page Comptes, choisissez les préférences d'activation automatique.

      3. Dans la fenêtre Gérer les préférences d'activation automatique, sélectionnez Activer pour tous les comptes sous Surveillance de l'activité de connexion RDS.

      4. Choisissez Enregistrer.

API/CLI

  • Pour activer ou désactiver la protection RDS de manière sélective pour vos comptes membres, invoquez l'opération d'API UpdateOrganizationConfiguration en utilisant votre propre ID de détecteur.

  • L'exemple suivant montre comment vous pouvez activer la protection RDS pour un compte membre unique. Pour la désactiver, veuillez consulter Activer ou désactiver la protection RDS de manière sélective pour les comptes membres. Si vous ne souhaitez pas l'activer pour tous les nouveaux comptes qui rejoignent l'organisation, définissez autoEnable sur NONE.

    Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
    Note

    Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

  • Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Choisissez votre méthode d'accès préférée pour activer ou désactiver de manière sélective la surveillance de l'activité de connexion RDS pour les comptes membres.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Dans le panneau de navigation, choisissez Accounts (Comptes).

    Sur la page Comptes, veuillez consulter la colonne Activité de connexion RDS pour connaître l'état de votre compte membre.

  3. Pour activer ou désactiver de manière sélective l'activité de connexion RDS

    Sélectionnez le compte pour lequel vous souhaitez configurer la protection RDS. Vous pouvez sélectionner plusieurs comptes à la fois. Dans le menu déroulant Modifier les plans de protection, choisissez Activité de connexion RDS, puis choisissez l'option appropriée.

API/CLI

Pour activer ou désactiver la protection RDS de manière sélective pour vos comptes membres, invoquez l'opération d'API updateMemberDetectors en utilisant votre propre ID de détecteur.

L'exemple suivant montre comment vous pouvez activer la protection RDS pour un compte membre unique. Pour la désactiver, remplacez ENABLED par DISABLED.

Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
Note

Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.