翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# GuardDuty RDS Protection の検出結果タイプ
GuardDuty RDS Protection は、データベースインスタンスでの異常なログイン動作を検出します。以下の検出結果は [サポートされている Amazon Aurora、Amazon RDS および Aurora Limitless データベース](rds-protection.md#rds-pro-supported-db) 固有のものであり、**リソースタイプ**は `RDSDBInstance` または `RDSLimitlessDB` です。結果の重大度と詳細は、結果タイプによって異なります。
**Topics**
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](#credaccess-rds-anombehavior-successlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](#credaccess-rds-anombehavior-failedlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](#credaccess-rds-anombehavior-successfulbruteforce)
+ [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](#credaccess-rds-maliciousipcaller-successfullogin)
+ [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](#credaccess-rds-maliciousipcaller-failedlogin)
+ [Discovery:RDS/MaliciousIPCaller](#discovery-rds-maliciousipcaller)
+ [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](#credaccess-rds-toripcaller-successfullogin)
+ [CredentialAccess:RDS/TorIPCaller.FailedLogin](#credaccess-rds-toripcaller-failedlogin)
+ [Discovery:RDS/TorIPCaller](#discovery-rds-toripcaller)
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
### ユーザーがアカウント内の RDS データベースへのログインに、異常な方法で成功しました。
**デフォルトの重大度: 可変**
**注記**
この検出結果に関連する異常な動作に応じて、デフォルトの重大度は「低」、「中」、「高」になります。
**低** - この検出結果に関連するユーザー名が、プライベートネットワークに関連付けられた IP アドレスからログインした場合。
**中** - この検出結果に関連するユーザー名がパブリック IP アドレスからログインした場合。
**高** - パブリック IP アドレスからのログイン試行の失敗が一貫して続いている場合は、アクセスポリシーが過度に制限されていることを示します。
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、 AWS 環境の RDS データベースで異常なログイン成功が観察されたことを知らせるものです。これは、以前に見たことのないユーザーが RDS データベースに初めてログインしたことを示している可能性があります。一般的なシナリオは、個々のユーザーではなくアプリケーションがプログラム的にアクセスするデータベースに内部ユーザーがログインする場合です。
このログイン成功は、GuardDuty の異常検出機械学習 (ML) モデルにより、異常として識別されています。機械学習モデルは、[サポートされている Amazon Aurora、Amazon RDS および Aurora Limitless データベース](rds-protection.md#rds-pro-supported-db) 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDS ログインアクティビティのさまざまな要因を追跡します。潜在的に異常なログインイベントについては、「[RDS ログインアクティビティベースの異常](guardduty_findings-summary.md#rds-pro-login-anomaly)」を参照してください。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認することをお勧めします。中および高の重大度の検出結果は、データベースへのアクセスポリシーが過度に寛容であり、ユーザーの認証情報が漏洩または侵害された可能性があることを示している可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの成功により、侵害された可能性のあるデータベースの修復](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)」を参照してください。
## CredentialAccess:RDS/AnomalousBehavior.FailedLogin
### アカウント内の RDS データベースで、1 回以上の異常なログイン失敗が確認されました。
**デフォルトの重大度: [Low] (低**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、 AWS 環境内の RDS データベースで 1 つ以上の異常なログイン失敗が観察されたことを知らせるものです。パブリック IP アドレスからのログインに失敗した場合は、アカウントの RDS データベースが、潜在的に悪意のある攻撃者によるブルートフォース攻撃の試みを受けている可能性があります。
この失敗したログインは、GuardDuty の異常検出機械学習 (ML) モデルにより、異常として識別されています。機械学習モデルは、[サポートされている Amazon Aurora、Amazon RDS および Aurora Limitless データベース](rds-protection.md#rds-pro-supported-db) 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDS ログインアクティビティのさまざまな要因を追跡します。潜在的に異常な RDS ログインアクティビティについては、「[RDS ログインアクティビティベースの異常](guardduty_findings-summary.md#rds-pro-login-anomaly)」を参照してください。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースが公開されているか、データベースのアクセスポリシーが過度に許容されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの失敗により、侵害された可能性のあるデータベースの修正](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)」を参照してください。
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
### 通常とは異なるログイン試行を繰り返したユーザーが、パブリック IP アドレスからアカウントの RDS データベースに異常な方法でのログインに成功しました。
**デフォルトの重大度: [High] (高**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、 AWS 環境内の RDS データベースでブルートフォースが成功したことを示す異常なログインが観察されたことを知らせるものです。異常なログインの成功の前に、異常なログイン試行失敗の一貫したパターンが観察されました。これは、アカウント内の RDS データベースに関連付けられているユーザーとパスワードが侵害され、悪質な攻撃者によって RDS データベースにアクセスされた可能性があることを示しています。
このブルートフォースの成功は、GuardDuty の異常検出機械学習 (ML) モデルにより、異常として識別されています。機械学習モデルは、[サポートされている Amazon Aurora、Amazon RDS および Aurora Limitless データベース](rds-protection.md#rds-pro-supported-db) 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDS ログインアクティビティのさまざまな要因を追跡します。潜在的に異常な RDS ログインアクティビティについては、「[RDS ログインアクティビティベースの異常](guardduty_findings-summary.md#rds-pro-login-anomaly)」を参照してください。
**修復のレコメンデーション**
このアクティビティは、データベースの認証情報が漏洩または侵害された可能性があることを示しています。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害された可能性のあるユーザーが行ったアクティビティを確認することをお勧めします。通常とは異なるログイン試行が繰り返される場合は、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの成功により、侵害された可能性のあるデータベースの修復](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)」を参照してください。
## CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
### ユーザーが既知の悪意のある IP アドレスからアカウントの RDS データベースへのログインに成功しました。
**デフォルトの重大度: [High] (高**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、 AWS 環境内の既知の悪意のあるアクティビティに関連付けられている IP アドレスから正常な RDS ログインアクティビティが発生したことを知らせるものです。これは、アカウント内の RDS データベースに関連付けられているユーザーとパスワードが侵害され、悪質な攻撃者によって RDS データベースにアクセスされた可能性があることを示しています。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、ユーザーの認証情報が公開されているか、侵害されている可能性があります。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害されたユーザーが行ったアクティビティを確認することをお勧めします。このアクティビティは、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されていることを示している可能性もあります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの成功により、侵害された可能性のあるデータベースの修復](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)」を参照してください。
## CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
### 既知の悪意のあるアクティビティに関連する IP アドレスが、アカウントの RDS データベースへのログインに失敗しました。
**デフォルトの重大度: [Medium] (中**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、既知の悪意のあるアクティビティに関連付けられた IP アドレスが AWS 環境内の RDS データベースにログインしようとしたが、正しいユーザー名またはパスワードを指定できなかったことを知らせるものです。これは、潜在的に悪意のある攻撃者がアカウントの RDS データベースを侵害しようとしている可能性があることを示しています。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの失敗により、侵害された可能性のあるデータベースの修正](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)」を参照してください。
## Discovery:RDS/MaliciousIPCaller
### 既知の悪意のあるアクティビティに関連する IP アドレスがアカウントの RDS データベースを調べましたが、認証は行われませんでした。
**デフォルトの重大度: [Medium] (中**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、既知の悪意のあるアクティビティに関連付けられた IP アドレスが、ログイン試行は行われなかったが、 AWS 環境内の RDS データベースをプローブしたことを知らせるものです。これは、潜在的に悪意のある攻撃者が公的にアクセス可能なインフラストラクチャをスキャンしようとしていることを示している可能性があります。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの失敗により、侵害された可能性のあるデータベースの修正](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)」を参照してください。
## CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
### ユーザーが Tor 出口ノードの IP アドレスからアカウントの RDS データベースへのログインに成功しました。
**デフォルトの重大度: [High] (高**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、ユーザーが Tor 出口ノードの IP アドレスから AWS 環境内の RDS データベースに正常にログインしたことを示します。Tor は匿名通信を有効化するソフトウェアです。一連のネットワークノード間のリレーを介して通信を暗号化し、ランダムにバウンスします。最後の Tor ノードは終了ノードと呼ばれます。これは、匿名ユーザーの真のアイデンティティを隠しているという意図により、アカウント内の RDS リソースへの不正アクセスを示している場合があります。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、ユーザーの認証情報が公開されているか、侵害されている可能性があります。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害されたユーザーが行ったアクティビティを確認することをお勧めします。このアクティビティは、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されていることを示している可能性もあります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの成功により、侵害された可能性のあるデータベースの修復](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)」を参照してください。
## CredentialAccess:RDS/TorIPCaller.FailedLogin
### Tor IP アドレスはアカウントの RDS データベースにログインしようとしましたが、失敗しました。
**デフォルトの重大度: [Medium] (中**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、Tor 終了ノードの IP アドレスが AWS 環境内の RDS データベースにログインしようとしましたが、正しいユーザー名またはパスワードを指定できなかったことを知らせるものです。Tor は、匿名通信を有効にするためのソフトウェアです。一連のネットワークノード間のリレーを介して通信を暗号化し、ランダムにバウンスします。最後の Tor ノードは終了ノードと呼ばれます。これは、匿名ユーザーの真のアイデンティティを隠しているという意図により、アカウント内の RDS リソースへの不正アクセスを示している場合があります。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの失敗により、侵害された可能性のあるデータベースの修正](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)」を参照してください。
## Discovery:RDS/TorIPCaller
### Tor 出口ノードの IP アドレスがアカウントの RDS データベースを調べましたが、認証は行われませんでした。
**デフォルトの重大度: [Medium] (中**
+ **機能: **RDS ログインアクティビティのモニタリング
この検出結果は、Tor 出口ノードの IP アドレスがお客様の AWS 環境の RDS データベースを確認することをお勧めします。これは、潜在的に悪意のある攻撃者が公的にアクセス可能なインフラストラクチャをスキャンしようとしていることを示している可能性があります。Tor は、匿名通信を有効にするためのソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは終了ノードと呼ばれます。これは、悪意のある攻撃者の真のアイデンティティを隠して、アカウント内の RDS リソースへの不正アクセスを行っていることを示している可能性があります。
**修復のレコメンデーション**
関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート VPC に配置し、必要なソースからのみトラフィックを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「[ログインイベントの失敗により、侵害された可能性のあるデータベースの修正](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)」を参照してください。