Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulihkan database yang berpotensi dikompromikan
GuardDuty menghasilkan RDSJenis temuan perlindungan yang menunjukkan perilaku login yang berpotensi mencurigakan dan anomali di Anda Database yang didukung setelah Anda mengaktifkan. RDSPerlindungan Menggunakan aktivitas RDS login, GuardDuty analisis dan profil ancaman dengan mengidentifikasi pola yang tidak biasa dalam upaya login.
catatan
Anda dapat mengakses informasi lengkap tentang jenis temuan dengan memilihnya dari fileGuardDuty temuan aktif.
Ikuti langkah-langkah yang disarankan ini untuk memulihkan database Amazon Aurora yang berpotensi dikompromikan di lingkungan Anda. AWS
Topik
Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang berhasil
Langkah-langkah yang disarankan berikut dapat membantu Anda memulihkan database Aurora yang berpotensi dikompromikan yang menunjukkan perilaku tidak biasa terkait dengan peristiwa login yang berhasil.
-
Identifikasi database dan pengguna yang terpengaruh.
GuardDuty Temuan yang dihasilkan memberikan nama database yang terpengaruh dan detail pengguna yang sesuai. Untuk informasi selengkapnya, lihat Detail temuan.
-
Konfirmasikan apakah perilaku ini diharapkan atau tidak terduga.
Daftar berikut menentukan skenario potensial yang mungkin menyebabkan GuardDuty untuk menghasilkan temuan:
-
Seorang pengguna yang masuk ke database mereka setelah waktu yang lama berlalu.
-
Seorang pengguna yang masuk ke database mereka sesekali, misalnya, seorang analis keuangan yang log in di setiap kuartal.
-
Aktor yang berpotensi mencurigakan yang terlibat dalam upaya login yang berhasil berpotensi membahayakan database.
-
-
Mulailah langkah ini jika perilakunya tidak terduga.
-
Batasi akses basis data
Batasi akses database untuk akun yang dicurigai dan sumber aktivitas login ini. Untuk informasi selengkapnya, silakan lihat Memulihkan kredensi yang berpotensi dikompromikan dan Batasi akses jaringan.
-
Menilai dampak dan menentukan informasi apa yang diakses.
-
Jika tersedia, tinjau log audit untuk mengidentifikasi potongan-potongan informasi yang mungkin telah diakses. Untuk informasi selengkapnya, lihat Memantau peristiwa, log, dan aliran di klaster DB Amazon Aurora di Panduan Pengguna Amazon Aurora.
-
Tentukan apakah ada informasi sensitif atau dilindungi yang diakses atau dimodifikasi.
-
-
Memulihkan database yang berpotensi dikompromikan dengan peristiwa login yang gagal
Langkah-langkah yang disarankan berikut dapat membantu Anda memulihkan database Aurora yang berpotensi dikompromikan yang menunjukkan perilaku yang tidak biasa terkait dengan peristiwa login yang gagal.
-
Identifikasi database dan pengguna yang terpengaruh.
GuardDuty Temuan yang dihasilkan memberikan nama database yang terpengaruh dan detail pengguna yang sesuai. Untuk informasi selengkapnya, lihat Detail temuan.
-
Identifikasi sumber upaya login yang gagal.
GuardDuty Temuan yang dihasilkan menyediakan alamat IP dan ASNorganisasi (jika itu adalah koneksi publik) di bawah bagian Aktor dari panel pencarian.
Autonomous System (AS) adalah sekelompok satu atau lebih awalan IP (daftar alamat IP yang dapat diakses pada jaringan) yang dijalankan oleh satu atau lebih operator jaringan yang mempertahankan kebijakan routing tunggal yang didefinisikan dengan jelas. Operator jaringan memerlukan Autonomous System Numbers (ASNs) untuk mengontrol routing dalam jaringan mereka dan untuk bertukar informasi routing dengan penyedia layanan internet lainnya ()ISPs.
-
Konfirmasikan bahwa perilaku ini tidak terduga.
Periksa apakah aktivitas ini merupakan upaya untuk mendapatkan akses tidak sah tambahan ke database sebagai berikut:
-
Jika sumbernya internal, periksa apakah aplikasi salah konfigurasi dan coba koneksi berulang kali.
-
Jika ini adalah aktor eksternal, periksa apakah database yang sesuai menghadap publik atau salah konfigurasi dan dengan demikian memungkinkan pelaku jahat potensial untuk secara kasar memaksa nama pengguna umum.
-
-
Mulailah langkah ini jika perilakunya tidak terduga.
-
Batasi akses basis data
Batasi akses database untuk akun yang dicurigai dan sumber aktivitas login ini. Untuk informasi selengkapnya, silakan lihat Memulihkan kredensi yang berpotensi dikompromikan dan Batasi akses jaringan.
-
Lakukan analisis akar penyebab dan tentukan langkah-langkah yang berpotensi menyebabkan aktivitas ini.
Siapkan peringatan untuk mendapatkan pemberitahuan saat aktivitas mengubah kebijakan jaringan dan membuat status tidak aman. Untuk informasi selengkapnya, lihat Kebijakan Firewall AWS Network Firewall di Panduan AWS Network Firewall Pengembang.
-
Memulihkan kredensi yang berpotensi dikompromikan
GuardDuty Temuan mungkin menunjukkan bahwa kredensi pengguna untuk database yang terpengaruh telah dikompromikan ketika pengguna yang diidentifikasi dalam temuan telah melakukan operasi database yang tidak terduga. Anda dapat mengidentifikasi pengguna di bagian detail pengguna RDS DB dalam panel pencarian di konsol, atau di resource.rdsDbUserDetails
dalam temuanJSON. Detail pengguna ini termasuk nama pengguna, aplikasi yang digunakan, database diakses, SSL versi, dan metode otentikasi.
-
Untuk mencabut akses atau memutar kata sandi untuk pengguna tertentu yang terlibat dalam temuan ini, lihat Keamanan dengan Amazon Aurora SQL My, atau Keamanan dengan Amazon Aurora Postgre SQL di Panduan Pengguna Amazon Aurora.
-
Gunakan AWS Secrets Manager untuk menyimpan dengan aman dan secara otomatis memutar rahasia untuk database Amazon Relational Database Service RDS (). Untuk informasi selengkapnya, lihat AWS Secrets Manager tutorial di Panduan AWS Secrets Manager Pengguna.
-
Gunakan otentikasi IAM database untuk mengelola akses pengguna basis data tanpa perlu kata sandi. Untuk informasi selengkapnya, lihat otentikasi IAM database di Panduan Pengguna Amazon Aurora.
Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon Relational Database Service di Panduan Pengguna RDS Amazon.
Batasi akses jaringan
GuardDuty Temuan mungkin menunjukkan bahwa database dapat diakses di luar aplikasi Anda, atau Virtual Private Cloud (VPC). Jika alamat IP jarak jauh dalam temuan adalah sumber koneksi yang tidak terduga, audit grup keamanan. Daftar grup keamanan yang dilampirkan ke database tersedia di bawah Grup keamanan di https://console.aws.amazon.com/rds/resource.rdsDbInstanceDetails.dbSecurityGroups
temuanJSON. Untuk informasi selengkapnya tentang mengonfigurasi grup keamanan, lihat Mengontrol akses dengan grup keamanan di Panduan RDS Pengguna Amazon.
Jika Anda menggunakan firewall, batasi akses jaringan ke database dengan mengkonfigurasi ulang Network Access Control Lists (). NACLs Untuk informasi selengkapnya, lihat Firewall AWS Network Firewall di Panduan AWS Network Firewall Pengembang.