기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 잠재적으로 손상된 데이터베이스 해결
<a name="guardduty-remediate-compromised-database-rds"></a>

GuardDuty는 [RDS 보호](rds-protection.md) 활성화 후 [지원되는 데이터베이스](rds-protection.md#rds-pro-supported-db)에서 발생할 수 있는 의심스럽고 비정상적인 로그인 동작을 나타내는 [RDS 보호 결과 유형](findings-rds-protection.md)을 생성합니다. GuardDuty는 RDS 로그인 활동을 사용하여 로그인 시도의 비정상적인 패턴을 식별하여 위협을 분석하고 프로파일링합니다.

**참고**  
[GuardDuty 활성 조사 결과 유형](guardduty_finding-types-active.md#findings-table)에서 선택하여 결과 유형에 대한 전체 정보에 액세스할 수 있습니다.

다음 권장 단계에 따라 AWS 환경에서 잠재적으로 손상된 Amazon Aurora 데이터베이스를 해결합니다.

**Topics**
+ [성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](#gd-compromised-db-successful-attempt)
+ [실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](#gd-compromised-db-failed-attempt)
+ [손상되었을 수 있는 보안 인증 정보 문제 해결](#gd-rds-database-compromised-credentials)
+ [네트워크 액세스 제한](#gd-rds-database-restrict-network-access)

## 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결
<a name="gd-compromised-db-successful-attempt"></a>

다음 권장 단계는 성공적인 로그인 이벤트와 관련하여 비정상적인 동작을 보이는 잠재적으로 손상된 Aurora 데이터베이스를 해결하는 데 도움이 될 수 있습니다.

1. **영향을 받는 데이터베이스와 사용자를 식별합니다.**

   생성된 GuardDuty 결과는 영향을 받는 데이터베이스의 이름과 해당 사용자 세부 정보를 제공합니다. 자세한 내용은 [결과 세부 정보](guardduty_findings-summary.md) 단원을 참조하십시오.

1. **이 동작이 예상된 것인지 여부를 확인합니다.**

   다음 목록은 GuardDuty에서 결과를 생성했을 수 있는 잠재적 시나리오를 설명합니다.
   + 오랜 시간이 지난 후 데이터베이스에 로그인하는 사용자.
   + 가끔 데이터베이스에 로그인하는 사용자(예: 분기마다 로그인하는 재무 분석가).
   + 데이터베이스를 손상시킬 수 있는 성공적인 로그인 시도에 관여한 잠재적으로 의심스러운 작업자.

1. **예상치 않은 동작이 발생한 경우 이 단계를 시작합니다.**

   1. **데이터베이스 액세스 제한**

      의심되는 계정 및 이 로그인 활동의 출처에 대한 데이터베이스 액세스를 제한합니다. 자세한 내용은 [손상되었을 수 있는 보안 인증 정보 문제 해결](#gd-rds-database-compromised-credentials) 및 [네트워크 액세스 제한](#gd-rds-database-restrict-network-access) 섹션을 참조하세요.

   1. **영향을 평가하고 어떤 정보가 액세스되었는지 확인합니다.**
      + 가능한 경우 감사 로그를 검토하여 액세스되었을 수 있는 정보를 식별합니다. 자세한 내용은 Amazon Aurora 사용 설명서**의 [Amazon Aurora DB 클러스터에서 이벤트, 로그 및 스트림 모니터링](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Monitor_Logs_Events.html)을 참조하세요.
      + 민감하거나 보호되는 정보가 액세스 또는 수정되었는지 확인합니다.

## 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결
<a name="gd-compromised-db-failed-attempt"></a>

다음 권장 단계는 실패한 로그인 이벤트와 관련하여 비정상적인 동작을 보이는 잠재적으로 손상된 Aurora 데이터베이스를 해결하는 데 도움이 될 수 있습니다.

1. **영향을 받는 데이터베이스와 사용자를 식별합니다.**

   생성된 GuardDuty 결과는 영향을 받는 데이터베이스의 이름과 해당 사용자 세부 정보를 제공합니다. 자세한 내용은 [결과 세부 정보](guardduty_findings-summary.md) 단원을 참조하십시오.

1. **실패한 로그인 시도의 출처를 식별합니다.**

   생성된 GuardDuty 결과의 결과 패널 아래에 있는 **작업자** 섹션에서는 **IP 주소** 및 **ASN 조직**(퍼블릭 연결인 경우)이 제공됩니다.

   Autonomous System(AS)은 명확하게 정의된 단일 라우팅 정책을 유지하는 하나 이상의 네트워크 운영자가 실행하는 하나 이상의 IP 접두사 그룹입니다(네트워크에서 액세스할 수 있는 IP 주소 목록). 네트워크 운영자가 네트워크 내 라우팅을 제어하고 다른 인터넷 서비스 제공업체(ISP)와 라우팅 정보를 교환하려면 Autonomous System Number(ASN)가 필요합니다.

1. **이 동작이 예상치 않은 것인지 확인합니다.**

   다음과 같이 이 활동이 데이터베이스에 대한 추가 무단 액세스 권한을 얻으려는 시도를 나타내는지 검사합니다.
   + 내부 소스인 경우 애플리케이션이 잘못 구성되어 있고 연결을 반복해서 시도하고 있지 않은지 검사합니다.
   + 외부 작업자인 경우 해당 데이터베이스가 공개되어 있거나 잘못 구성되어 있어 잠재적인 악성 공격자가 일반적인 사용자 이름을 무차별 대입할 수 있는지 확인합니다.

1. **예상치 않은 동작이 발생한 경우 이 단계를 시작합니다.**

   1. **데이터베이스 액세스 제한**

      의심되는 계정 및 이 로그인 활동의 출처에 대한 데이터베이스 액세스를 제한합니다. 자세한 내용은 [손상되었을 수 있는 보안 인증 정보 문제 해결](#gd-rds-database-compromised-credentials) 및 [네트워크 액세스 제한](#gd-rds-database-restrict-network-access) 섹션을 참조하세요.

   1. **근본 원인 분석을 수행하고 이러한 활동의 원인이 될 수 있었던 단계를 파악합니다.**

      활동으로 인해 네트워킹 정책이 수정되어 안전하지 않은 상태가 발생할 경우 알림을 받도록 설정합니다. 자세한 내용은AWS Network Firewall 개발자 안내서**의 [Firewall policies in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)을 참조하세요.

## 손상되었을 수 있는 보안 인증 정보 문제 해결
<a name="gd-rds-database-compromised-credentials"></a>

GuardDuty 결과는 결과에서 식별된 사용자가 예상치 못한 데이터베이스 작업을 수행했을 때 영향을 받는 데이터베이스의 사용자 보안 인증 정보가 손상되었음을 나타낼 수 있습니다. 콘솔의 결과 패널에 있는 **RDS DB 사용자 세부 정보** 섹션 또는 결과 JSON의 `resource.rdsDbUserDetails`에서 사용자를 식별할 수 있습니다. 이러한 사용자 세부 정보에는 사용자 이름, 사용된 애플리케이션, 액세스한 데이터베이스, SSL 버전 및 인증 방법이 포함됩니다.
+ 결과와 관련된 특정 사용자의 액세스 권한을 철회하거나 암호를 교체하려면 Amazon Aurora 사용 설명서**의 [Amazon Aurora MySQL를 사용한 보안](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Security.html) 또는 [Amazon Aurora PostgreSQL를 사용한 보안](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Security.html)을 참조하세요.
+  AWS Secrets Manager 를 사용하여 Amazon Relational Database Service(RDS) 데이터베이스의 보안 암호를 안전하게 저장하고 자동으로 교체합니다. 자세한 내용은AWS Secrets Manager 사용 설명서**의 [AWS Secrets Manager 자습서](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials.html)를 참조하세요.
+ IAM 데이터베이스 인증을 사용하여 암호 없이도 데이터베이스 사용자의 액세스를 관리합니다. 자세한 내용은 Amazon Aurora 사용 설명서**의 [IAM 데이터베이스 인증](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)을 참조하세요.

  자세한 내용은 Amazon RDS 사용 설명서**의 [Security best practices for Amazon Relational Database Service](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_BestPractices.Security.html)를 참조하세요.

## 네트워크 액세스 제한
<a name="gd-rds-database-restrict-network-access"></a>

GuardDuty 결과가 애플리케이션 또는 Virtual Private Cloud(VPC)를 넘어서 데이터베이스에 액세스할 수 있음을 나타낼 수 있습니다. 결과의 원격 IP 주소가 예상치 못한 연결 소스인 경우 보안 그룹을 감사합니다. 데이터베이스에 연결된 보안 그룹 목록은 [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/) 콘솔의 **보안 그룹** 또는 결과 JSON의 `resource.rdsDbInstanceDetails.dbSecurityGroups`에서 확인할 수 있습니다. 보안 그룹 구성에 대한 자세한 내용은 Amazon RDS 사용 설명서**의 [보안 그룹을 통한 액세스 제어](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)를 참조하세요.

방화벽을 사용하는 경우 네트워크 액세스 제어 목록(NACL)을 재구성하여 데이터베이스에 대한 네트워크 액세스를 제한합니다. 자세한 내용은AWS Network Firewall 개발자 안내서**의 [Firewalls in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewalls.html)을 참조하세요.