修復可能遭到入侵的資料庫

GuardDuty 在您啟GuardDuty 遠端防護用支援的資料庫之後RDS 保護調查結果類型，會產生指出您的潛在可疑和異常登入行為。使用 RDS 登入活動，透過識別登入嘗試中的異常模式來 GuardDuty 分析和分析威脅。

注意

您可以從 調查結果表 中選取調查結果類型，以存取該類型的完整資訊。

請遵循這些建議的步驟，修復 AWS 環境中可能遭到入侵的 Amazon Aurora 資料庫。

修復可能遭到入侵且含有成功登入事件的資料庫

下列建議步驟可協助您修復可能遭到入侵的 Aurora 資料庫，且該資料庫會出現與成功登入事件相關的異常行為。

1. 識別受影響的資料庫和使用者。

   產生的 GuardDuty 發現項目會提供受影響資料庫的名稱以及對應的使用者詳細資訊。如需詳細資訊，請參閱 調查結果詳細資訊。

2. 確認此行為是預期還是意外的行為。

   下列清單指定可能導致產生發現項目 GuardDuty 的潛在案例：

   • 使用者在很長一段時間後登入其資料庫。

   • 使用者偶爾登入資料庫，例如財務分析師每個季度登入。

   • 參與成功登入嘗試的潛在可疑執行者可能會入侵資料庫。

3. 如果是意外行為，請開始此步驟。

   1. 限制資料庫存取權限

      限制可疑帳戶的資料庫存取權限，以及此登入活動的來源。如需詳細資訊，請參閱 修復可能遭到入侵的憑證 及 限制網路存取權限。

   2. 評估影響並確定存取了哪些資訊。

      • 如果可用，請檢閱稽核日誌以識別可能已存取的資訊片段。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》中的在 Amazon Aurora 資料庫叢集中監控事件、日誌和串流。

      • 判斷是否存取或修改了任何敏感或受保護的資訊。

修復可能遭到入侵且含有失敗登入事件的資料庫

下列建議步驟可協助您修復可能遭到入侵的 Aurora 資料庫，且該資料庫會出現與失敗登入事件相關的異常行為。

1. 識別受影響的資料庫和使用者。

   產生的 GuardDuty 發現項目會提供受影響資料庫的名稱以及對應的使用者詳細資訊。如需詳細資訊，請參閱 調查結果詳細資訊。

2. 識別失敗登入嘗試的來源。

   產生的 GuardDuty 發現項目會在發現項目面板的 Actor 區段下提供 IP 位址和 ASN 組織 (如果是公用連線)。

   自治系統 (AS) 是由一個或多個網路業者執行的一個或多個 IP 字首 (可在網路上存取的 IP 地址清單) 的群組，而這些網路業者維護單一且明確定義的路由政策。網路業者需要自治系統編號 (ASN) 來控制其網路內的路由，並與其他網際網路服務供應商 (ISP) 交換路由資訊。

3. 確認此行為是意外行為。

   檢查此活動是否表示嘗試獲得對資料庫的其他未經授權的存取權限，如下所示：

   • 如果來源是內部來源，請檢查應用程式是否設定錯誤，並重複嘗試連線。

   • 如果這是外部執行者，請檢查對應的資料庫是否設定為公有或設定錯誤，進而允許潛在惡意動作者暴力破解常見使用者名稱。

4. 如果是意外行為，請開始此步驟。

   1. 限制資料庫存取權限

      限制可疑帳戶的資料庫存取權限，以及此登入活動的來源。如需詳細資訊，請參閱 修復可能遭到入侵的憑證 及 限制網路存取權限。

   2. 執行根本原因分析，並確定可能導致此活動的步驟。

      設定提醒以在活動修改網路政策並建立不安全狀態時收到通知。如需詳細資訊，請參閱 AWS Network Firewall Developer Guide 中的 Firewall policies in AWS Network Firewall。

修復可能遭到入侵的憑證

發 GuardDuty 現項目可能表示當發現項目中識別的使用者執行非預期的資料庫作業時，受影響資料庫的使用者證明資料已遭入侵。您可以在主控台的調查結果面板內的 RDS DB 使用者詳細資訊區段中，或在調查結果 JSON 的 resource.rdsDbUserDetails 內識別使用者。這些使用者詳細資訊包括使用者名稱、使用的應用程式、存取的資料庫、SSL 版本和身分驗證方法。

• 若要撤銷與調查結果有關的特定使用者的存取權限或輪換密碼，請參閱《Amazon Aurora 使用者指南》中的 Amazon Aurora MySQL 的安全性或 Amazon Aurora PostgreSQL 的安全性。

• 用 AWS Secrets Manager 於安全地存放和自動輪換 Amazon 關聯式資料庫服務 (RDS) 資料庫的密碼。如需詳細資訊，請參閱《AWS Secrets Manager 使用者指南》中的 AWS Secrets Manager 教學課程。

• 使用 IAM 資料庫身分驗證來管理資料庫使用者的存取權限，而不需要密碼。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》中的 IAM 資料庫身分驗證。

  如需詳細資訊，請參閱《Amazon RDS 使用者指南》中的 Amazon Relational Database Service 的安全最佳實務。

限制網路存取權限

GuardDuty 發現可能表示您的應用程式或 Virtual Private Cloud (VPC) (VPC) 之外，還可以存取資料庫。如果調查結果中的遠端 IP 地址是非預期的連線來源，請稽核安全群組。連接至資料庫的安全群組清單位於 https://console.aws.amazon.com/rds/ 主控台的安全群組下，或調查結果 JSON 的 resource.rdsDbInstanceDetails.dbSecurityGroups 中。如需有關設定安全群組的詳細資訊，請參閱《Amazon RDS 使用者指南》中的使用安全群組控制存取權限。

如果您使用防火牆，請重新設定網路存取控制清單 (NACL) 以限制對資料庫的網路存取權限。如需詳細資訊，請參閱 AWS Network Firewall Developer Guide 中的 Firewalls in AWS Network Firewall。