Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal Memulihkan kredensyal yang berpotensi dikompromikan Batasi akses jaringan

Memulihkan database yang berpotensi dikompromikan

GuardDuty menghasilkan Jenis temuan Perlindungan RDS yang menunjukkan perilaku login yang berpotensi mencurigakan dan anomali di Anda Database yang didukung setelah Anda mengaktifkan. GuardDuty Perlindungan RDS Menggunakan aktivitas login RDS, GuardDuty analisis dan profil ancaman dengan mengidentifikasi pola yang tidak biasa dalam upaya login.

catatan

Anda dapat mengakses informasi lengkap tentang jenis temuan dengan memilihnya dari fileTabel temuan.

Ikuti langkah-langkah yang disarankan ini untuk memulihkan database Amazon Aurora yang berpotensi dikompromikan di lingkungan Anda. AWS

Topik

Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil
Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal
Memulihkan kredensyal yang berpotensi dikompromikan
Batasi akses jaringan

Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil

Langkah-langkah yang disarankan berikut dapat membantu Anda memulihkan database Aurora yang berpotensi dikompromikan yang menunjukkan perilaku tidak biasa terkait dengan peristiwa login yang berhasil.

Identifikasi database dan pengguna yang terpengaruh.

GuardDuty Temuan yang dihasilkan memberikan nama database yang terpengaruh dan detail pengguna yang sesuai. Untuk informasi selengkapnya, lihat Detail temuan.
Konfirmasikan apakah perilaku ini diharapkan atau tidak terduga.

Daftar berikut menentukan skenario potensial yang mungkin menyebabkan GuardDuty untuk menghasilkan temuan:
- Seorang pengguna yang masuk ke database mereka setelah waktu yang lama berlalu.
- Seorang pengguna yang masuk ke database mereka sesekali, misalnya, seorang analis keuangan yang log in di setiap kuartal.
- Aktor yang berpotensi mencurigakan yang terlibat dalam upaya login yang berhasil berpotensi membahayakan database.
Mulailah langkah ini jika perilakunya tidak terduga.
1. Batasi akses database
  
  Batasi akses database untuk akun yang dicurigai dan sumber aktivitas login ini. Lihat informasi yang lebih lengkap di Memulihkan kredensyal yang berpotensi dikompromikan dan Batasi akses jaringan.
2. Menilai dampak dan menentukan informasi apa yang diakses.
  - Jika tersedia, tinjau log audit untuk mengidentifikasi potongan-potongan informasi yang mungkin telah diakses. Untuk informasi selengkapnya, lihat Memantau peristiwa, log, dan aliran di klaster DB Amazon Aurora di Panduan Pengguna Amazon Aurora.
  - Tentukan apakah ada informasi sensitif atau dilindungi yang diakses atau dimodifikasi.

Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal

Langkah-langkah yang disarankan berikut dapat membantu Anda memulihkan database Aurora yang berpotensi dikompromikan yang menunjukkan perilaku yang tidak biasa terkait dengan peristiwa login yang gagal.

Identifikasi database dan pengguna yang terpengaruh.

GuardDuty Temuan yang dihasilkan memberikan nama database yang terpengaruh dan detail pengguna yang sesuai. Untuk informasi selengkapnya, lihat Detail temuan.
Identifikasi sumber upaya login yang gagal.

GuardDuty Temuan yang dihasilkan menyediakan alamat IP dan organisasi ASN (jika itu adalah koneksi publik) di bawah bagian Aktor dari panel pencarian.

Autonomous System (AS) adalah sekelompok satu atau lebih awalan IP (daftar alamat IP yang dapat diakses pada jaringan) yang dijalankan oleh satu atau lebih operator jaringan yang mempertahankan kebijakan routing tunggal yang didefinisikan dengan jelas. Operator jaringan membutuhkan Autonomous System Numbers (ASN) untuk mengontrol routing dalam jaringan mereka dan untuk bertukar informasi routing dengan penyedia layanan internet (ISP) lainnya.
Konfirmasikan bahwa perilaku ini tidak terduga.

Periksa apakah aktivitas ini merupakan upaya untuk mendapatkan akses tidak sah tambahan ke database sebagai berikut:
- Jika sumbernya internal, periksa apakah aplikasi salah konfigurasi dan coba koneksi berulang kali.
- Jika ini adalah aktor eksternal, periksa apakah database yang sesuai menghadap publik atau salah konfigurasi dan dengan demikian memungkinkan pelaku jahat potensial untuk secara kasar memaksa nama pengguna umum.
Mulailah langkah ini jika perilakunya tidak terduga.
1. Batasi akses database
  
  Batasi akses database untuk akun yang dicurigai dan sumber aktivitas login ini. Lihat informasi yang lebih lengkap di Memulihkan kredensyal yang berpotensi dikompromikan dan Batasi akses jaringan.
2. Lakukan analisis akar penyebab dan tentukan langkah-langkah yang berpotensi menyebabkan aktivitas ini.
  
  Siapkan peringatan untuk mendapatkan pemberitahuan saat aktivitas mengubah kebijakan jaringan dan membuat status tidak aman. Untuk informasi selengkapnya, lihat Kebijakan Firewall AWS Network Firewalldi PanduanAWS Network Firewall Pengembang.

Memulihkan kredensyal yang berpotensi dikompromikan

GuardDuty Temuan dapat menunjukkan bahwa kredensyal pengguna untuk database yang terpengaruh telah dikompromikan ketika pengguna yang diidentifikasi dalam temuan telah melakukan operasi database yang tidak terduga. Anda dapat mengidentifikasi pengguna di bagian detail pengguna RDS DB dalam panel pencarian di konsol, atau di resource.rdsDbUserDetails dalam temuan JSON. Detail pengguna ini termasuk nama pengguna, aplikasi yang digunakan, database diakses, versi SSL, dan metode otentikasi.

Untuk mencabut akses atau memutar kata sandi untuk pengguna tertentu yang terlibat dalam temuan, lihat Keamanan dengan Amazon Aurora MySQL, atau Keamanan dengan Amazon Aurora PostgreSQL di Panduan Pengguna Amazon Aurora.
Gunakan AWS Secrets Manager untuk menyimpan dengan aman dan secara otomatis memutar rahasia untuk database Amazon Relational Database Service (RDS). Untuk informasi selengkapnya, lihat AWS Secrets Manager tutorial di PanduanAWS Secrets Manager Pengguna.
Gunakan autentikasi basis data IAM untuk mengelola akses pengguna database tanpa perlu kata sandi. Untuk informasi selengkapnya, lihat autentikasi database IAM di Panduan Pengguna Amazon Aurora.

Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon Relational Database Service di Panduan Pengguna Amazon RDS.

Batasi akses jaringan

GuardDuty Temuan mungkin menunjukkan bahwa database dapat diakses di luar aplikasi Anda, atau Virtual Private Cloud (VPC). Jika alamat IP jarak jauh dalam temuan adalah sumber koneksi yang tidak terduga, audit grup keamanan. Daftar grup keamanan yang dilampirkan ke database tersedia di bawah Grup keamanan di konsol https://console.aws.amazon.com/rds/, atau di resource.rdsDbInstanceDetails.dbSecurityGroups temuan JSON. Untuk informasi selengkapnya tentang mengonfigurasi grup keamanan, lihat Mengontrol akses dengan grup keamanan di Panduan Pengguna Amazon RDS.

Jika Anda menggunakan firewall, batasi akses jaringan ke database dengan mengkonfigurasi ulang Network Access Control Lists (NACLS). Untuk informasi selengkapnya, lihat Firewall AWS Network Firewalldi PanduanAWS Network Firewall Pengembang.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Remediasi temuan Runtime Monitoring

Memperbaiki fungsi Lambda yang berpotensi dikompromikan