GuardDuty RDS Protection - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty RDS Protection

Amazon の RDS Protection は、Amazon Aurora データベース (Amazon Aurora MySQL 互換エディションおよび Aurora PostgreSQL 互換エディション) に対する潜在的なアクセス脅威について RDS ログインアクティビティ GuardDuty を分析し、プロファイリングします。この機能により、潜在的に疑わしいログイン動作を特定できます。RDS Protection は追加のインフラストラクチャが不要で、データベースインスタンスのパフォーマンスに影響を与えないように設計されています。

RDS Protection がデータベースへの脅威を示す潜在的に疑わしい、または異常なログイン試行を検出すると、 は侵害された可能性のあるデータベースに関する詳細を含む新しい検出結果 GuardDuty を生成します。

RDS Protection 機能は、Amazon 内で AWS リージョン この機能が利用可能な の任意のアカウントで GuardDuty、いつでも有効または無効にできます。既存の GuardDuty アカウントは、30 日間のトライアル期間で RDS Protection を有効にできます。新しい GuardDuty アカウントの場合、RDS Protection は既に有効になっており、30 日間の無料トライアル期間に含まれています。詳細については、「コストの見積もり」を参照してください。

注記

RDS Protection 機能が有効になっていない場合、 は RDS ログインアクティビティを収集せず、異常なログイン動作や疑わしいログイン動作も検出 GuardDuty しません。

AWS リージョン が RDS Protection をまだサポートしていない については、 GuardDuty 「」を参照してくださいリージョン固有機能の可用性

サポートされている Amazon Aurora データベース

次の表では、サポートされた Aurora データベースバージョンが示されます。

Amazon Aurora DB エンジン サポート対象エンジンバージョン

Aurora MySQL

  • 2.10.2 以降

  • 3.02.1 以降

Aurora PostgreSQL

  • 10.17 以降

  • 11.12 以降

  • 12.7 以降

  • 13.3 以降

  • 14.3 以降

  • 15.2 以降

  • 16.1 以降

RDS Protection が RDS ログインアクティビティモニタリングを使用する仕組み

Amazon の RDS Protection GuardDuty は、アカウントでサポートされている Amazon Aurora (Aurora) データベースを保護するのに役立ちます。RDS Protection 機能を有効にすると、 はアカウント内の Aurora データベースからの RDS ログインアクティビティのモニタリングを GuardDuty 直ちに開始します。 は、以前には見られなかった外部アクターからのアカウント内の Aurora データベースへの不正アクセスなど、疑わしいアクティビティについて RDS ログインアクティビティ GuardDuty を継続的にモニタリングおよびプロファイリングします。RDS Protection を初めて有効にする場合、またはデータベースインスタンスを新しく作成した場合は、通常の動作をベースラインにするための学習期間が必要です。このため、新たに有効になったデータベースインスタンスや新しく作成されたデータベースインスタンスでは、最長で 2 週間程度、関連する異常ログインが検出されないことがあります。詳細については、「RDS ログインアクティビティのモニタリング」を参照してください。

RDS Protection が一連の成功、失敗、または不完全なログイン試行で異常なパターンなどの潜在的な脅威を検出すると、 は侵害された可能性のあるデータベースインスタンスに関する詳細を含む新しい検出結果 GuardDuty を生成します。詳細については、「RDS Protection の検出結果タイプ」を参照してください。RDS Protection を無効にすると、 は RDS ログインアクティビティのモニタリングを GuardDuty 直ちに停止し、サポートされているデータベースインスタンスに対する潜在的な脅威を検出できません。

注記

GuardDuty は、 サポートされているデータベースまたは RDS ログインアクティビティを管理したり、RDS ログインアクティビティを利用できるようにしたりしません。

スタンドアロンアカウントの RDS Protection の設定

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[RDS Protection] を選択します。

  3. [RDS Protection] ページにアカウントの現在のステータスが表示されます。[Enable] (有効化) または [Disable] (無効化) を選択することで、いつでもこの機能を有効または無効にできます。[Confirm] (確認) をクリックして、選択内容を確認します。

API/CLI

ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト nameRDS_LOGIN_EVENTS として、statusENABLED または DISABLED として渡して、updateDetector API オペレーションを実行します。

次の AWS CLI コマンドを実行して、RDS Protection を有効または無効にすることもできます。必ずご自身の有効な ディテクター ID を使用してください。

注記

次のコードの例は RDS Protection を有効にします。無効にするには、ENABLEDDISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照してください。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'

マルチアカウント環境での RDS Protection の設定

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントの RDS Protection 機能を有効または無効にすることができます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。この委任 GuardDuty 管理者アカウントは、組織に参加するすべての新しいアカウントの RDS ログインアクティビティモニタリングを自動有効化することを選択できます。マルチアカウント環境の詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの RDS ログインアクティビティモニタリングを設定します。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず管理アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[RDS Protection] を選択します。

  3. [RDS Protection] ページで、[編集] を選択します。

  4. 次のいずれかを行います。

    [すべてのアカウントについて有効にする] の使用
    • [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントの保護プランが有効になります。

    • [保存] を選択します。

    [アカウントを手動で設定] の使用
    • 委任された GuardDuty 管理者アカウントアカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定 を選択します。

    • 委任された GuardDuty 管理者アカウント (このアカウント) セクションで 有効化 を選択します。

    • [保存] を選択します。

API/CLI

ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト nameRDS_LOGIN_EVENTS として、statusENABLED または DISABLED として渡して、updateDetector API オペレーションを実行します。

次の AWS CLI コマンドを実行して、RDS Protection を有効または無効にできます。委任 GuardDuty 管理者アカウントの有効なディテクター ID を使用してください。

注記

次のコードの例は RDS Protection を有効にします。無効にするには、ENABLEDDISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照してください。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

任意のアクセス方法を選択して、すべてのメンバーアカウントのために RDS Protection 機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    [RDS Protection] ページの使用
    1. ナビゲーションペインで、[RDS Protection] を選択します。

    2. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について RDS Protection が自動的に有効になります。

    3. [保存] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

    [アカウント] ページの使用
    1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

    3. [自動有効化の詳細設定を管理] ウィンドウで、[RDS ログインアクティビティモニタリング] の下の [すべてのアカウントについて有効にする] を選択します。

    4. [保存] を選択します。

    [すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。

API/CLI
  • メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。

  • 次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLEDDISABLED に置き換えます。

    アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照してください。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    注記

    スペースで区切られたアカウント ID のリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために RDS Protection を有効にします。

Console
すべての既存のアクティブなメンバーアカウントのために RDS Protection を設定するには
  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[RDS Protection] を選択します。

  3. [RDS Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。

  4. [アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。

  5. [確認] を選択します。

API/CLI
  • メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。

  • 次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLEDDISABLED に置き換えます。

    アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照してください。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    注記

    スペースで区切られたアカウント ID のリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織に参加する新しいアカウントに RDS ログインアクティビティを有効にします。

Console

委任 GuardDuty 管理者アカウントは、RDS Protection または Accounts ページを使用して、コンソールから組織内の新しいメンバーアカウントに対して を有効にできます。

新しいメンバーアカウントの RDS Protection を自動で有効にするには
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    • [RDS Protection] ページを使用する場合:

      1. ナビゲーションペインで、[RDS Protection] を選択します。

      2. [RDS Protection] ページで、[編集] を選択します。

      3. [アカウントを手動で設定] を選択します。

      4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために RDS Protection が自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。

      5. [保存] を選択します。

    • [Accounts] (アカウント) ページを使用する場合:

      1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

      2. [アカウント] ページで、[自動有効化] 設定を選択します。

      3. [自動有効化の詳細設定を管理] ウィンドウで、[RDS ログインアクティビティモニタリング] の下の [新しいアカウントについて有効にする] を選択します。

      4. [保存] を選択します。

API/CLI
  • メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して UpdateOrganizationConfiguration API オペレーションを起動します。

  • 次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、autoEnableNONE に設定します。

    アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照してください。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
    注記

    スペースで区切られたアカウント ID のリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、メンバーアカウントのために RDS ログインアクティビティのモニタリングを選択的に有効または無効にします。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    [アカウント] ページで、[RDS ログインアクティビティ] 列でメンバーアカウントのステータスを確認します。

  3. RDS ログインアクティビティを選択的に有効または無効にするには

    RDS Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[RDS ログインアクティビティ] を選択し、適切なオプションを選択します。

API/CLI

メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。

次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLEDDISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照してください。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
注記

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。