Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty Jenis temuan Perlindungan RDS
GuardDuty RDS Protection mendeteksi perilaku login anomali pada instance database Anda. Temuan berikut khusus untuk Basis data Amazon Aurora, Amazon RDS, dan Aurora Limitless yang didukung dan akan memiliki Jenis Sumber Daya RDSDBInstance atauRDSLimitlessDB. Tingkat keparahan dan detail temuan akan berbeda berdasarkan jenis temuan.
Topik
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
Seorang pengguna berhasil masuk ke database RDS di akun Anda dengan cara yang anomali.
Tingkat keparahan default: Variabel
catatan
Bergantung pada perilaku anomali yang terkait dengan temuan ini, tingkat keparahan default-nya dapat Rendah, Sedang, dan Tinggi.
-
Rendah – Jika nama pengguna yang terkait dengan temuan ini masuk dari alamat IP yang dikaitkan dengan jaringan privat.
-
Sedang – Jika nama pengguna yang terkait dengan temuan ini masuk dari alamat IP publik.
-
Tinggi – Jika ada pola konsisten dalam percobaan masuk yang gagal dari alamat IP publik yang mengindikasikan kebijakan akses yang terlalu permisif.
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa login yang berhasil anomali diamati pada database RDS di lingkungan Anda. AWS Hal ini mungkin menunjukkan bahwa pengguna yang tidak diketahui masuk ke basis data RDS untuk pertama kalinya. Skenario umum adalah pengguna internal yang masuk ke database yang diakses secara terprogram oleh aplikasi dan bukan oleh pengguna individu.
Login yang berhasil ini diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua peristiwa login database di Anda Basis data Amazon Aurora, Amazon RDS, dan Aurora Limitless yang didukung dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Model ML tersebut melacak berbagai faktor aktivitas login RDS, seperti, pengguna yang membuat permintaan, lokasi permintaan dibuat, dan detail koneksi basis data tertentu yang digunakan. Untuk informasi tentang peristiwa login yang berpotensi tidak biasa, lihatAnomali berbasis aktivitas login RDS.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, sebaiknya ubah kata sandi pengguna basis data terkait, dan tinjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna yang beranomali. Temuan tingkat keparahan sedang dan tinggi dapat mengindikasikan bahwa ada kebijakan akses yang terlalu permisif ke basis data, dan kredensial pengguna mungkin telah terekspos atau disusupi. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.
CredentialAccess:RDS/AnomalousBehavior.FailedLogin
Satu atau lebih upaya login gagal yang tidak biasa diamati pada database RDS di akun Anda.
Tingkat keparahan default: Rendah
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa satu atau lebih login gagal anomali diamati pada database RDS di lingkungan Anda. AWS Percobaan login yang gagal dari alamat IP publik dapat menunjukkan bahwa basis data RDS di akun Anda telah mengalami percobaan serangan brute force oleh pelaku yang berpotensi berbahaya.
Login yang gagal ini diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua peristiwa login database di Anda Basis data Amazon Aurora, Amazon RDS, dan Aurora Limitless yang didukung dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Model ML tersebut melacak berbagai faktor aktivitas login RDS, seperti, pengguna yang membuat permintaan, lokasi permintaan dibuat, dan detail koneksi basis data tertentu yang digunakan. Untuk informasi tentang aktivitas login RDS yang berpotensi tidak biasa, lihatAnomali berbasis aktivitas login RDS.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, hal tersebut mungkin menandakan bahwa basis data terekspos secara publik atau terdapat kebijakan akses ke basis data yang terlalu permisif. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.
CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
Seorang pengguna berhasil login ke basis data RDS di akun Anda dari alamat IP publik dengan cara yang beranomali setelah munculnya pola konsisten dalam percobaan login gagal yang tidak biasa.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa indikasi login anomali dari kekuatan kasar yang berhasil diamati pada database RDS di lingkungan Anda. AWS Sebelum adanya login berhasil yang beranomali, pola konsisten dalam percobaan login gagal yang tidak biasa telah diamati. Hal ini menunjukkan bahwa pengguna dan kata sandi yang terkait dengan basis data RDS di akun Anda mungkin telah disusupi, dan basis data RDS tersebut mungkin telah diakses oleh pelaku yang berpotensi berbahaya.
Login brute force yang berhasil ini diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua peristiwa login database di Anda Basis data Amazon Aurora, Amazon RDS, dan Aurora Limitless yang didukung dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Model ML tersebut melacak berbagai faktor aktivitas login RDS, seperti, pengguna yang membuat permintaan, lokasi permintaan dibuat, dan detail koneksi basis data tertentu yang digunakan. Untuk informasi tentang aktivitas login RDS yang berpotensi tidak biasa, lihatAnomali berbasis aktivitas login RDS.
Rekomendasi remediasi:
Aktivitas ini menunjukkan bahwa kredensial basis data mungkin telah terekspos atau disusupi. Sebaiknya ubah kata sandi pengguna basis data terkait, dan tinjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna yang berpotensi disusupi. Pola konsisten dalam percobaan login gagal yang tidak biasa menunjukkan kebijakan akses yang terlalu permisif ke basis data atau basis data ini mungkin juga telah terekspos secara publik. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.
CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
Seorang pengguna berhasil login ke basis data RDS di akun Anda dari alamat IP berbahaya yang diketahui.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa aktivitas login RDS yang berhasil terjadi dari alamat IP yang dikaitkan dengan aktivitas berbahaya yang diketahui di lingkungan Anda AWS . Hal ini menunjukkan bahwa pengguna dan kata sandi yang terkait dengan basis data RDS di akun Anda mungkin telah disusupi, dan basis data RDS tersebut mungkin telah diakses oleh pelaku yang berpotensi berbahaya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, hal tersebut mungkin menandakan bahwa kredensial pengguna telah terekspos atau disusupi. Sebaiknya ubah kata sandi pengguna basis data terkait, dan tinjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna yang disusupi. Aktivitas ini juga dapat menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke basis data atau basis data tersebut terekspos secara publik. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.
CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
Alamat IP yang dikaitkan dengan aktivitas berbahaya yang diketahui gagal mencoba login ke basis data RDS di akun Anda.
Tingkat keparahan default: Medium
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa alamat IP yang terkait dengan aktivitas berbahaya yang diketahui mencoba masuk ke database RDS di AWS lingkungan Anda, tetapi gagal memberikan nama pengguna atau kata sandi yang benar. Hal ini menunjukkan bahwa pelaku yang berpotensi berbahaya mungkin mencoba menyusupi basis data RDS di akun Anda.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, hal tersebut mungkin menandakan bahwa terdapat kebijakan akses ke basis data yang terlalu permisif atau basis data terekspos secara publik. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.
Discovery:RDS/MaliciousIPCaller
Alamat IP yang dikaitkan dengan aktivitas berbahaya yang diketahui memeriksa basis data RDS di akun Anda; tidak ada percobaan autentikasi yang dilakukan.
Tingkat keparahan default: Medium
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa alamat IP yang terkait dengan aktivitas berbahaya yang diketahui menyelidiki database RDS di AWS lingkungan Anda, meskipun tidak ada upaya login yang dilakukan. Hal ini mungkin menunjukkan bahwa pelaku yang berpotensi berbahaya mencoba memindai infrastruktur yang dapat diakses publik.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, hal tersebut mungkin menandakan bahwa terdapat kebijakan akses ke basis data yang terlalu permisif atau basis data terekspos secara publik. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.
CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
Seorang pengguna berhasil login ke basis data RDS di akun Anda dari alamat IP simpul keluar Tor.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa pengguna berhasil masuk ke basis data RDS di lingkungan AWS Anda dari alamat IP simpul keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke sumber daya RDS di akun Anda, dengan maksud menyembunyikan identitas asli pengguna anonim.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, hal tersebut mungkin menandakan bahwa kredensial pengguna telah terekspos atau disusupi. Sebaiknya ubah kata sandi pengguna basis data terkait, dan tinjau log audit yang tersedia untuk aktivitas yang dilakukan oleh pengguna yang disusupi. Aktivitas ini juga dapat menunjukkan bahwa ada kebijakan akses yang terlalu permisif ke basis data atau basis data tersebut terekspos secara publik. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil.
CredentialAccess:RDS/TorIPCaller.FailedLogin
Sebuah alamat IP Tor mencoba, tetapi gagal login ke basis data RDS di akun Anda.
Tingkat keparahan default: Medium
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa alamat IP node keluar Tor mencoba masuk ke database RDS di AWS lingkungan Anda, tetapi gagal memberikan nama pengguna atau kata sandi yang benar. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke sumber daya RDS di akun Anda, dengan maksud menyembunyikan identitas asli pengguna anonim.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, hal tersebut mungkin menandakan bahwa terdapat kebijakan akses ke basis data yang terlalu permisif atau basis data terekspos secara publik. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Untuk informasi selengkapnya, lihat Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.
Discovery:RDS/TorIPCaller
Alamat IP simpul keluar Tor memeriksa basis data RDS di akun Anda, tidak ada percobaan autentikasi yang dilakukan.
Tingkat keparahan default: Medium
-
Fitur: Pemantauan aktivitas login RDS
Temuan ini memberi tahu Anda bahwa alamat IP simpul keluar Tor memeriksa basis data RDS di lingkungan AWS Anda, meskipun tidak ada percobaan login yang dilakukan. Hal ini mungkin menunjukkan bahwa pelaku yang berpotensi berbahaya mencoba memindai infrastruktur yang dapat diakses publik. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan memantulkan komunikasi melalui relay antara serangkaian node jaringan. Simpul Tor terakhir disebut sebagai simpul keluar. Hal ini dapat menunjukkan akses tidak sah ke sumber daya RDS di akun Anda, dengan maksud menyembunyikan identitas asli pelaku yang berpotensi berbahaya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk basis data terkait, hal tersebut mungkin menandakan bahwa terdapat kebijakan akses ke basis data yang terlalu permisif atau basis data terekspos secara publik. Sebaiknya tempatkan basis data di VPC privat dan batasi aturan grup keamanan untuk mengizinkan lalu lintas hanya dari sumber yang diperlukan. Lihat informasi yang lebih lengkap di Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal.
