GuardDuty RDS 보호 결과 유형 - Amazon GuardDuty
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLoginCredentialAccess:RDS/AnomalousBehavior.FailedLoginCredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForceCredentialAccess:RDS/MaliciousIPCaller.SuccessfulLoginCredentialAccess:RDS/MaliciousIPCaller.FailedLoginDiscovery:RDS/MaliciousIPCallerCredentialAccess:RDS/TorIPCaller.SuccessfulLoginCredentialAccess:RDS/TorIPCaller.FailedLoginDiscovery:RDS/TorIPCaller

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

GuardDuty RDS 보호 결과 유형

GuardDuty RDS 보호는 데이터베이스 인스턴스에서 비정상적인 로그인 동작을 감지합니다. 다음 결과는에 고유지원되는 Amazon Aurora, Amazon RDS및 Aurora Limitless 데이터베이스하며 리소스 유형은 RDSDBInstance 또는 입니다RDSLimitlessDB. 결과의 심각도 및 세부 정보는 결과 유형에 따라 다릅니다.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

사용자가 비정상적인 방식으로 계정의 RDS 데이터베이스에 성공적으로 로그인했습니다.

기본 심각도: 가변적

참고

이 결과와 관련된 변칙적 동작에 따라 기본 심각도는 낮음, 중간, 높음일 수 있습니다.

  • 낮음 - 이 결과와 관련된 사용자 이름이 프라이빗 네트워크에 연결된 IP 주소에서 로그인한 경우.

  • 중간 - 이 결과와 관련된 사용자 이름이 퍼블릭 IP 주소에서 로그인한 경우.

  • 높음 - 액세스 정책이 지나치게 허용적인 듯한 퍼블릭 IP 주소에서의 일관적인 로그인 시도 실패 패턴 있는 경우.

  • 기능: RDS 로그인 활동 모니터링

이 결과는 AWS 환경의 RDS 데이터베이스에서 비정상적인 로그인 성공이 관찰되었음을 알려줍니다. 이는 이전에 보이지 않은 사용자가 RDS 데이터베이스에 처음 로그인했음을 나타낼 수 있습니다. 일반적인 시나리오는 개별 사용자가 아닌 애플리케이션에 의해 프로그래밍 방식으로 내부 사용자가 데이터베이스에 로그인한 것입니다.

이 성공적인 로그인은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 지원되는 Amazon Aurora, Amazon RDS및 Aurora Limitless 데이터베이스의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청을 한 사용자, 요청이 수행된 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 로그인 이벤트에 대한 자세한 내용은 RDS 로그인 활동 기반 이상 섹션을 참조하세요.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 관련 데이터베이스 사용자의 암호를 변경하고 이상 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 중간 및 높음 심각도 결과는 데이터베이스에 대한 액세스 정책이 지나치게 허용적이고 사용자 보안 인증 정보가 노출 또는 손상되었을 가능성을 나타낼 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

계정의 RDS 데이터베이스에서 하나 이상의 비정상적인 로그인 실패가 관찰되었습니다.

기본 심각도: 낮음

  • 기능: RDS 로그인 활동 모니터링

이 결과는 AWS 환경의 RDS 데이터베이스에서 하나 이상의 비정상적인 로그인 실패가 관찰되었음을 알려줍니다. 퍼블릭 IP 주소에서 로그인 시도가 실패하면 계정의 RDS 데이터베이스가 잠재적으로 악의적인 공격자의 무차별 공격 시도의 대상이 되었음을 나타낼 수 있습니다.

이러한 실패한 로그인은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 지원되는 Amazon Aurora, Amazon RDS및 Aurora Limitless 데이터베이스의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청을 한 사용자, 요청이 수행된 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 RDS 로그인 활동에 대한 자세한 내용은 섹션을 참조하세요RDS 로그인 활동 기반 이상.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스가 공개적으로 노출되었거나 데이터베이스에 대한 액세스 정책이 지나치게 허용적일 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

비정상적인 로그인 시도 실패의 일관된 패턴이 나타난 후 사용자가 비정상적인 방식으로 퍼블릭 IP 주소에서 계정의 RDS 데이터베이스에 성공적으로 로그인했습니다.

기본 심각도: 높음

  • 기능: RDS 로그인 활동 모니터링

이 결과는 AWS 환경의 RDS 데이터베이스에서 무차별력 성공 여부를 나타내는 비정상적인 로그인이 관찰되었음을 알려줍니다. 변칙적 로그인에 성공하기 전에는 일관적으로 비정상적인 로그인 시도 실패가 있었습니다. 이는 계정의 RDS 데이터베이스와 연결된 사용자 및 암호가 손상되었을 수 있고 잠재적으로 악의적인 액터가 RDS 데이터베이스에 액세스했을 수 있음을 나타냅니다.

이 성공적인 무차별 포스 로그인은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 지원되는 Amazon Aurora, Amazon RDS및 Aurora Limitless 데이터베이스의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청을 한 사용자, 요청이 수행된 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 RDS 로그인 활동에 대한 자세한 내용은 섹션을 참조하세요RDS 로그인 활동 기반 이상.

해결 권장 사항:

이 활동은 데이터베이스 보안 인증 정보가 노출 또는 손상되었을 수 있음을 나타냅니다. 관련 데이터베이스 사용자의 암호를 변경하고 잠재적으로 침해되었을 수 있는 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 비정상적인 로그인 시도 실패의 일관적인 패턴은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수도 있음을 나타냅니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

알려진 악성 IP 주소에서 계정의 RDS 데이터베이스에 성공적으로 로그인한 사용자입니다.

기본 심각도: 높음

  • 기능: RDS 로그인 활동 모니터링

이 결과는 AWS 환경의 알려진 악성 활동과 연결된 IP 주소에서 성공적인 RDS 로그인 활동이 발생했음을 알려줍니다. 이는 계정의 RDS 데이터베이스와 연결된 사용자 및 암호가 손상되었을 수 있고 잠재적으로 악의적인 액터가 RDS 데이터베이스에 액세스했을 수 있음을 나타냅니다.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 사용자 보안 인증 정보가 노출 또는 손상되었을 수 있습니다. 관련 데이터베이스 사용자의 암호를 변경하고 침해된 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 또한 이 활동은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터가 공개적으로 노출되었음을 나타낼 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

계정의 RDS 데이터베이스에 로그인하려고 시도한 알려진 악성 활동과 연결된 IP 주소입니다.

기본 심각도: 중간

  • 기능: RDS 로그인 활동 모니터링

이 결과는 알려진 악성 활동과 연결된 IP 주소가 AWS 환경의 RDS 데이터베이스에 로그인하려고 시도했지만 올바른 사용자 이름 또는 암호를 제공하지 못했음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 계정의 RDS 데이터베이스를 손상하려고 할 수 있음을 나타냅니다.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

Discovery:RDS/MaliciousIPCaller

알려진 악성 활동과 연결된 IP 주소는 계정의 RDS 데이터베이스를 검사했습니다. 인증 시도가 이루어지지 않았습니다.

기본 심각도: 중간

  • 기능: RDS 로그인 활동 모니터링

이 결과는 알려진 악의적인 활동과 연결된 IP 주소가 로그인 시도는 하지 않았지만 AWS 환경의 RDS 데이터베이스를 검사했음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 공개적으로 액세스할 수 있는 인프라를 찾고 있음을 의미할 수 있습니다.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

사용자가 Tor 출구 노드 IP 주소에서 계정의 RDS 데이터베이스에 성공적으로 로그인했습니다.

기본 심각도: 높음

  • 기능: RDS 로그인 활동 모니터링

이 결과는 사용자가 Tor 출구 노드 IP 주소에서 AWS 환경의 RDS 데이터베이스에 성공적으로 로그인했음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 익명 사용자의 실제 자격 증명을 숨기려는 의도로 계정의 RDS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 사용자 보안 인증 정보가 노출 또는 손상되었을 수 있습니다. 관련 데이터베이스 사용자의 암호를 변경하고 침해된 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 또한 이 활동은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터가 공개적으로 노출되었음을 나타낼 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

CredentialAccess:RDS/TorIPCaller.FailedLogin

Tor IP 주소가 계정의 RDS 데이터베이스에 로그인하지 못했습니다.

기본 심각도: 중간

  • 기능: RDS 로그인 활동 모니터링

이 결과는 Tor 출구 노드 IP 주소가 AWS 환경의 RDS 데이터베이스에 로그인하려고 시도했지만 올바른 사용자 이름 또는 암호를 제공하지 못했음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 익명 사용자의 실제 자격 증명을 숨기려는 의도로 계정의 RDS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.

Discovery:RDS/TorIPCaller

Tor 출구 노드 IP 주소가 계정의 RDS 데이터베이스를 검사했으며 인증 시도가 이루어지지 않았습니다.

기본 심각도: 중간

  • 기능: RDS 로그인 활동 모니터링

이 결과는 Tor 출구 노드 IP 주소가 사용자 AWS 환경에서 RDS 데이터베이스를 검사했지만 로그인 시도는 하지 않았음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 공개적으로 액세스할 수 있는 인프라를 찾고 있음을 의미할 수 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 잠재적으로 악의적인 행위자의 실제 자격 증명을 숨기려는 의도로 계정의 RDS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗에 배치하고 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 VPC제한하는 것이 좋습니다. 자세한 내용은 실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결 단원을 참조하십시오.