Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti Correzione di credenziali potenzialmente compromesse Limita l'accesso alla rete

Ripristino di un database potenzialmente compromesso

GuardDuty generi Tipi di esiti della Protezione RDS che indicano un comportamento di accesso potenzialmente sospetto e anomalo dopo l'attivazione. Database supportati GuardDuty Protezione RDS Utilizzando l'attività di accesso RDS, GuardDuty analizza e profila le minacce identificando modelli insoliti nei tentativi di accesso.

Nota

Puoi accedere alle informazioni complete su un tipo di esito selezionandolo dalla Tabella degli esiti.

Segui questi passaggi consigliati per correggere un database Amazon Aurora potenzialmente compromesso nel tuo ambiente. AWS

Argomenti

Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti
Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti
Correzione di credenziali potenzialmente compromesse
Limita l'accesso alla rete

Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti

I seguenti passaggi consigliati sono utili per correggere un database Aurora potenzialmente compromesso che presenta un comportamento insolito legato a eventi di accesso riusciti.

Identifica il database e l'utente interessati.

Il GuardDuty risultato generato fornisce il nome del database interessato e i dettagli utente corrispondenti. Per ulteriori informazioni, consulta Dettagli degli esiti.
Verifica se questo comportamento è previsto o non previsto.

L'elenco seguente specifica i potenziali scenari che potrebbero aver causato la generazione GuardDuty di un risultato:
- Un utente che accede al proprio database dopo un lungo periodo di tempo.
- Un utente che accede occasionalmente al proprio database, ad esempio un analista finanziario che accede ogni tre mesi.
- Un attore potenzialmente sospetto coinvolto in un tentativo di accesso riuscito può compromettere il database.
Inizia questa fase se il comportamento non è previsto.
1. Limita l'accesso al database
  
  Limita l'accesso al database per gli account sospetti e per l'origine di questa attività di accesso. Per ulteriori informazioni, consultare Correzione di credenziali potenzialmente compromesse e Limita l'accesso alla rete.
2. Valuta l'impatto e determina a quali informazioni è stato effettuato l'accesso.
  - Se disponibili, esamina i log di audit per identificare le informazioni a cui potrebbe essere stato effettuato l'accesso. Per ulteriori informazioni, consulta Monitoraggio di eventi, registri e flussi in un cluster di database Amazon Aurora nella Guida per l'utente di Amazon Aurora.
  - Determina se sono stati effettuati accessi o modifiche a informazioni sensibili o protette.

Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti

I seguenti passaggi consigliati sono utili per correggere un database Aurora potenzialmente compromesso che presenta un comportamento insolito legato a eventi di accesso falliti.

Identifica il database e l'utente interessati.

Il GuardDuty risultato generato fornisce il nome del database interessato e i dettagli utente corrispondenti. Per ulteriori informazioni, consulta Dettagli degli esiti.
Identifica l'origine dei tentativi di accesso falliti.

Il GuardDuty risultato generato fornisce l'indirizzo IP e l'organizzazione ASN (se si trattava di una connessione pubblica) nella sezione Attore del pannello di ricerca.

Un sistema autonomo (AS) è un gruppo di uno o più prefissi IP (elenchi di indirizzi IP accessibili su una rete) gestiti da uno o più operatori di rete che mantengono un'unica policy di instradamento chiaramente definita. Gli operatori di rete necessitano di numeri di sistema autonomi (ASN) per controllare l'instradamento all'interno delle proprie reti e scambiare informazioni di instradamento con altri provider di servizi Internet (ISP).
Verifica che questo comportamento non sia previsto.

Verifica nel modo seguente se questa attività rappresenta un tentativo di ottenere un ulteriore accesso non autorizzato al database:
- Se l'origine è interna, verifica se un'applicazione non è configurata correttamente e tenta ripetutamente di stabilire una connessione.
- Se si tratta di un attore esterno, verificate se il database corrispondente è pubblico o non correttamente configurato, permettendo così ai potenziali utenti malintenzionati di usare la forza bruta con nomi utente comuni.
Inizia questa fase se il comportamento non è previsto.
1. Limita l'accesso al database
  
  Limita l'accesso al database per gli account sospetti e per l'origine di questa attività di accesso. Per ulteriori informazioni, consultare Correzione di credenziali potenzialmente compromesse e Limita l'accesso alla rete.
2. Esegui l'analisi delle cause principali e determina i passaggi che potenzialmente hanno portato a questa attività.
  
  Imposta un avviso per ricevere una notifica quando un'attività modifica una policy di rete e crea uno stato di insicurezza. Per ulteriori informazioni, consulta Policy del firewall in AWS Network Firewall nella Guida per gli sviluppatori diAWS Network Firewall .

Correzione di credenziali potenzialmente compromesse

Un GuardDuty risultato può indicare che le credenziali dell'utente per un database interessato sono state compromesse quando l'utente identificato nel risultato ha eseguito un'operazione imprevista sul database. Puoi identificare l'utente nella sezione dei Dettagli utente del database RDS all'interno del pannello dell'esito nella console o all'interno dei resource.rdsDbUserDetails del file JSON degli esiti. Questi dettagli utente includono il nome utente, l'applicazione utilizzata, il database a cui si accede, la versione SSL e il metodo di autenticazione.

Per revocare l'accesso o ruotare le password per utenti specifici coinvolti nell'esito, consulta Sicurezza con Amazon Aurora MySQL o Sicurezza con Amazon Aurora PostgreSQL nella Guida per l'utente di Amazon Aurora.
Utilizzalo AWS Secrets Manager per archiviare in modo sicuro e ruotare automaticamente i segreti per i database Amazon Relational Database Service (RDS). Per ulteriori informazioni, consulta Tutorial diAWS Secrets Manager nella Guida per l'utente diAWS Secrets Manager .
Utilizza l'autenticazione del database IAM per gestire l'accesso degli utenti del database senza bisogno di password. Per ulteriori informazioni, consulta Autenticazione database IAM nella Guida per l'utente di Amazon Aurora.

Per ulteriori informazioni, consulta Best practice di sicurezza per Amazon Relational Database Service nella Guida per l'utente di Amazon RDS.

Limita l'accesso alla rete

Un GuardDuty risultato può indicare che un database è accessibile anche al di fuori delle applicazioni o del Virtual Private Cloud (VPC). Se l'indirizzo IP remoto indicato nell'esito è un'origine di connessione non prevista, controlla i gruppi di sicurezza. Un elenco dei gruppi di sicurezza collegati al database è disponibile in Gruppi di sicurezza nella console https://console.aws.amazon.com/rds/ o nei resource.rdsDbInstanceDetails.dbSecurityGroups del file JSON degli esiti. Per maggiori informazioni sulla configurazione dei gruppi di sicurezza, consulta Controllo dell'accesso con i gruppi di sicurezza nella Guida dell'utente di Amazon RDS.

Se utilizzi un firewall, limita l'accesso alla rete al database riconfigurando le liste di controllo degli accessi di rete (NACL). Per ulteriori informazioni, consulta Firewall in AWS Network Firewall nella Guida per gli sviluppatori diAWS Network Firewall .

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzione dei risultati del Runtime Monitoring

Correzione di una funzione Lambda potenzialmente compromessa