GuardDutyJenis temuan Perlindungan RDS - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDutyJenis temuan Perlindungan RDS

GuardDutyRDS Protection mendeteksi perilaku login anomali pada instance database Anda. Temuan berikut ini khusus untukBasis data Amazon Aurora dan Amazon RDS yang didukungdan akan memilikiJenis Sumber DayadariRDSDBInstance. Tingkat keparahan dan detail temuan akan berbeda berdasarkan jenis temuan.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

Seorang pengguna berhasil login ke database RDS di akun Anda dengan cara yang anomali.

Tingkat keparahan default: Variabel

catatan

Bergantung pada perilaku anomali yang terkait dengan temuan ini, tingkat keparahan default dapat Rendah, Sedang, dan Tinggi.

  • Rendah- Jika nama pengguna yang terkait dengan temuan ini masuk dari alamat IP yang dikaitkan dengan jaringan pribadi.

  • Sedang- Jika nama pengguna yang terkait dengan temuan ini masuk dari alamat IP publik.

  • Tinggi- Jika ada pola yang konsisten dari upaya login gagal dari alamat IP publik yang menunjukkan kebijakan akses yang terlalu permisif.

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa login sukses anomali diamati pada database RDS di AndaAWSlingkungan. Ini mungkin menunjukkan bahwa pengguna tak terlihat sebelumnya login ke database RDS untuk pertama kalinya. Skenario umum adalah pengguna internal yang masuk ke database yang diakses secara terprogram oleh aplikasi dan bukan oleh pengguna individu.

Login yang berhasil ini diidentifikasi sebagai anomali olehGuardDutymodel pembelajaran mesin deteksi anomali (ML). Model MLmengevaluasi semua peristiwa login database diBasis data Amazon Aurora dan Amazon RDS yang didukungdan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Model MLmelacak berbagai faktor aktivitas login RDS seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, dan detail koneksi database spesifik yang digunakan. Untuk informasi tentang peristiwa login yang berpotensi tidak biasa, lihatAnomali berbasis aktivitas login RDS.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, disarankan untuk mengubah sandi pengguna database terkait, dan meninjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna anomali. Temuan tingkat keparahan sedang dan tinggi dapat mengindikasikan bahwa ada kebijakan akses yang terlalu permisif ke database, dan kredensi pengguna mungkin telah terungkap atau disusupi. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

Satu atau lebih upaya login gagal yang tidak biasa diamati pada database RDS di akun Anda.

Tingkat keparahan default: Rendah

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa satu atau lebih login gagal anomali diamati pada database RDS di AndaAWSlingkungan. Upaya login yang gagal dari alamat IP publik dapat menunjukkan bahwa database RDS di akun Anda telah mengalami percobaan serangan brute force oleh aktor yang berpotensi jahat.

Login yang gagal ini diidentifikasi sebagai anomali olehGuardDutymodel pembelajaran mesin deteksi anomali (ML). Model MLmengevaluasi semua peristiwa login database diBasis data Amazon Aurora dan Amazon RDS yang didukungdan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Model MLmelacak berbagai faktor aktivitas login RDS seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, dan detail koneksi database spesifik yang digunakan. Untuk informasi tentang aktivitas login RDS yang berpotensi tidak biasa, lihatAnomali berbasis aktivitas login RDS.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, ini mungkin menunjukkan bahwa database diekspos secara publik atau ada kebijakan akses yang terlalu permisif ke database. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

Seorang pengguna berhasil masuk ke database RDS di akun Anda dari alamat IP publik dengan cara yang anomali setelah pola yang konsisten dari upaya login gagal yang tidak biasa.

Tingkat keparahan default: Tinggi

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa indikatif login anomali dari brute force yang berhasil diamati pada database RDS di AndaAWSlingkungan. Sebelum login berhasil anomali, pola konsisten dari upaya login gagal yang tidak biasa diamati. Ini menunjukkan bahwa pengguna dan kata sandi yang terkait dengan database RDS di akun Anda mungkin telah disusupi, dan database RDS mungkin telah diakses oleh aktor yang berpotensi jahat.

Login brute force yang berhasil ini diidentifikasi sebagai anomali olehGuardDutymodel pembelajaran mesin deteksi anomali (ML). Model MLmengevaluasi semua peristiwa login database diBasis data Amazon Aurora dan Amazon RDS yang didukungdan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Model MLmelacak berbagai faktor aktivitas login RDS seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, dan detail koneksi database spesifik yang digunakan. Untuk informasi tentang aktivitas login RDS yang berpotensi tidak biasa, lihatAnomali berbasis aktivitas login RDS.

Rekomendasi remediasi:

Aktivitas ini menunjukkan bahwa kredensi database mungkin telah diekspos atau disusupi. Dianjurkan untuk mengubah kata sandi pengguna database terkait, dan meninjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna yang berpotensi disusupi. Pola yang konsisten dari upaya login gagal yang tidak biasa menunjukkan kebijakan akses yang terlalu permisif ke database atau database mungkin juga telah diekspos publik. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

Pengguna berhasil masuk ke database RDS di akun Anda dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa aktivitas login RDS yang berhasil terjadi dari alamat IP yang dikaitkan dengan aktivitas berbahaya yang diketahui di AndaAWSlingkungan. Ini menunjukkan bahwa pengguna dan kata sandi yang terkait dengan database RDS di akun Anda mungkin telah disusupi, dan database RDS mungkin telah diakses oleh aktor yang berpotensi jahat.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, aktivitas ini mungkin menunjukkan bahwa kredensi pengguna mungkin telah diekspos atau disusupi. Dianjurkan untuk mengubah kata sandi pengguna database terkait, dan meninjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna yang disusupi. Aktivitas ini juga dapat menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke database atau database diekspos secara publik. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

Alamat IP yang dikaitkan dengan aktivitas berbahaya yang diketahui gagal mencoba masuk ke database RDS di akun Anda.

Tingkat keparahan default: Sedang

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa alamat IP yang terkait dengan aktivitas berbahaya yang diketahui mencoba masuk ke database RDS di database AndaAWSlingkungan, tetapi gagal memberikan nama pengguna atau kata sandi yang benar. Ini menunjukkan bahwa aktor yang berpotensi jahat mungkin mencoba untuk membahayakan database RDS di akun Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, ini mungkin menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke database atau database diekspos secara publik. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.

Discovery:RDS/MaliciousIPCaller

Alamat IP yang dikaitkan dengan aktivitas berbahaya yang diketahui memeriksa database RDS di akun Anda; tidak ada upaya otentikasi yang dilakukan.

Tingkat keparahan default: Sedang

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa alamat IP yang terkait dengan aktivitas berbahaya yang diketahui memeriksa database RDS di AndaAWSlingkungan, meskipun tidak ada upaya login yang dilakukan. Ini mungkin menunjukkan bahwa aktor yang berpotensi jahat sedang mencoba memindai infrastruktur yang dapat diakses publik.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, ini mungkin menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke database atau database diekspos secara publik. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

Seorang pengguna berhasil masuk ke database RDS di akun Anda dari alamat IP node keluar Tor.

Tingkat keparahan default: Tinggi

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa pengguna berhasil masuk ke database RDS di AndaAWSlingkungan, dari alamat IP node keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke sumber daya RDS di akun Anda, dengan maksud menyembunyikan identitas asli pengguna anonim.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, aktivitas ini mungkin menunjukkan bahwa kredensi pengguna mungkin telah diekspos atau disusupi. Dianjurkan untuk mengubah kata sandi pengguna database terkait, dan meninjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna yang disusupi. Aktivitas ini juga dapat menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke database atau database diekspos secara publik. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.

CredentialAccess:RDS/TorIPCaller.FailedLogin

Alamat IP Tor berusaha untuk tidak berhasil masuk ke database RDS di akun Anda.

Tingkat keparahan default: Sedang

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa alamat IP node keluar Tor mencoba masuk ke database RDS diAWSlingkungan, tetapi gagal memberikan nama pengguna atau kata sandi yang benar. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke sumber daya RDS di akun Anda, dengan maksud menyembunyikan identitas asli pengguna anonim.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, ini mungkin menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke database atau database diekspos secara publik. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.

Discovery:RDS/TorIPCaller

Alamat IP node keluar Tor memeriksa database RDS di akun Anda, tidak ada upaya otentikasi yang dilakukan.

Tingkat keparahan default: Sedang

  • Fitur:Pemantauan aktivitas login RDS

Temuan ini memberi tahu Anda bahwa alamat IP node keluar Tor menyelidiki database RDS di AndaAWSlingkungan, meskipun tidak ada upaya login yang dilakukan. Ini mungkin menunjukkan bahwa aktor yang berpotensi jahat sedang mencoba memindai infrastruktur yang dapat diakses publik. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak memantul komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Ini dapat menunjukkan akses tidak sah ke sumber daya RDS di akun Anda, dengan maksud menyembunyikan identitas asli aktor yang berpotensi jahat.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk database terkait, ini mungkin menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke database atau database diekspos secara publik. Disarankan untuk menempatkan database di VPC pribadi, dan membatasi aturan grup keamanan untuk memungkinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.