GuardDuty RDS 保護結果タイプ - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty RDS 保護結果タイプ

GuardDuty RDS Protection は、データベースインスタンスの異常なログイン動作を検出します。以下の検出結果は に固有サポートされている Amazon Aurora、Amazon RDS、および Aurora Limitless データベースであり、リソースタイプRDSDBInstanceまたは になりますRDSLimitlessDB。結果の重大度と詳細は、結果タイプによって異なります。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

ユーザーは、異常な方法でアカウントの RDS データベースに正常にログインしました。

デフォルトの重要度: 可変

注記

この検出結果に関連する異常な動作に応じて、デフォルトの重要度は「低」、「中」、「高」になります。

  • - この検出結果に関連するユーザー名が、プライベートネットワークに関連付けられた IP アドレスからログインした場合。

  • - この検出結果に関連するユーザー名がパブリック IP アドレスからログインした場合。

  • - パブリック IP アドレスからのログイン試行の失敗が一貫して続いている場合は、アクセスポリシーが過度に制限されていることを示します。

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、 AWS 環境の RDS データベースで異常な正常なログインが観察されたことを知らせるものです。これは、以前の表示されていないユーザーが初めて RDS データベースにログインしたことを示している可能性があります。一般的なシナリオは、個々のユーザーではなくアプリケーションがプログラム的にアクセスするデータベースに内部ユーザーがログインする場合です。

この正常なログインは、 GuardDuty 異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、サポートされている Amazon Aurora、Amazon RDS、および Aurora Limitless データベース 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDSログインアクティビティのさまざまな要因を追跡します。潜在的に異常なログインイベントについては、「RDS ログインアクティビティベースの異常」を参照してください。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認することをお勧めします。中および高の重要度の検出結果は、データベースへのアクセスポリシーが過度に寛容であり、ユーザーの認証情報が漏洩または侵害された可能性があることを示している可能性があります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

アカウントの RDS データベースで 1 つ以上の異常なログイン試行の失敗が確認されました。

デフォルトの重要度: [Low] (低)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、 AWS 環境内の RDS データベースで 1 つ以上の異常なログイン失敗が検出されたことを知らせるものです。パブリック IP アドレスからのログイン試行が失敗した場合は、アカウントのRDSデータベースが、悪意のある可能性のある攻撃者によるブルートフォース攻撃の試みを受けている可能性があります。

これらの失敗したログインは、 GuardDuty 異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、サポートされている Amazon Aurora、Amazon RDS、および Aurora Limitless データベース 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDSログインアクティビティのさまざまな要因を追跡します。異常の可能性があるRDSログインアクティビティについては、「」を参照してくださいRDS ログインアクティビティベースの異常

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースが公開されているか、データベースのアクセスポリシーが過度に許容されている可能性があります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

ユーザーが、異常なログイン試行の失敗の一貫したパターンの後に、異常な方法でパブリック IP アドレスからアカウント内の RDS データベースに正常にログインした。

デフォルトの重要度: [High] (高)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、ブルートフォースが成功したことを示す異常なログインが AWS 環境の RDS データベースで検出されたことを知らせるものです。異常なログインの成功の前に、異常なログイン試行失敗の一貫したパターンが観察されました。これは、アカウント内のRDSデータベースに関連付けられたユーザーとパスワードが侵害された可能性があり、RDSデータベースが悪意のある可能性のあるアクターによってアクセスされた可能性があることを示します。

この正常な総当たりログインは、 GuardDuty 異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、サポートされている Amazon Aurora、Amazon RDS、および Aurora Limitless データベース 内のすべてのデータベースログインイベントを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用された特定のデータベース接続の詳細など、RDSログインアクティビティのさまざまな要因を追跡します。異常の可能性があるRDSログインアクティビティについては、「」を参照してくださいRDS ログインアクティビティベースの異常

修復のレコメンデーション

このアクティビティは、データベースの認証情報が漏洩または侵害された可能性があることを示しています。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害された可能性のあるユーザーが行ったアクティビティを確認することをお勧めします。通常とは異なるログイン試行が繰り返される場合は、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されている可能性があります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

ユーザーは、悪意のある既知の IP アドレスからアカウントの RDS データベースに正常にログインしました。

デフォルトの重要度: [High] (高)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、 AWS 環境内の既知の悪意のあるアクティビティに関連付けられている IP アドレスからRDSログインアクティビティが成功したことを知らせるものです。これは、アカウント内のRDSデータベースに関連付けられたユーザーとパスワードが侵害された可能性があり、RDSデータベースが悪意のある可能性のあるアクターによってアクセスされた可能性があることを示します。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、ユーザーの認証情報が公開されているか、侵害されている可能性があります。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害されたユーザーが行ったアクティビティを確認することをお勧めします。このアクティビティは、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されていることを示している可能性もあります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

既知の悪意のあるアクティビティに関連付けられている IP アドレスが、アカウントの RDS データベースへのログインに失敗しました。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、既知の悪意のあるアクティビティに関連付けられた IP アドレスが AWS 環境内のRDSデータベースにログインしようとしたが、正しいユーザー名またはパスワードを指定できなかったことを知らせるものです。これは、悪意のある可能性のあるアクターがアカウントのRDSデータベースを侵害しようとしている可能性があることを示しています。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

Discovery:RDS/MaliciousIPCaller

既知の悪意のあるアクティビティに関連付けられた IP アドレスが、アカウント内のRDSデータベースを調査しました。認証の試行は行われませんでした。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、既知の悪意のあるアクティビティに関連付けられた IP アドレスが、ログイン試行が行われなかったにもかかわらず、 AWS 環境内のRDSデータベースを調べたことを知らせるものです。これは、潜在的に悪意のある攻撃者が公的にアクセス可能なインフラストラクチャをスキャンしようとしていることを示している可能性があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

ユーザーが Tor 出口ノードの IP アドレスからアカウントの RDS データベースに正常にログインしました。

デフォルトの重要度: [High] (高)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、ユーザーが Tor 出口ノード IP アドレスから AWS 環境内の RDS データベースに正常にログインしたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、匿名ユーザーの真のアイデンティティを隠す目的で、アカウント内のRDSリソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、ユーザーの認証情報が公開されているか、侵害されている可能性があります。関連するデータベースユーザーのパスワードを変更し、利用可能な監査ログを確認して、侵害されたユーザーが行ったアクティビティを確認することをお勧めします。このアクティビティは、データベースへのアクセスポリシーが過度に寛容であるか、データベースが公開されていることを示している可能性もあります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの成功により、侵害された可能性のあるデータベースの修復」を参照してください。

CredentialAccess:RDS/TorIPCaller.FailedLogin

Tor IP アドレスは、アカウントの RDS データベースへのログインに失敗しました。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、Tor 出口ノードの IP アドレスが AWS 環境内の RDS データベースにログインしようとしましたが、正しいユーザー名またはパスワードを指定できなかったことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、匿名ユーザーの真のアイデンティティを隠す目的で、アカウント内のRDSリソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。

Discovery:RDS/TorIPCaller

Tor 出口ノードの IP アドレスがアカウント内の RDS データベースを調べましたが、認証の試行が行われませんでした。

デフォルトの重要度: [Medium] (中)

  • 機能: RDS ログインアクティビティのモニタリング

この検出結果は、Tor 出口ノードの IP アドレスが AWS 環境内の RDS データベースをプローブしたが、ログインは試行されなかったことを知らせるものです。これは、潜在的に悪意のある攻撃者が公的にアクセス可能なインフラストラクチャをスキャンしようとしていることを示している可能性があります。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、悪意のある可能性のあるアクターの真のアイデンティティを隠す目的で、アカウント内のRDSリソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

関連付けられたデータベースに対するこのアクティビティが想定外の場合は、データベースのアクセスポリシーが過度に許容されているか、データベースが公開されている可能性があります。データベースをプライベート に配置しVPC、必要なソースからのトラフィックのみを許可するようにセキュリティグループのルールを制限することをお勧めします。詳細については、「ログインイベントの失敗により、侵害された可能性のあるデータベースの修正」を参照してください。