Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memulihkan database yang berpotensi dikompromikan
<a name="guardduty-remediate-compromised-database-rds"></a>

GuardDuty menghasilkan [Jenis temuan Perlindungan RDS](findings-rds-protection.md) yang menunjukkan perilaku login yang berpotensi mencurigakan dan anomali di Anda [Database yang didukung](rds-protection.md#rds-pro-supported-db) setelah Anda mengaktifkan. [Perlindungan RDS](rds-protection.md) Menggunakan aktivitas login RDS, GuardDuty analisis dan profil ancaman dengan mengidentifikasi pola yang tidak biasa dalam upaya login.

**catatan**  
Anda dapat mengakses informasi lengkap tentang jenis temuan dengan memilihnya dari file[GuardDuty jenis temuan aktif](guardduty_finding-types-active.md#findings-table).

Ikuti langkah-langkah yang disarankan ini untuk memulihkan database Amazon Aurora yang berpotensi dikompromikan di lingkungan Anda. AWS 

**Topics**
+ [Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil](#gd-compromised-db-successful-attempt)
+ [Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal](#gd-compromised-db-failed-attempt)
+ [Memulihkan kredensi yang berpotensi dikompromikan](#gd-rds-database-compromised-credentials)
+ [Batasi akses jaringan](#gd-rds-database-restrict-network-access)

## Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil
<a name="gd-compromised-db-successful-attempt"></a>

Langkah-langkah yang disarankan berikut dapat membantu Anda memulihkan database Aurora yang berpotensi dikompromikan yang menunjukkan perilaku tidak biasa terkait dengan peristiwa login yang berhasil.

1. **Identifikasi database dan pengguna yang terpengaruh.**

    GuardDuty Temuan yang dihasilkan memberikan nama database yang terpengaruh dan detail pengguna yang sesuai. Untuk informasi selengkapnya, lihat [Detail temuan](guardduty_findings-summary.md).

1. **Konfirmasikan apakah perilaku ini diharapkan atau tidak terduga.**

   Daftar berikut menentukan skenario potensial yang mungkin menyebabkan GuardDuty untuk menghasilkan temuan:
   + Seorang pengguna yang masuk ke database mereka setelah waktu yang lama berlalu.
   + Seorang pengguna yang masuk ke database mereka sesekali, misalnya, seorang analis keuangan yang log in di setiap kuartal.
   + Aktor yang berpotensi mencurigakan yang terlibat dalam upaya login yang berhasil berpotensi membahayakan database.

1. **Mulailah langkah ini jika perilakunya tidak terduga.**

   1. **Batasi akses basis data**

      Batasi akses database untuk akun yang dicurigai dan sumber aktivitas login ini. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan](#gd-rds-database-compromised-credentials) dan [Batasi akses jaringan](#gd-rds-database-restrict-network-access).

   1. **Menilai dampak dan menentukan informasi apa yang diakses.**
      + Jika tersedia, tinjau log audit untuk mengidentifikasi potongan-potongan informasi yang mungkin telah diakses. Untuk informasi selengkapnya, lihat [Memantau peristiwa, log, dan aliran di klaster DB Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Monitor_Logs_Events.html) di Panduan Pengguna *Amazon Aurora*. 
      + Tentukan apakah ada informasi sensitif atau dilindungi yang diakses atau dimodifikasi.

## Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal
<a name="gd-compromised-db-failed-attempt"></a>

Langkah-langkah yang disarankan berikut dapat membantu Anda memulihkan database Aurora yang berpotensi dikompromikan yang menunjukkan perilaku yang tidak biasa terkait dengan peristiwa login yang gagal.

1. **Identifikasi database dan pengguna yang terpengaruh.**

    GuardDuty Temuan yang dihasilkan memberikan nama database yang terpengaruh dan detail pengguna yang sesuai. Untuk informasi selengkapnya, lihat [Detail temuan](guardduty_findings-summary.md).

1. **Identifikasi sumber upaya login yang gagal.** 

    GuardDuty Temuan yang dihasilkan menyediakan **alamat IP** dan **organisasi ASN** (jika itu adalah koneksi publik) di bawah bagian **Aktor** dari panel pencarian.

   Autonomous System (AS) adalah sekelompok satu atau lebih awalan IP (daftar alamat IP yang dapat diakses pada jaringan) yang dijalankan oleh satu atau lebih operator jaringan yang mempertahankan kebijakan routing tunggal yang didefinisikan dengan jelas. Operator jaringan memerlukan Autonomous System Numbers (ASNs) untuk mengontrol routing dalam jaringan mereka dan untuk bertukar informasi routing dengan penyedia layanan internet lainnya ()ISPs. 

1. **Konfirmasikan bahwa perilaku ini tidak terduga.**

   Periksa apakah aktivitas ini merupakan upaya untuk mendapatkan akses tidak sah tambahan ke database sebagai berikut:
   + Jika sumbernya internal, periksa apakah aplikasi salah konfigurasi dan coba koneksi berulang kali. 
   + Jika ini adalah aktor eksternal, periksa apakah database yang sesuai menghadap publik atau salah konfigurasi dan dengan demikian memungkinkan pelaku jahat potensial untuk secara kasar memaksa nama pengguna umum.

1. **Mulailah langkah ini jika perilakunya tidak terduga.**

   1. **Batasi akses basis data**

      Batasi akses database untuk akun yang dicurigai dan sumber aktivitas login ini. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan](#gd-rds-database-compromised-credentials) dan [Batasi akses jaringan](#gd-rds-database-restrict-network-access).

   1. **Lakukan analisis akar penyebab dan tentukan langkah-langkah yang berpotensi menyebabkan aktivitas ini.**

      Siapkan peringatan untuk mendapatkan pemberitahuan saat aktivitas mengubah kebijakan jaringan dan membuat status tidak aman. Untuk informasi selengkapnya, lihat [Kebijakan Firewall AWS Network Firewall di](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) *Panduan AWS Network Firewall Pengembang*.

## Memulihkan kredensi yang berpotensi dikompromikan
<a name="gd-rds-database-compromised-credentials"></a>

 GuardDuty Temuan mungkin menunjukkan bahwa kredensi pengguna untuk database yang terpengaruh telah dikompromikan ketika pengguna yang diidentifikasi dalam temuan telah melakukan operasi database yang tidak terduga. Anda dapat mengidentifikasi pengguna di bagian **detail pengguna RDS DB** dalam panel pencarian di konsol, atau di `resource.rdsDbUserDetails` dalam temuan JSON. Detail pengguna ini termasuk nama pengguna, aplikasi yang digunakan, database diakses, versi SSL, dan metode otentikasi.
+ *Untuk mencabut akses atau memutar kata sandi untuk pengguna tertentu yang terlibat dalam temuan, lihat [Keamanan dengan Amazon Aurora MySQL, atau Keamanan dengan Amazon Aurora PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Security.html) [di Panduan Pengguna Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Security.html).*
+ Gunakan AWS Secrets Manager untuk menyimpan dengan aman dan secara otomatis memutar rahasia untuk database Amazon Relational Database Service (RDS). Untuk informasi selengkapnya, lihat [AWS Secrets Manager tutorial](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials.html) di *Panduan AWS Secrets Manager Pengguna*.
+ Gunakan autentikasi basis data IAM untuk mengelola akses pengguna database tanpa perlu kata sandi. Untuk informasi selengkapnya, lihat [autentikasi database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) di Panduan Pengguna *Amazon Aurora*.

  Untuk informasi selengkapnya, lihat [Praktik terbaik keamanan untuk Amazon Relational Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_BestPractices.Security.html) Service di Panduan *Pengguna Amazon RDS.*

## Batasi akses jaringan
<a name="gd-rds-database-restrict-network-access"></a>

 GuardDuty Temuan mungkin menunjukkan bahwa database dapat diakses di luar aplikasi Anda, atau Virtual Private Cloud (VPC). Jika alamat IP jarak jauh dalam temuan adalah sumber koneksi yang tidak terduga, audit grup keamanan. Daftar grup keamanan yang dilampirkan ke database tersedia di bawah **Grup keamanan** di [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)konsol, atau di `resource.rdsDbInstanceDetails.dbSecurityGroups` temuan JSON. Untuk informasi selengkapnya tentang mengonfigurasi grup keamanan, lihat [Mengontrol akses dengan grup keamanan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html) di *Panduan Pengguna Amazon RDS*.

Jika Anda menggunakan firewall, batasi akses jaringan ke database dengan mengkonfigurasi ulang Network Access Control Lists (). NACLs Untuk informasi selengkapnya, lihat [Firewall AWS Network Firewall di](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewalls.html) *Panduan AWS Network Firewall Pengembang*.