本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 修復可能遭到入侵的資料庫
<a name="guardduty-remediate-compromised-database-rds"></a>

啟用 [RDS 保護](rds-protection.md) 後，GuardDuty 會產生 [RDS 保護調查結果類型](findings-rds-protection.md)，表示您的 [支援的資料庫](rds-protection.md#rds-pro-supported-db) 中可能存在可疑和異常的登入行為。GuardDuty 使用 RDS 登入活動，透過識別登入嘗試中的異常模式來分析和剖析威脅。

**注意**  
您可以從 [GuardDuty 作用中調查結果類型](guardduty_finding-types-active.md#findings-table) 中選取調查結果類型，以存取該類型的完整資訊。

請依照這些建議步驟，修復 AWS 環境中可能遭到入侵的 Amazon Aurora 資料庫。

**Topics**
+ [修復可能遭到入侵且含有成功登入事件的資料庫](#gd-compromised-db-successful-attempt)
+ [修復可能遭到入侵且含有失敗登入事件的資料庫](#gd-compromised-db-failed-attempt)
+ [修復可能遭到入侵的憑證](#gd-rds-database-compromised-credentials)
+ [限制網路存取權限](#gd-rds-database-restrict-network-access)

## 修復可能遭到入侵且含有成功登入事件的資料庫
<a name="gd-compromised-db-successful-attempt"></a>

下列建議步驟可協助您修復可能遭到入侵的 Aurora 資料庫，且該資料庫會出現與成功登入事件相關的異常行為。

1. **識別受影響的資料庫和使用者。**

   產生的 GuardDuty 調查結果會提供受影響資料庫的名稱和對應的使用者詳細資訊。如需詳細資訊，請參閱[調查結果詳細資訊](guardduty_findings-summary.md)。

1. **確認此行為是預期還是意外的行為。**

   下列清單指定了可能造成 GuardDuty 產生調查結果的潛在情況：
   + 使用者在很長一段時間後登入其資料庫。
   + 使用者偶爾登入資料庫，例如財務分析師每個季度登入。
   + 參與成功登入嘗試的潛在可疑執行者可能會入侵資料庫。

1. **如果是意外行為，請開始此步驟。**

   1. **限制資料庫存取權限**

      限制可疑帳戶的資料庫存取權限，以及此登入活動的來源。如需詳細資訊，請參閱[修復可能遭到入侵的憑證](#gd-rds-database-compromised-credentials)及[限制網路存取權限](#gd-rds-database-restrict-network-access)。

   1. **評估影響並確定存取了哪些資訊。**
      + 如果可用，請檢閱稽核日誌以識別可能已存取的資訊片段。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》**中的[在 Amazon Aurora 資料庫叢集中監控事件、日誌和串流](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Monitor_Logs_Events.html)。
      + 判斷是否存取或修改了任何敏感或受保護的資訊。

## 修復可能遭到入侵且含有失敗登入事件的資料庫
<a name="gd-compromised-db-failed-attempt"></a>

下列建議步驟可協助您修復可能遭到入侵的 Aurora 資料庫，且該資料庫會出現與失敗登入事件相關的異常行為。

1. **識別受影響的資料庫和使用者。**

   產生的 GuardDuty 調查結果會提供受影響資料庫的名稱和對應的使用者詳細資訊。如需詳細資訊，請參閱[調查結果詳細資訊](guardduty_findings-summary.md)。

1. **識別失敗登入嘗試的來源。**

   產生的 GuardDuty 調查結果會在調查結果面板的**執行者**區段下提供 **IP 地址**和 **ASN 組織** (如果是公有連線)。

   自治系統 (AS) 是由一個或多個網路業者執行的一個或多個 IP 字首 (可在網路上存取的 IP 地址清單) 的群組，而這些網路業者維護單一且明確定義的路由政策。網路業者需要自治系統編號 (ASN) 來控制其網路內的路由，並與其他網際網路服務供應商 (ISP) 交換路由資訊。

1. **確認此行為是意外行為。**

   檢查此活動是否表示嘗試獲得對資料庫的其他未經授權的存取權限，如下所示：
   + 如果來源是內部來源，請檢查應用程式是否設定錯誤，並重複嘗試連線。
   + 如果這是外部執行者，請檢查對應的資料庫是否設定為公有或設定錯誤，進而允許潛在惡意動作者暴力破解常見使用者名稱。

1. **如果是意外行為，請開始此步驟。**

   1. **限制資料庫存取權限**

      限制可疑帳戶的資料庫存取權限，以及此登入活動的來源。如需詳細資訊，請參閱[修復可能遭到入侵的憑證](#gd-rds-database-compromised-credentials)及[限制網路存取權限](#gd-rds-database-restrict-network-access)。

   1. **執行根本原因分析，並確定可能導致此活動的步驟。**

      設定提醒以在活動修改網路政策並建立不安全狀態時收到通知。如需詳細資訊，請參閱 *AWS Network Firewall Developer Guide* 中的 [Firewall policies in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)。

## 修復可能遭到入侵的憑證
<a name="gd-rds-database-compromised-credentials"></a>

GuardDuty 調查結果可指出如果調查結果中識別的使用者已執行非預期的資料庫作業，則受影響資料庫的使用者憑證已遭到入侵。您可以在主控台的調查結果面板內的 **RDS DB 使用者詳細資訊**區段中，或在調查結果 JSON 的 `resource.rdsDbUserDetails` 內識別使用者。這些使用者詳細資訊包括使用者名稱、使用的應用程式、存取的資料庫、SSL 版本和身分驗證方法。
+ 若要撤銷與調查結果有關的特定使用者的存取權限或輪換密碼，請參閱《Amazon Aurora 使用者指南》**中的 [Amazon Aurora MySQL 的安全性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Security.html)或 [Amazon Aurora PostgreSQL 的安全性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Security.html)。
+ 使用 AWS Secrets Manager 安全地存放和自動輪換 Amazon Relational Database Service (RDS) 資料庫的秘密。如需詳細資訊，請參閱《AWS Secrets Manager 使用者指南》**中的 [AWS Secrets Manager 教學課程](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials.html)。
+ 使用 IAM 資料庫身分驗證來管理資料庫使用者的存取權限，而不需要密碼。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》**中的 [IAM 資料庫身分驗證](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)。

  如需詳細資訊，請參閱《Amazon RDS 使用者指南》**中的 [Amazon Relational Database Service 的安全最佳實務](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_BestPractices.Security.html)。

## 限制網路存取權限
<a name="gd-rds-database-restrict-network-access"></a>

GuardDuty 調查結果可指出可以在應用程式或虛擬私有雲端 (VPC) 之外存取資料庫。如果調查結果中的遠端 IP 地址是非預期的連線來源，請稽核安全群組。連接至資料庫的安全群組清單位於 [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/) 主控台的**安全群組**下，或調查結果 JSON 的 `resource.rdsDbInstanceDetails.dbSecurityGroups` 中。如需有關設定安全群組的詳細資訊，請參閱《Amazon RDS 使用者指南》**中的[使用安全群組控制存取權限](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)。

如果您使用防火牆，請重新設定網路存取控制清單 (NACL) 以限制對資料庫的網路存取權限。如需詳細資訊，請參閱 *AWS Network Firewall Developer Guide* 中的 [Firewalls in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewalls.html)。