Protezione RDS in GuardDuty - Amazon GuardDuty
Database supportatiCome la Protezione RDS utilizza il monitoraggio delle attività di accesso RDSConfigurazione della Protezione RDS per un account autonomoConfigurazione della Protezione RDS in ambienti con più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione RDS in GuardDuty

RDS Protection in Amazon GuardDuty analizza e profila l'attività di accesso RDS per potenziali minacce di accesso ai tuoi database Amazon Aurora (Amazon Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition) e Amazon RDS for PostgreSQL. La funzionalità consente di identificare comportamenti di accesso potenzialmente sospetti. La Protezione RDS non richiede un'infrastruttura aggiuntiva ed è progettata in modo da non influire negativamente sulle prestazioni delle istanze di database.

Quando RDS Protection rileva un tentativo di accesso potenzialmente sospetto o anomalo che indica una minaccia per il database, genera una nuova scoperta con dettagli sul database potenzialmente compromesso. GuardDuty

Puoi abilitare o disabilitare la funzionalità RDS Protection per qualsiasi account in qualsiasi Regione AWS luogo in cui questa funzione è disponibile in Amazon GuardDuty, in qualsiasi momento. Un GuardDuty account esistente può abilitare RDS Protection con un periodo di prova di 30 giorni. Per un nuovo GuardDuty account, RDS Protection è già abilitato e incluso nel periodo di prova gratuito di 30 giorni. Per ulteriori informazioni, consulta Stima del costo.

Nota

Quando la funzionalità RDS Protection non è abilitata, non raccoglie le attività di accesso RDS GuardDuty né rileva comportamenti di accesso anomali o sospetti.

Per informazioni su Regioni AWS dove GuardDuty non supporta ancora la protezione RDS, consulta. Disponibilità di funzionalità specifiche per ogni regione

Database Amazon Aurora e Amazon RDS supportati

La tabella seguente mostra le versioni dei database Aurora e Amazon RDS supportate.

Amazon Aurora e motore Amazon RDS DB Versioni del motore supportate

Aurora MySQL

  • 2.10.2 o versioni successive

  • 3.02.1 o versioni successive

Aurora PostgreSQL

  • 10.17 o versioni successive

  • 11.12 o versioni successive

  • 12.7 o versioni successive

  • 13.3 o versioni successive

  • 14.3 o versioni successive

  • 15.2 o versione successiva

  • 16.1 o versione successiva
RDS per PostgreSQL.

Come la Protezione RDS utilizza il monitoraggio delle attività di accesso RDS

RDS Protection in Amazon ti GuardDuty aiuta a proteggere i database Amazon Aurora (Aurora) supportati nel tuo account. Dopo aver abilitato la funzionalità RDS Protection, inizia GuardDuty immediatamente a monitorare l'attività di accesso RDS dai database Aurora del tuo account. GuardDuty monitora e profila continuamente l'attività di accesso RDS per attività sospette, ad esempio l'accesso non autorizzato al database Aurora nel tuo account, da parte di un attore esterno invisibile in precedenza. Quando abiliti la Protezione RDS per la prima volta o hai un'istanza di database appena creata, è necessario un periodo di apprendimento per definire il comportamento normale. Per questo motivo, alle istanze di database appena abilitate o appena create potrebbero non essere associati esiti relativi a un accesso anomalo per un massimo di due settimane. Per ulteriori informazioni, consulta Monitoraggio delle attività di accesso RDS.

Quando RDS Protection rileva una potenziale minaccia, ad esempio uno schema insolito in una serie di tentativi di accesso riusciti, falliti o incompleti, GuardDuty genera una nuova scoperta con dettagli sull'istanza di database potenzialmente compromessa. Per ulteriori informazioni, consulta Tipi di esiti della Protezione RDS. Se disabiliti RDS Protection, interrompe GuardDuty immediatamente il monitoraggio dell'attività di accesso RDS e non è in grado di rilevare alcuna potenziale minaccia per le istanze di database supportate.

Nota

GuardDuty non gestisce la tua attività di accesso Database supportati o quella di RDS e non ti rende disponibile l'attività di accesso RDS.

Configurazione della Protezione RDS per un account autonomo

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, scegli Protezione RDS.

  3. La pagina Protezione RDS mostra lo stato attuale del tuo account. Puoi abilitare o disabilitare la funzionalità in qualsiasi momento selezionando Abilita o Disabilita. Conferma la selezione.

API/CLI

Esegui l'operazione API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il name dell'oggetto features su RDS_LOGIN_EVENTS e lo status su ENABLED o DISABLED.

È inoltre possibile abilitare o disabilitare la protezione RDS eseguendo il AWS CLI comando seguente. Assicurati di utilizzare il tuo ID rilevatore valido.

Nota

Il codice di esempio seguente abilita la Protezione RDS. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'

Configurazione della Protezione RDS in ambienti con più account

In un ambiente con più account, solo l'account GuardDuty amministratore delegato ha la possibilità di abilitare o disabilitare la funzionalità di protezione RDS per gli account membri della propria organizzazione. GuardDutyGli account membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce i propri account membro utilizzando AWS Organizations. Questo account GuardDuty amministratore delegato può scegliere di abilitare automaticamente il monitoraggio delle attività di accesso RDS per tutti i nuovi account quando entrano a far parte dell'organizzazione. Per ulteriori informazioni sugli ambienti con più account, consulta Gestione di più account in Amazon. GuardDuty

Scegli il metodo di accesso preferito per configurare il monitoraggio delle attività di accesso RDS per l'account amministratore delegato. GuardDuty

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali dell'account di gestione.

  2. Nel riquadro di navigazione, scegli Protezione RDS.

  3. Nella pagina Protezione RDS, scegli Modifica.

  4. Esegui una di queste operazioni:

    Utilizzando Abilita per tutti gli account

    • Scegli Abilita per tutti gli account. Ciò abiliterà il piano di protezione per tutti gli GuardDuty account attivi AWS dell'organizzazione, inclusi i nuovi account che entrano a far parte dell'organizzazione.

    • Selezionare Salva.

    Utilizzando Configura gli account manualmente

    • Per abilitare il piano di protezione solo per l'account GuardDuty amministratore delegato, scegli Configura gli account manualmente.

    • Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).

    • Selezionare Salva.

API/CLI

Esegui l'operazione API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il name dell'oggetto features su RDS_LOGIN_EVENTS e lo status su ENABLED o DISABLED.

È possibile abilitare o disabilitare la protezione RDS eseguendo il comando seguente AWS CLI . Assicurati di utilizzare l'ID rilevatore valido dell'account GuardDuty amministratore delegato.

Nota

Il codice di esempio seguente abilita la Protezione RDS. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Scegli il metodo di accesso che preferisci per abilitare la funzionalità di Protezione RDS per tutti gli account membri, inclusi gli account membri esistenti e i nuovi account che entrano a far parte dell'organizzazione.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una di queste operazioni:

    Utilizzando la pagina Protezione RDS

    1. Nel riquadro di navigazione, scegli Protezione RDS.

    2. Scegli Abilita per tutti gli account. Questa operazione abilita automaticamente la Protezione RDS per gli account dell'organizzazione esistenti e per quelli nuovi.

    3. Selezionare Salva.

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

    Utilizzando la pagina Account

    1. Dal riquadro di navigazione, selezionare Accounts (Account).

    2. Nella pagina Account, scegli le preferenze di Abilitazione automatica, quindi Aggiungi account tramite invito.

    3. Nella finestra Gestisci le preferenze di abilitazione automatica, scegli Abilita per tutti gli account in Monitoraggio delle attività di accesso RDS.

    4. Selezionare Salva.

    Se non puoi utilizzare l'opzione Abilita per tutti gli account, consulta Abilitare o disabilitare in modo selettivo la Protezione RDS per gli account membri.

API/CLI

  • Per abilitare o disabilitare in modo selettivo la Protezione RDS per i tuoi account membri, richiama l'operazione API updateMemberDetectors utilizzando il tuo ID rilevatore.

  • L'esempio seguente mostra come abilitare la Protezione RDS per un singolo account membro. Per disabilitarla, sostituisci ENABLED con DISABLED.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    Nota

    Puoi anche trasmettere un elenco di ID account separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare la Protezione RDS per tutti gli account membri attivi esistenti dell'organizzazione.

Console
Per configurare la Protezione RDS per tutti gli account membri attivi esistenti

  1. Accedi AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Accedi utilizzando le credenziali GuardDuty dell'account amministratore delegato.

  2. Nel riquadro di navigazione, scegli Protezione RDS.

  3. Nella pagina Protezione RDS, puoi visualizzare lo stato attuale della configurazione. Nella sezione Account membri attivi, scegli Operazioni.

  4. Dal menu a discesa Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.

  5. Scegli Conferma.

API/CLI

  • Per abilitare o disabilitare in modo selettivo la Protezione RDS per i tuoi account membri, richiama l'operazione API updateMemberDetectors utilizzando il tuo ID rilevatore.

  • L'esempio seguente mostra come abilitare la Protezione RDS per un singolo account membro. Per disabilitarla, sostituisci ENABLED con DISABLED.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    Nota

    Puoi anche trasmettere un elenco di ID account separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare l'attività di accesso RDS per i nuovi account che entrano a far parte dell'organizzazione.

Console

L'account GuardDuty amministratore delegato può abilitare nuovi account membro in un'organizzazione tramite la console, utilizzando la pagina Protezione RDS o Account.

Per abilitare automaticamente la Protezione RDS per i nuovi account membri

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una di queste operazioni:

    • Utilizzando la pagina Protezione RDS:

      1. Nel riquadro di navigazione, scegli Protezione RDS.

      2. Nella pagina Protezione RDS, scegli Modifica.

      3. Scegli Configura gli account manualmente.

      4. Seleziona Abilita automaticamente per i nuovi account membri. Questa fase garantisce l'abilitazione automatica della Protezione RDS per ogni nuovo account che entra a far parte dell'organizzazione. Solo l'account GuardDuty amministratore delegato dell'organizzazione può modificare questa configurazione.

      5. Selezionare Salva.

    • Utilizzando la pagina Account:

      1. Dal riquadro di navigazione, selezionare Accounts (Account).

      2. Nella pagina Account, scegli le preferenze di Abilitazione automatica.

      3. Nella finestra Gestisci le preferenze di abilitazione automatica, seleziona Abilita per nuovi account in Monitoraggio delle attività di accesso RDS.

      4. Selezionare Salva.

API/CLI

  • Per abilitare o disabilitare in modo selettivo la Protezione RDS per i tuoi account membri, richiama l'operazione API UpdateOrganizationConfiguration utilizzando il tuo ID rilevatore.

  • L'esempio seguente mostra come abilitare la Protezione RDS per un singolo account membro. Per disabilitarla, consulta Abilitare o disabilitare in modo selettivo la Protezione RDS per gli account membri. Se non desideri abilitarlo per tutti i nuovi account che entrano a far parte dell'organizzazione, imposta autoEnable su NONE.

    Per trovare l'detectorIdaccount e la regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ o esegui l'API ListDetectors

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
    Nota

    Puoi anche trasmettere un elenco di ID account separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare o disabilitare in modo selettivo l'attività di accesso RDS per gli account membri.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Dal riquadro di navigazione, selezionare Accounts (Account).

    Nella pagina Account, consulta la colonna Attività di accesso RDS per visualizzare lo stato del tuo account membro.

  3. Per abilitare o disabilitare in modo selettivo l'attività di accesso RDS

    Seleziona l'account per il quale desideri configurare la Protezione RDS. Puoi selezionare più account alla volta. Nel menu a discesa Modifica piani di protezione, scegli Attività di accesso RDS, quindi scegli l'opzione appropriata.

API/CLI

Per abilitare o disabilitare in modo selettivo la Protezione RDS per i tuoi account membri, richiama l'operazione API updateMemberDetectors utilizzando il tuo ID rilevatore.

L'esempio seguente mostra come abilitare la Protezione RDS per un singolo account membro. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
Nota

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.