기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty RDS 보호 결과 유형
GuardDuty RDS 보호는 데이터베이스 인스턴스에서 변칙적 로그인 동작을 탐지합니다. 다음 결과는 지원되는 아마존 Aurora 및 아마존 RDS 데이터베이스에 해당되며 리소스 유형은 RDSDBInstance입니다. 결과의 심각도 및 세부 정보는 결과 유형에 따라 다릅니다.
주제
- CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
- CredentialAccess:RDS/AnomalousBehavior.FailedLogin
- CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
- CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
- CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
- Discovery:RDS/MaliciousIPCaller
- CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
- CredentialAccess:RDS/TorIPCaller.FailedLogin
- Discovery:RDS/TorIPCaller
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
사용자가 변칙적 방식으로 계정의 RDS 데이터베이스에 성공적으로 로그인했습니다.
기본 심각도: 가변적
참고
이 결과와 관련된 변칙적 동작에 따라 기본 심각도는 낮음, 중간, 높음일 수 있습니다.
낮음 - 이 결과와 관련된 사용자 이름이 프라이빗 네트워크에 연결된 IP 주소에서 로그인한 경우.
중간 - 이 결과와 관련된 사용자 이름이 퍼블릭 IP 주소에서 로그인한 경우.
높음 - 액세스 정책이 지나치게 허용적인 듯한 퍼블릭 IP 주소에서의 일관적인 로그인 시도 실패 패턴 있는 경우.
-
특성: RDS 로그인 활동 모니터링
이 결과는 AWS 환경의 RDS 데이터베이스에서 변칙적인 로그인 성공이 관찰되었음을 알려줍니다. 이는 이전에 보지 못한 사용자가 처음으로 RDS 데이터베이스에 로그인했음을 나타낼 수 있습니다. 일반적인 시나리오는 개별 사용자가 아닌 애플리케이션에 의해 프로그래밍 방식으로 내부 사용자가 데이터베이스에 로그인한 것입니다.
이 로그인 성공은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 지원되는 아마존 Aurora 및 아마존 RDS 데이터베이스의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 로그인 이벤트에 대한 자세한 내용은 RDS 로그인 활동 기반 이상 섹션을 참조하세요.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 관련 데이터베이스 사용자의 암호를 변경하고 이상 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 중간 및 높음 심각도 결과는 데이터베이스에 대한 액세스 정책이 지나치게 허용적이고 사용자 보안 인증 정보가 노출 또는 손상되었을 가능성을 나타낼 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
CredentialAccess:RDS/AnomalousBehavior.FailedLogin
계정의 RDS 데이터베이스에서 한 번 이상의 비정상적인 로그인 실패 시도가 관찰되었습니다.
기본 심각도: 낮음
-
특성: RDS 로그인 활동 모니터링
이 결과는 AWS 환경의 RDS 데이터베이스에서 변칙적인 로그인 실패가 한 번 이상 관찰되었음을 알려줍니다. 퍼블릭 IP 주소에서의 로그인 시도 실패는 계정의 RDS 데이터베이스가 악의적인 공격자의 무차별 대입 공격을 받았음을 의미할 수 있습니다.
이러한 로그인 실패는 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 지원되는 아마존 Aurora 및 아마존 RDS 데이터베이스의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 RDS 로그인 활동에 대한 자세한 내용은 RDS 로그인 활동 기반 이상 섹션을 참조하세요.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스가 공개적으로 노출되었거나 데이터베이스에 대한 액세스 정책이 지나치게 허용적일 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
일관적으로 비정상적인 로그인 시도 실패 패턴 이후 사용자가 퍼블릭 IP 주소를 사용하여 계정의 RDS 데이터베이스에 변칙적인 방식으로 로그인했습니다.
기본 심각도: 높음
-
특성: RDS 로그인 활동 모니터링
이 결과는 AWS 환경의 RDS 데이터베이스에서 무차별 암호 대입 성공을 의미하는 변칙적인 로그인이 관찰되었음을 알려줍니다. 변칙적 로그인에 성공하기 전에는 일관적으로 비정상적인 로그인 시도 실패가 있었습니다. 이는 계정의 RDS 데이터베이스와 연결된 사용자 및 암호가 손상되었을 수 있으며, 잠재적으로 악의적인 공격자가 RDS 데이터베이스에 액세스했을 수 있음을 나타냅니다.
이 무차별 암호 대입 로그인 성공은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 지원되는 아마존 Aurora 및 아마존 RDS 데이터베이스의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 RDS 로그인 활동에 대한 자세한 내용은 RDS 로그인 활동 기반 이상 섹션을 참조하세요.
해결 권장 사항:
이 활동은 데이터베이스 보안 인증 정보가 노출 또는 손상되었을 수 있음을 나타냅니다. 관련 데이터베이스 사용자의 암호를 변경하고 잠재적으로 침해되었을 수 있는 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 비정상적인 로그인 시도 실패의 일관적인 패턴은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수도 있음을 나타냅니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
사용자가 알려진 악성 IP 주소를 사용하여 계정의 RDS 데이터베이스에 로그인했습니다.
기본 심각도: 높음
-
특성: RDS 로그인 활동 모니터링
이 결과는 AWS 환경에서 알려진 악의적 활동과 관련된 IP 주소로부터 성공적인 RDS 로그인 활동이 발생했음을 알려줍니다. 이는 계정의 RDS 데이터베이스와 연결된 사용자 및 암호가 손상되었을 수 있으며, 잠재적으로 악의적인 공격자가 RDS 데이터베이스에 액세스했을 수 있음을 나타냅니다.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 사용자 보안 인증 정보가 노출 또는 손상되었을 수 있습니다. 관련 데이터베이스 사용자의 암호를 변경하고 침해된 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 또한 이 활동은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터가 공개적으로 노출되었음을 나타낼 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
알려진 악성 활동과 연결된 IP 주소가 계정의 RDS 데이터베이스에 로그인을 시도했지만 실패했습니다.
기본 심각도: 중간
-
특성: RDS 로그인 활동 모니터링
이 결과는 알려진 악성 활동과 연결된 IP 주소가 AWS 환경의 RDS 데이터베이스에 로그인을 시도했지만 올바른 사용자 이름이나 암호를 입력하지 못했음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 계정의 RDS 데이터베이스 손상을 시도하고 있을 가능성을 나타냅니다.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
Discovery:RDS/MaliciousIPCaller
알려진 악성 활동과 연결된 IP 주소가 계정의 RDS 데이터베이스를 탐색했지만 인증 시도는 이루어지지 않았습니다.
기본 심각도: 중간
-
특성: RDS 로그인 활동 모니터링
이 결과는 악성 활동과 연결된 IP 주소에서 AWS 환경의 RDS 데이터베이스를 탐색했지만 로그인 시도는 이루어지지 않았음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 공개적으로 액세스할 수 있는 인프라를 찾고 있음을 의미할 수 있습니다.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
사용자가 Tor 출구 노드 IP 주소에서 계정의 RDS 데이터베이스에 로그인했습니다.
기본 심각도: 높음
-
특성: RDS 로그인 활동 모니터링
이 결과는 사용자가 Tor 출구 노드 IP 주소에서 AWS 환경의 RDS 데이터베이스에 성공적으로 로그인했음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 익명 사용자의 실제 신원을 숨기려는 의도를 갖고 계정의 RDS 리소스에 무단으로 액세스함을 나타낼 수 있습니다.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 사용자 보안 인증 정보가 노출 또는 손상되었을 수 있습니다. 관련 데이터베이스 사용자의 암호를 변경하고 침해된 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 또한 이 활동은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터가 공개적으로 노출되었음을 나타낼 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
CredentialAccess:RDS/TorIPCaller.FailedLogin
Tor IP 주소에서 계정의 RDS 데이터베이스에 로그인을 시도했지만 실패했습니다.
기본 심각도: 중간
-
특성: RDS 로그인 활동 모니터링
이 결과는 Tor 출구 노드 IP 주소에서 AWS 환경의 RDS 데이터베이스에 로그인을 시도했지만 올바른 사용자 이름이나 암호를 입력하지 못했음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 익명 사용자의 실제 신원을 숨기려는 의도를 갖고 계정의 RDS 리소스에 무단으로 액세스함을 나타낼 수 있습니다.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
Discovery:RDS/TorIPCaller
Tor 종료 노드 IP 주소에서 계정의 RDS 데이터베이스를 탐색했지만 인증 시도는 없었습니다.
기본 심각도: 중간
-
특성: RDS 로그인 활동 모니터링
이 결과는 Tor 출구 노드 IP 주소에서 AWS 환경의 RDS 데이터베이스를 탐색했지만 로그인 시도는 이루어지지 않았음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 공개적으로 액세스할 수 있는 인프라를 찾고 있음을 의미할 수 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 잠재적으로 악의적인 공격자의 실제 신원을 숨기려는 의도를 갖고 계정의 RDS 리소스에 무단으로 액세스함을 나타낼 수 있습니다.
해결 권장 사항:
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 섹션을 참조하세요.
