Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti Correzione di credenziali potenzialmente compromesse Limita l'accesso alla rete

Riparazione di un database potenzialmente compromesso

GuardDuty generi RDSTipi di accertamenti di protezione che indicano un comportamento di accesso potenzialmente sospetto e anomalo dopo l'attivazione. Database supportati RDSProtezione Utilizzando l'attività di RDS accesso, GuardDuty analizza e profila le minacce identificando modelli insoliti nei tentativi di accesso.

Nota

Puoi accedere alle informazioni complete su un tipo di esito selezionandolo dalla GuardDuty risultati attivi.

Segui questi passaggi consigliati per correggere un database Amazon Aurora potenzialmente compromesso nel tuo ambiente. AWS

Argomenti

Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti
Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti
Correzione di credenziali potenzialmente compromesse
Limita l'accesso alla rete

Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti

I seguenti passaggi consigliati sono utili per correggere un database Aurora potenzialmente compromesso che presenta un comportamento insolito legato a eventi di accesso riusciti.

Identifica il database e l'utente interessati.

Il GuardDuty risultato generato fornisce il nome del database interessato e i dettagli utente corrispondenti. Per ulteriori informazioni, consulta Dettagli degli esiti.
Verifica se questo comportamento è previsto o non previsto.

L'elenco seguente specifica i potenziali scenari che potrebbero aver causato la generazione GuardDuty di un risultato:
- Un utente che accede al proprio database dopo un lungo periodo di tempo.
- Un utente che accede occasionalmente al proprio database, ad esempio un analista finanziario che accede ogni tre mesi.
- Un attore potenzialmente sospetto coinvolto in un tentativo di accesso riuscito può compromettere il database.
Inizia questa fase se il comportamento non è previsto.
1. Limita l'accesso al database
  
  Limita l'accesso al database per gli account sospetti e per l'origine di questa attività di accesso. Per ulteriori informazioni, consulta Correzione di credenziali potenzialmente compromesse e Limita l'accesso alla rete.
2. Valuta l'impatto e determina a quali informazioni è stato effettuato l'accesso.
  - Se disponibili, esamina i log di audit per identificare le informazioni a cui potrebbe essere stato effettuato l'accesso. Per ulteriori informazioni, consulta Monitoraggio di eventi, registri e flussi in un cluster di database Amazon Aurora nella Guida per l'utente di Amazon Aurora.
  - Determina se sono stati effettuati accessi o modifiche a informazioni sensibili o protette.

Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti

I seguenti passaggi consigliati sono utili per correggere un database Aurora potenzialmente compromesso che presenta un comportamento insolito legato a eventi di accesso falliti.

Identifica il database e l'utente interessati.

Il GuardDuty risultato generato fornisce il nome del database interessato e i dettagli utente corrispondenti. Per ulteriori informazioni, consulta Dettagli degli esiti.
Identifica l'origine dei tentativi di accesso falliti.

Il GuardDuty risultato generato fornisce l'indirizzo IP e ASNl'organizzazione (se si trattava di una connessione pubblica) nella sezione Attore del pannello di ricerca.

Un sistema autonomo (AS) è un gruppo di uno o più prefissi IP (elenchi di indirizzi IP accessibili su una rete) gestiti da uno o più operatori di rete che mantengono un'unica policy di instradamento chiaramente definita. Gli operatori di rete necessitano di Autonomous System Numbers (ASNs) per controllare il routing all'interno delle loro reti e scambiare informazioni di routing con altri provider di servizi Internet ()ISPs.
Verifica che questo comportamento non sia previsto.

Verifica nel modo seguente se questa attività rappresenta un tentativo di ottenere un ulteriore accesso non autorizzato al database:
- Se l'origine è interna, verifica se un'applicazione non è configurata correttamente e tenta ripetutamente di stabilire una connessione.
- Se si tratta di un attore esterno, verificate se il database corrispondente è pubblico o non correttamente configurato, permettendo così ai potenziali utenti malintenzionati di usare la forza bruta con nomi utente comuni.
Inizia questa fase se il comportamento non è previsto.
1. Limita l'accesso al database
  
  Limita l'accesso al database per gli account sospetti e per l'origine di questa attività di accesso. Per ulteriori informazioni, consulta Correzione di credenziali potenzialmente compromesse e Limita l'accesso alla rete.
2. Esegui l'analisi delle cause principali e determina i passaggi che potenzialmente hanno portato a questa attività.
  
  Imposta un avviso per ricevere una notifica quando un'attività modifica una policy di rete e crea uno stato di insicurezza. Per ulteriori informazioni, consulta Policy del firewall in AWS Network Firewall nella Guida per gli sviluppatori di AWS Network Firewall .

Correzione di credenziali potenzialmente compromesse

Un GuardDuty risultato può indicare che le credenziali dell'utente per un database interessato sono state compromesse quando l'utente identificato nel risultato ha eseguito un'operazione imprevista sul database. È possibile identificare l'utente nella sezione dei dettagli dell'utente del RDS DB all'interno del pannello di ricerca della console o all'interno resource.rdsDbUserDetails dei risultati. JSON Questi dettagli utente includono il nome utente, l'applicazione utilizzata, il database a cui si accede, SSL la versione e il metodo di autenticazione.

Per revocare l'accesso o ruotare le password per utenti specifici coinvolti nella ricerca, consulta Sicurezza con Amazon Aurora My o SQL Sicurezza con Amazon Aurora Postgre nella Guida per l'utente di Amazon Aurora. SQL
Utilizzalo AWS Secrets Manager per archiviare in modo sicuro e ruotare automaticamente i segreti per i database Amazon Relational Database Service (). RDS Per ulteriori informazioni, consulta Tutorial di AWS Secrets Manager nella Guida per l'utente di AWS Secrets Manager .
Usa l'autenticazione IAM del database per gestire l'accesso degli utenti del database senza bisogno di password. Per ulteriori informazioni, consulta l'autenticazione del IAM database nella Guida per l'utente di Amazon Aurora.

Per ulteriori informazioni, consulta le best practice di sicurezza per Amazon Relational Database Service nella RDSAmazon User Guide.

Limita l'accesso alla rete

Una GuardDuty scoperta potrebbe indicare che un database è accessibile al di fuori delle tue applicazioni o del Virtual Private Cloud (VPC). Se l'indirizzo IP remoto indicato nell'esito è un'origine di connessione non prevista, controlla i gruppi di sicurezza. Un elenco dei gruppi di sicurezza collegati al database è disponibile in Gruppi resource.rdsDbInstanceDetails.dbSecurityGroups di sicurezza nella https://console.aws.amazon.com/rds/console o nei risultatiJSON. Per ulteriori informazioni sulla configurazione dei gruppi di sicurezza, consulta Controlling access with security groups nella Amazon RDS User Guide.

Se utilizzi un firewall, limita l'accesso alla rete al database riconfigurando le liste di controllo degli accessi alla rete (). NACLs Per ulteriori informazioni, consulta Firewall in AWS Network Firewall nella Guida per gli sviluppatori di AWS Network Firewall .

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzione dei risultati del Runtime Monitoring

Correzione di una funzione Lambda potenzialmente compromessa