Tipi di esiti della Protezione RDS di GuardDuty - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di esiti della Protezione RDS di GuardDuty

La Protezione RDS di GuardDuty rileva eventuali comportamenti di accesso anomali sull'istanza di database. Gli esiti seguenti sono specifici per il Database Amazon Aurora e Amazon supportati RDS e avranno un Tipo di risorsa di RDSDBInstance. La gravità e i dettagli dei risultati saranno diversi in base al tipo di risultato.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account in modo anomalo.

Gravità predefinita: variabile

Nota

A seconda del comportamento anomalo associato a questo esito, la gravità predefinita può essere bassa, media e alta.

  • Bassa: se il nome utente associato a questo esito ha effettuato l'accesso da un indirizzo IP associato a una rete privata.

  • Media: se il nome utente associato a questo esito ha effettuato l'accesso da un indirizzo IP pubblico.

  • Alta: se viene individuata una serie di tentativi di accesso falliti da indirizzi IP pubblici, indicativo di policy di accesso troppo permissive.

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che è stato osservato un accesso anomalo riuscito a un database RDS nel tuo ambiente AWS. Ciò può indicare che un utente che non era mai stato rilevato in precedenza ha effettuato l'accesso a un database RDS per la prima volta. Uno scenario comune consiste nell'accesso da parte di un utente interno a un database a cui accedono le applicazioni a livello di programmazione, ma non i singoli utenti.

Questo accesso riuscito è stato identificato come anomalo dal modello di machine learning (ML) di GuardDuty per il rilevamento delle anomalie. Il modello di ML valuta tutti gli eventi di accesso al database nel tuo Database Amazon Aurora e Amazon supportati RDS e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori dell'attività di accesso RDS, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e i dettagli specifici di connessione al database utilizzati. Per informazioni sugli eventi di accesso potenzialmente insoliti, consulta Anomalie basate sull'attività di accesso RDS.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, ti consigliamo di modificare la password dell'utente del database e di esaminare i log di audit disponibili per le attività eseguite dall'utente anomalo. Gli esiti di gravità media e alta possono indicare che la policy di accesso al database è troppo permissiva e che le credenziali dell'utente potrebbero essere state esposte o compromesse. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti.

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

Uno o più tentativi di accesso insoliti falliti sono stati osservati su un database RDS del tuo account.

Gravità predefinita: bassa

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che sono stati osservati uno o più accessi anomali falliti su un database RDS nel tuo ambiente AWS. Un tentativo di accesso fallito da indirizzi IP pubblici può indicare che il database RDS del tuo account è stato oggetto di un tentativo di attacco di forza bruta da parte di un utente potenzialmente malintenzionato.

Questi accessi falliti sono stati identificati come anomali dal modello di machine learning (ML) di GuardDuty per il rilevamento delle anomalie. Il modello di ML valuta tutti gli eventi di accesso al database nel tuo Database Amazon Aurora e Amazon supportati RDS e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori dell'attività di accesso RDS, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e i dettagli specifici di connessione al database utilizzati. Per informazioni sulle attività di accesso RDS potenzialmente insolite, consulta Anomalie basate sull'attività di accesso RDS.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, può indicare che il database è esposto pubblicamente o che la policy di accesso al database è troppo permissiva. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account da un indirizzo IP pubblico in modo anomalo dopo una serie di tentativi di accesso insoliti falliti.

Gravità predefinita: alta

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che su un database RDS nel tuo ambiente AWS è stato osservato un accesso anomalo indicativo di un attacco di forza bruta riuscito. Prima di un accesso anomalo riuscito, è stata osservata una serie di tentativi di accesso insoliti falliti. Ciò indica che l'utente e la password associati al database RDS del tuo account potrebbero essere stati compromessi e che un utente potenzialmente malintenzionato potrebbe aver effettuato l'accesso al database RDS.

Questo accesso di forza bruta riuscito è stato identificato come anomalo dal modello di machine learning (ML) di GuardDuty per il rilevamento delle anomalie. Il modello di ML valuta tutti gli eventi di accesso al database nel tuo Database Amazon Aurora e Amazon supportati RDS e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori dell'attività di accesso RDS, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e i dettagli specifici di connessione al database utilizzati. Per informazioni sulle attività di accesso RDS potenzialmente insolite, consulta Anomalie basate sull'attività di accesso RDS.

Raccomandazioni per la correzione:

Questa attività indica che le credenziali del database potrebbero essere state esposte o compromesse. Ti consigliamo di modificare la password dell'utente del database associato e di esaminare i log di audit disponibili per le attività eseguite dall'utente potenzialmente compromesso. Una serie di tentativi di accesso insoliti falliti indica che la policy di accesso al database è troppo permissiva o che il database potrebbe essere stato esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti.

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account da un indirizzo IP dannoso noto.

Gravità predefinita: alta

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che si è verificata un'attività di accesso RDS riuscita a partire da un indirizzo IP associato a un'attività dannosa nota nel tuo ambiente AWS. Ciò indica che l'utente e la password associati al database RDS del tuo account potrebbero essere stati compromessi e che un utente potenzialmente malintenzionato potrebbe aver effettuato l'accesso al database RDS.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, può indicare che le credenziali dell'utente sono state esposte o compromesse. Ti consigliamo di modificare la password dell'utente del database associato e di esaminare i log di audit disponibili per le attività eseguite dall'utente compromesso. Questa attività può anche indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti.

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

Un indirizzo IP associato a un'attività dannosa nota ha tentato di accedere a un database RDS del tuo account, senza riuscirci.

Gravità predefinita: media

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che un indirizzo IP associato ad attività dannose note ha tentato di accedere a un database RDS nel tuo ambiente AWS, ma non è riuscito a fornire il nome utente o la password corretti. Ciò indica che un utente potenzialmente malintenzionato potrebbe tentare di compromettere il database RDS del tuo account.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti.

Discovery:RDS/MaliciousIPCaller

Un database RDS del tuo account è stato sottoposto a probing da un indirizzo IP associato a un'attività dannosa nota, ma non è stato effettuato alcun tentativo di autenticazione.

Gravità predefinita: media

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che un database RDS nel tuo ambiente AWS è stato sottoposto a probing da un indirizzo IP associato a un'attività dannosa nota, anche se non è stato effettuato alcun tentativo di accesso. Ciò può indicare che un utente potenzialmente malintenzionato è alla ricerca di un'infrastruttura accessibile pubblicamente.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti.

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account dall'indirizzo IP di un nodo di uscita Tor.

Gravità predefinita: alta

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che un utente ha effettuato correttamente l'accesso a un database RDS nel tuo ambiente AWS dall'indirizzo IP di un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relè tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse RDS del tuo account con l'intento di nascondere la vera identità dell'utente anonimo.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, può indicare che le credenziali dell'utente sono state esposte o compromesse. Ti consigliamo di modificare la password dell'utente del database associato e di esaminare i log di audit disponibili per le attività eseguite dall'utente compromesso. Questa attività può anche indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti.

CredentialAccess:RDS/TorIPCaller.FailedLogin

Un indirizzo IP Tor ha tentato di accedere a un database RDS del tuo account, senza riuscirci.

Gravità predefinita: media

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che l'indirizzo IP di un nodo di uscita Tor ha tentato di accedere a un database RDS nel tuo ambiente AWS, ma non è riuscito a fornire il nome utente o la password corretti. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relè tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse RDS del tuo account con l'intento di nascondere la vera identità dell'utente anonimo.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti.

Discovery:RDS/TorIPCaller

Un database RDS del tuo account è stato sottoposto a probing dall'indirizzo IP di un nodo di uscita Tor, ma non è stato effettuato alcun tentativo di autenticazione.

Gravità predefinita: media

  • Funzionalità: monitoraggio delle attività di accesso RDS

Questo esito segnala che un database RDS nel tuo ambiente AWS è stato sottoposto a probing dall'indirizzo IP di un nodo di uscita Tor, anche se non è stato effettuato alcun tentativo di accesso. Ciò può indicare che un utente potenzialmente malintenzionato è alla ricerca di infrastrutture accessibili pubblicamente. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relè tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse RDS del tuo account con l'intento di nascondere la vera identità dell'utente potenzialmente malintenzionato.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti.