RDSProtezione in GuardDuty - Amazon GuardDuty
Database supportatiIn che modo RDS Protection utilizza il monitoraggio delle attività RDS di accessoConfigurazione RDS della protezione per un account autonomoConfigurazione della RDS protezione in ambienti con più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

RDSProtezione in GuardDuty

RDSLa protezione in Amazon GuardDuty analizza e profila l'attività di RDS accesso per potenziali minacce di accesso ai tuoi database Amazon Aurora (Amazon Aurora My -Compatible Edition e Aurora Postgre SQL -Compatible Edition) e Amazon for SQL Postgre. RDS SQL La funzionalità consente di identificare comportamenti di accesso potenzialmente sospetti. RDSLa protezione non richiede un'infrastruttura aggiuntiva; è progettata in modo da non influire sulle prestazioni delle istanze di database.

Quando RDS Protection rileva un tentativo di accesso potenzialmente sospetto o anomalo che indica una minaccia per il database, GuardDuty genera una nuova scoperta con dettagli sul database potenzialmente compromesso.

Puoi abilitare o disabilitare la funzione di RDS protezione per qualsiasi account in qualsiasi Regione AWS luogo in cui questa funzione è disponibile in Amazon GuardDuty, in qualsiasi momento. Un GuardDuty account esistente può abilitare RDS Protection con un periodo di prova di 30 giorni. Per un nuovo GuardDuty account, RDS la protezione è già abilitata e inclusa nel periodo di prova gratuito di 30 giorni. Per ulteriori informazioni, consulta Stima del costo.

Nota

Quando la funzionalità di RDS protezione non è abilitata, GuardDuty non raccoglie le attività di RDS accesso dell'utente né rileva comportamenti di accesso anomali o sospetti.

Per informazioni su Regioni AWS dove GuardDuty non supporta ancora la protezione, consulta. RDS Disponibilità di funzionalità specifiche per ogni regione

Database Amazon Aurora e Amazon supportati RDS

La tabella seguente mostra le versioni dei RDS database Aurora e Amazon supportate.

Amazon Aurora e il motore Amazon DB RDS Versioni del motore supportate

Aurora Mia SQL

  • 2.10.2 o versioni successive

  • 3.02.1 o versioni successive

Aurora Postgre SQL

  • 10.17 o versioni successive

  • 11.12 o versioni successive

  • 12.7 o versioni successive

  • 13.3 o versioni successive

  • 14.3 o versioni successive

  • 15.2 o versione successiva

  • 16.1 o versione successiva
RDSper Postgre SQL

In che modo RDS Protection utilizza il monitoraggio delle attività RDS di accesso

RDSLa protezione in Amazon ti GuardDuty aiuta a proteggere i database Amazon Aurora (Aurora) supportati nel tuo account. Dopo aver abilitato la funzionalità di RDS protezione, inizia GuardDuty immediatamente a monitorare l'attività di RDS accesso dai database Aurora nel tuo account. GuardDuty monitora e profila continuamente l'attività di RDS accesso per attività sospette, ad esempio l'accesso non autorizzato al database Aurora nel tuo account, da parte di un attore esterno invisibile in precedenza. Quando si attiva la RDS protezione per la prima volta o si dispone di un'istanza di database appena creata, è necessario un periodo di apprendimento per definire il comportamento normale. Per questo motivo, alle istanze di database appena abilitate o appena create potrebbero non essere associati esiti relativi a un accesso anomalo per un massimo di due settimane. Per ulteriori informazioni, consulta RDSmonitoraggio delle attività di accesso.

Quando RDS Protection rileva una potenziale minaccia, ad esempio uno schema insolito in una serie di tentativi di accesso riusciti, falliti o incompleti, GuardDuty genera una nuova scoperta con dettagli sull'istanza di database potenzialmente compromessa. Per ulteriori informazioni, consulta Tipi di esiti della Protezione RDS. Se si disabilita RDS la protezione, interrompe GuardDuty immediatamente il monitoraggio dell'attività di RDS accesso e non è in grado di rilevare alcuna potenziale minaccia per le istanze di database supportate.

Nota

GuardDuty non gestisce la tua attività Database supportati o quella di RDS accesso né ti rende disponibile l'attività di RDS accesso.

Configurazione RDS della protezione per un account autonomo

Console

  1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

  2. Nel riquadro di navigazione, scegli RDSProtezione.

  3. La pagina RDSProtezione mostra lo stato attuale del tuo account. Puoi abilitare o disabilitare la funzionalità in qualsiasi momento selezionando Abilita o Disabilita. Conferma la selezione.

API/CLI

Eseguite l'updateDetectorAPIoperazione utilizzando il vostro ID regionale del rilevatore e passando l'featuresoggetto name come RDS_LOGIN_EVENTS e status come ENABLED oDISABLED.

È inoltre possibile abilitare o disabilitare RDS la protezione eseguendo il AWS CLI comando seguente. Assicurati di usare il tuo codice valido detector ID.

Nota

Il codice di esempio seguente abilita RDS la protezione. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'

Configurazione della RDS protezione in ambienti con più account

In un ambiente con più account, solo l'account GuardDuty amministratore delegato ha la possibilità di abilitare o disabilitare la funzionalità di RDS protezione per gli account dei membri dell'organizzazione. GuardDutyGli account dei membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce i propri account membro utilizzando AWS Organizations. Questo account GuardDuty amministratore delegato può scegliere di abilitare automaticamente il monitoraggio delle attività di RDS accesso per tutti i nuovi account quando entrano a far parte dell'organizzazione. Per ulteriori informazioni sugli ambienti con più account, consulta Gestione di più account in Amazon. GuardDuty

Scegli il metodo di accesso preferito per configurare il monitoraggio delle attività di RDS accesso per l'account amministratore delegato. GuardDuty

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali dell'account di gestione.

  2. Nel riquadro di navigazione, scegli RDSProtezione.

  3. Nella pagina RDSProtezione, scegli Modifica.

  4. Esegui una di queste operazioni:

    Utilizzando Abilita per tutti gli account

    • Scegli Abilita per tutti gli account. Ciò abiliterà il piano di protezione per tutti gli GuardDuty account attivi nell' AWS organizzazione, inclusi i nuovi account che entrano a far parte dell'organizzazione.

    • Selezionare Salva.

    Utilizzando Configura gli account manualmente

    • Per abilitare il piano di protezione solo per l'account GuardDuty amministratore delegato, scegli Configura gli account manualmente.

    • Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).

    • Selezionare Salva.

API/CLI

Esegui l'updateDetectorAPIoperazione utilizzando il tuo ID regionale del rilevatore e passando l'featuresoggetto name come RDS_LOGIN_EVENTS e status come ENABLED o. DISABLED

È possibile abilitare o disabilitare RDS la protezione eseguendo il AWS CLI comando seguente. Assicurati di utilizzare un account GuardDuty amministratore delegato valido detector ID.

Nota

Il codice di esempio seguente abilita RDS la protezione. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Scegli il tuo metodo di accesso preferito per abilitare la funzione di RDS protezione per tutti gli account dei membri. inclusi gli account membri esistenti e i nuovi account che entrano a far parte dell'organizzazione.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una di queste operazioni:

    Utilizzo della pagina Protezione RDS

    1. Nel riquadro di navigazione, scegli RDSProtezione.

    2. Scegli Abilita per tutti gli account. Questa azione abilita automaticamente RDS la protezione sia per gli account esistenti che per quelli nuovi dell'organizzazione.

    3. Selezionare Salva.

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

    Utilizzando la pagina Account

    1. Dal riquadro di navigazione, selezionare Accounts (Account).

    2. Nella pagina Account, scegli le preferenze di Abilitazione automatica, quindi Aggiungi account tramite invito.

    3. Nella finestra Gestisci le preferenze di attivazione automatica, scegli Abilita per tutti gli account in Monitoraggio delle attività di RDS accesso.

    4. Selezionare Salva.

    Se non puoi utilizzare l'opzione Abilita per tutti gli account, consulta Abilita o disabilita in modo selettivo RDS la protezione per gli account dei membri.

API/CLI

  • Per abilitare o disabilitare in modo selettivo RDS la protezione per i tuoi account membro, richiama l'updateMemberDetectorsAPIoperazione utilizzando la tua detector ID.

  • L'esempio seguente mostra come abilitare la RDS protezione per un account con un solo membro. Per disabilitarla, sostituisci ENABLED con DISABLED.

    Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegliete il metodo di accesso preferito per abilitare la RDS protezione per tutti gli account membri attivi esistenti nella vostra organizzazione.

Console
Per configurare RDS la protezione per tutti gli account dei membri attivi esistenti

  1. Accedi a AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Accedi utilizzando le credenziali GuardDuty dell'account amministratore delegato.

  2. Nel riquadro di navigazione, scegli RDS Protezione.

  3. Nella pagina RDSProtezione, puoi visualizzare lo stato corrente della configurazione. Nella sezione Account membri attivi, scegli Operazioni.

  4. Dal menu a discesa Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.

  5. Scegli Conferma.

API/CLI

  • Per abilitare o disabilitare in modo selettivo la RDS protezione per i tuoi account membro, richiama l'updateMemberDetectorsAPIoperazione utilizzando la tua detector ID.

  • L'esempio seguente mostra come abilitare la RDS protezione per un account con un solo membro. Per disabilitarla, sostituisci ENABLED con DISABLED.

    Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso preferito per abilitare l'attività di RDS accesso per i nuovi account che entrano a far parte della tua organizzazione.

Console

L'account GuardDuty amministratore delegato può abilitare nuovi account membro in un'organizzazione tramite la console, utilizzando la pagina RDSProtezione o Account.

Per abilitare automaticamente la RDS protezione per gli account dei nuovi membri

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una di queste operazioni:

    • Utilizzo della pagina RDSProtezione:

      1. Nel riquadro di navigazione, scegli RDSProtezione.

      2. Nella pagina RDSProtezione, scegli Modifica.

      3. Scegli Configura gli account manualmente.

      4. Seleziona Abilita automaticamente per i nuovi account membri. Questo passaggio garantisce che ogni volta che un nuovo account si unisce alla tua organizzazione, RDS la protezione venga automaticamente abilitata per l'account. Solo l'account GuardDuty amministratore delegato dell'organizzazione può modificare questa configurazione.

      5. Selezionare Salva.

    • Utilizzando la pagina Account:

      1. Dal riquadro di navigazione, selezionare Accounts (Account).

      2. Nella pagina Account, scegli le preferenze di Abilitazione automatica.

      3. Nella finestra Gestisci le preferenze di attivazione automatica, seleziona Abilita per nuovi account in Monitoraggio delle attività di RDS accesso.

      4. Selezionare Salva.

API/CLI

  • Per abilitare o disabilitare in modo selettivo RDS la protezione per i tuoi account membro, richiama l'UpdateOrganizationConfigurationAPIoperazione utilizzando la tua detector ID.

  • L'esempio seguente mostra come abilitare la RDS protezione per un account con un solo membro. Per disabilitarlo, consulta Abilita o disabilita in modo selettivo RDS la protezione per gli account dei membri. Se non desideri abilitarlo per tutti i nuovi account che entrano a far parte dell'organizzazione, imposta autoEnable su NONE.

    Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso preferito per abilitare o disabilitare in modo selettivo il monitoraggio delle attività di RDS accesso per gli account dei membri.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Dal riquadro di navigazione, selezionare Accounts (Account).

    Nella pagina Account, consulta la colonna relativa all'attività di RDS accesso per verificare lo stato del tuo account membro.

  3. Per abilitare o disabilitare in modo selettivo l'attività di RDS accesso

    Seleziona l'account per il quale desideri configurare la RDS protezione. Puoi selezionare più account alla volta. Nel menu a discesa Modifica piani di protezione, scegli Attività di RDS accesso, quindi scegli l'opzione appropriata.

API/CLI

Per abilitare o disabilitare in modo selettivo RDS la protezione per i tuoi account membro, richiama l'updateMemberDetectorsAPIoperazione utilizzando la tua detector ID.

L'esempio seguente mostra come abilitare la RDS protezione per un account con un solo membro. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
Nota

Puoi anche passare un elenco di account IDs separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.