翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
RDS Protection を有効にすると、GuardDuty によって RDS Protection の検出結果タイプ が生成され、サポートされているデータベース での異常かつ疑わしいログイン動作が示されます。GuardDuty は RDS ログインアクティビティを使用して、ログイン試行の異常なパターンを特定することで脅威の分析とプロファイリングを行います。
注記
検出結果タイプに関する完全な情報にアクセスするには、GuardDuty のアクティブな検出結果タイプ から選択します。
AWS 環境内の侵害された可能性のある Amazon Aurora データベースを修正するには、以下の推奨ステップに従います。
トピック
ログインイベントの成功により、侵害された可能性のあるデータベースの修復
以下の推奨手順は、ログインイベントの成功に関連して異常な動作をする、侵害された可能性のある Aurora データベースを修復する際に役に立ちます。
-
影響を受けたデータベースとユーザーを特定します。
生成された GuardDuty の検出結果には、影響を受けたデータベースの名前と対応するユーザーの詳細が表示されます。詳細については、「検出結果の詳細」を参照してください。
-
この動作が予期されるものであるか、または予期されないものであるかを確認します。
以下のリストは、GuardDuty から検出結果が生成されるシナリオを示しています。
-
長い時間が経過した後にデータベースにログインするユーザー。
-
データベースにときどきログインするユーザー (四半期ごとにログインする財務アナリストなど)。
-
ログイン試行に成功し、データベースを侵害した可能性がある疑わしい攻撃者。
-
-
予期しない動作が発生した場合は、このステップを開始してください。
-
データベースアクセスを制限する
疑わしいアカウントおよびこのログインアクティビティのソースによるデータベースへのアクセスを制限します。詳細については、漏えいした可能性のある認証情報の修正およびネットワークアクセスを制限するを参照してください。
-
影響を評価し、アクセスされた情報を特定します。
-
可能であれば、監査ログを確認して、アクセスされた可能性のある情報を特定します。詳細については、「Amazon Aurora ユーザーガイド」の「Amazon Aurora DB クラスターでの、イベント、ログ、およびストリーミングのモニタリング」を参照してください。
-
機密情報または保護された情報にアクセスされたか、または変更が加えられたかどうかを確認します。
-
-
ログインイベントの失敗により、侵害された可能性のあるデータベースの修正
以下の推奨手順は、ログインイベントの失敗に関連して異常な動作をする、侵害された可能性がある Aurora データベースを修復する際に役に立ちます。
-
影響を受けたデータベースとユーザーを特定します。
生成された GuardDuty の検出結果には、影響を受けたデータベースの名前と対応するユーザーの詳細が表示されます。詳細については、「検出結果の詳細」を参照してください。
-
ログインに失敗したソースを特定します。
GuardDuty の検出結果パネルの [Actor] (アクター) セクションに、[IP address] (IP アドレス) と [ASN organization] (ASN 組織) (パブリック接続の場合) が表示されます。
自律システム (AS) は、1 つ以上のネットワークオペレーターによって実行される 1 つ以上の IP プレフィックス (ネットワーク上でアクセス可能な IP アドレスのリスト) のグループで、明確に定義された単一のルーティングポリシーを維持します。ネットワークオペレーターには、ネットワーク内のルーティングを制御したり、他のインターネットサービスプロバイダー (ISP) とルーティング情報を交換したりするための AS 番号 (ASN) が必要です。
-
この動作が予期しないものであることを確認します。
このアクティビティが、データベースへのさらなる不正アクセスを試みているものかどうかを次のように検証します。
-
ソースが内部にある場合は、アプリケーションが誤って設定されていないかどうかを調べて、接続が繰り返し試行されていないかを確認します。
-
これが外部の攻撃者である場合は、該当するデータベースが一般公開されているかどうか、または設定が誤っていないかどうか調べ、悪意のある攻撃者が一般的なユーザー名に対してブルートフォース攻撃を仕掛けられるようになっていないかを確認します。
-
-
予期しない動作が発生した場合は、このステップを開始してください。
-
データベースアクセスを制限する
疑わしいアカウントおよびこのログインアクティビティのソースによるデータベースへのアクセスを制限します。詳細については、漏えいした可能性のある認証情報の修正およびネットワークアクセスを制限するを参照してください。
-
根本原因を分析し、このアクティビティを引き起こした可能性のあるステップを特定します。
アクティビティによってネットワークポリシーが変更され、安全でない状態になったときに通知を受けるようにアラートを設定します。詳細については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewallにおけるファイアウォールポリシー」を参照してください。
-
漏えいした可能性のある認証情報の修正
GuardDuty の検出結果には、検出結果で特定されたユーザーが予期しないデータベース操作を実行したときに、影響を受けたデータベースのユーザー認証情報が漏えいしたことが示される場合もあります。ユーザーを特定するには、コンソールの検出結果パネル内の [RDS DB user details] (RDS DB ユーザー詳細) セクション、または検出結果 JSON の resource.rdsDbUserDetails を確認します。これらのユーザーの詳細には、ユーザー名、使用したアプリケーション、アクセスしたデータベース、SSL バージョン、認証方法が含まれます。
-
検出結果に関係する特定のユーザーのアクセス権限を取り消したり、パスワードを変更したりするには、「Amazon Aurora ユーザーガイド」の「Amazon Aurora MySQL でのセキュリティ」または「Amazon Aurora PostgreSQL でのセキュリティ」を参照してください。
-
を使用して AWS Secrets Manager 、Amazon Relational Database Service (RDS) データベースのシークレットを安全に保存し、自動的にローテーションします。詳細については、「AWS Secrets Manager ユーザーガイド」の「AWS Secrets Manager のチュートリアル」を参照してください。
-
IAM データベース認証を使用すると、パスワードなしでデータベースユーザーのアクセスを管理できます。詳細については、「Amazon Aurora ユーザーガイド」の「IAM データベース認証」を参照してください。
詳細については、「Amazon RDS ユーザーガイド」の「Amazon RDS のセキュリティのベストプラクティス」を参照してください。
ネットワークアクセスを制限する
GuardDuty の検出結果には、データベースがアプリケーションや仮想プライベートクラウド (VPC) の外部からのアクセスが可能であることが示されている場合があります。検出結果に示されているリモート IP アドレスが予期しない接続元である場合は、セキュリティグループを監査してください。データベースにアタッチされたセキュリティグループのリストは、https://console.aws.amazon.com/rds/resource.rdsDbInstanceDetails.dbSecurityGroups で確認できます。セキュリティグループの設定については、「Amazon RDS ユーザーガイド」の「セキュリティグループによるアクセス制御」を参照してください。
ファイアウォールを使用している場合は、ネットワークアクセスコントロールリスト (NACL) を再設定して、データベースへのネットワークアクセスを制限します。詳細については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewallのファイアウォール」を参照してください。
