GuardDuty RDS 保護調查結果類型 - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty RDS 保護調查結果類型

GuardDuty RDS 保護可偵測資料庫執行個體上的異常登入行為。以下調查結果專用於 支援 Amazon Aurora 和 Amazon RDS 資料,而且資源類型RDSDBInstance。調查結果的嚴重性和詳細資訊依調查結果類型而有所不同。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

使用者以異常方式在您的帳戶中成功登入 RDS 資料庫。

預設嚴重性:變數

注意

根據與此調查結果相關聯的異常行為,預設嚴重性可以是「低」、「中」和「高」。

  • :如果與此調查結果相關聯的使用者名稱從與私有網路相關聯的 IP 地址登入。

  • :如果與此調查結果相關聯的使用者名稱從公有 IP 地址登入。

  • :如果公有 IP 地址存在一致的失敗登入嘗試模式,表示存在過於寬鬆的存取政策。

  • 功能:RDS 登入活動監控

此調查結果會通知您,在 AWS 環境中 RDS 資料庫上發現異常的成功登入。這可能表示先前未出現的使用者是第一次登入 RDS 資料庫。常見的案例是內部使用者登入資料庫,該資料庫是由應用程式以程式設計方式存取,而不是由個別使用者存取。

GuardDuty 異常偵測機器學習 (ML) 模型將此成功登入識別為異常狀況。ML 模型會評估 支援 Amazon Aurora 和 Amazon RDS 資料 中的所有資料庫登入事件,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 RDS 登入活動的各種因素,例如發出請求的使用者、發出請求的位置,以及使用的特定資料庫連線詳細資訊。如需有關可能異常之登入事件的詳細資訊,請參閱RDS登入活動型異常

修復建議:

如果此活動對於關聯的資料庫為非預期活動,建議您變更關聯資料庫使用者的密碼,並檢閱異常使用者執行活動的可用稽核日誌。中等嚴重性和高嚴重性調查結果可能表示資料庫存在過於寬鬆的存取政策,而且使用者憑證可能已公開或遭到入侵。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有成功登入事件的資料庫

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

在您帳戶中的 RDS 資料庫上發現一次或多次異常登入失敗嘗試。

預設嚴重性:低

  • 功能:RDS 登入活動監控

此調查結果會通知您,在 AWS 環境中 RDS 資料庫上發現一次或多次異常登入失敗嘗試。從公有 IP 地址嘗試登入失敗,可能表示您帳戶中的 RDS 資料庫已遭受潛在惡意執行者嘗試的暴力攻擊。

GuardDuty 異常偵測機器學習 (ML) 模型會將這些失敗的登入識別為異常。ML 模型會評估 支援 Amazon Aurora 和 Amazon RDS 資料 中的所有資料庫登入事件,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 RDS 登入活動的各種因素,例如發出請求的使用者、發出請求的位置,以及使用的特定資料庫連線詳細資訊。如需有關可能異常之 RDS 登入活動的詳細資訊,請參閱RDS登入活動型異常

修復建議:

如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫已公開,或是資料庫存在過於寬鬆的存取政策。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有失敗登入事件的資料庫

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

在一致的異常失敗登錄嘗試模式之後,使用者以異常方式從公有 IP 地址成功登入您帳戶中的 RDS 資料庫。

預設嚴重性:高

  • 功能:RDS 登入活動監控

此調查結果會通知您,在 AWS 環境中 RDS 資料庫上發現表示成功暴力破解的異常登入。在異常成功登入之前,發現一致的異常失敗登錄嘗試模式。這表示您帳戶中與 RDS 資料庫相關聯的使用者和密碼可能已遭到入侵,而且 RDS 資料庫可能已被潛在惡意執行者存取。

GuardDuty 異常偵測機器學習 (ML) 模型將這次成功的暴力破解登入識別為異常狀況。ML 模型會評估 支援 Amazon Aurora 和 Amazon RDS 資料 中的所有資料庫登入事件,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 RDS 登入活動的各種因素,例如發出請求的使用者、發出請求的位置,以及使用的特定資料庫連線詳細資訊。如需有關可能異常之 RDS 登入活動的詳細資訊,請參閱RDS登入活動型異常

修復建議:

此活動表示資料庫憑證可能已公開或洩露。建議您變更關聯資料庫使用者的密碼,並檢閱可用的稽核日誌,以查看可能遭到入侵的使用者所執行的活動。一致的異常失敗登錄嘗試模式表示資料庫存在過於寬鬆的存取政策,或者資料庫也可能已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有成功登入事件的資料庫

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

使用者從已知惡意 IP 地址成功登入您帳戶中的 RDS 資料庫。

預設嚴重性:高

  • 功能:RDS 登入活動監控

此調查結果會通知您,從與 AWS 環境中的已知惡意活動相關聯的 IP 地址發生了成功的 RDS 登入活動。這表示您帳戶中與 RDS 資料庫相關聯的使用者和密碼可能已遭到入侵,而且 RDS 資料庫可能已被潛在惡意執行者存取。

修復建議:

如果此活動對於關聯的資料庫為非預期活動,則可能表示使用者憑證可能已公開或遭到入侵。建議您變更關聯資料庫使用者的密碼,並檢閱可用的稽核日誌,以查看遭盜用的使用者所執行的活動。此活動也可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有成功登入事件的資料庫

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

與已知惡意活動相關聯的IP 地址未成功嘗試登入帳戶中的 RDS 資料庫。

預設嚴重性:中

  • 功能:RDS 登入活動監控

此調查結果會通知您,與已知惡意活動相關聯的 IP 地址嘗試登入 AWS 環境中的 RDS 資料庫,但無法提供正確的使用者名稱或密碼。這表示潛在惡意的參與者可能正在嘗試入侵您帳戶中的 RDS 資料庫。

修復建議:

如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有失敗登入事件的資料庫

Discovery:RDS/MaliciousIPCaller

與已知惡意活動相關聯的IP 地址探查了您帳戶中的 RDS 資料庫;未嘗試進行身分驗證。

預設嚴重性:中

  • 功能:RDS 登入活動監控

此調查結果會通知您,與已知惡意活動相關聯的 IP 地址探查了 AWS 環境中的 RDS 資料庫,但未嘗試登入。這可能表示潛在惡意執行者正在嘗試掃描可公開存取的基礎設施。

修復建議:

如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有失敗登入事件的資料庫

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

使用者從 Tor 退出節點 IP 地址成功登入您帳戶中的 RDS 資料庫。

預設嚴重性:高

  • 功能:RDS 登入活動監控

此調查結果會通知您,使用者從 Tor 退出節點 IP 地址成功登入 AWS 環境中的 RDS 資料庫。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表明您帳戶中的 RDS 資源有未經授權的存取,目的是隱藏匿名使用者的真實身分。

修復建議:

如果此活動對於關聯的資料庫為非預期活動,則可能表示使用者憑證可能已公開或遭到入侵。建議您變更關聯資料庫使用者的密碼,並檢閱可用的稽核日誌,以查看遭盜用的使用者所執行的活動。此活動也可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有成功登入事件的資料庫

CredentialAccess:RDS/TorIPCaller.FailedLogin

Tor IP 地址嘗試登入您帳戶中的 RDS 資料庫失敗。

預設嚴重性:中

  • 功能:RDS 登入活動監控

此調查結果會通知您,Tor 退出節點 IP 地址嘗試登入 AWS 環境中的 RDS 資料庫,但無法提供正確的使用者名稱或密碼。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表明您帳戶中的 RDS 資源有未經授權的存取,目的是隱藏匿名使用者的真實身分。

修復建議:

如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有失敗登入事件的資料庫

Discovery:RDS/TorIPCaller

Tor 退出節點 IP 地址探查到您帳戶中的 RDS 資料庫,但未嘗試進行身分驗證。

預設嚴重性:中

  • 功能:RDS 登入活動監控

此調查結果會通知您,Tor 退出節點 IP 地址探查了 AWS 環境中的 RDS 資料庫,但未嘗試登入。這可能表示潛在惡意執行者正在嘗試掃描可公開存取的基礎設施。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的傳送來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表明您帳戶中的 RDS 資源有未經授權的存取,目的是隱藏潛在惡意執行者的真實身分。

修復建議:

如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱修復可能遭到入侵且含有失敗登入事件的資料庫