Proteção RDS em GuardDuty - Amazon GuardDuty
Bancos de dados compatíveisComo a Proteção do RDS usa o monitoramento de atividades de login do RDSConfiguração da Proteção do RDS para uma conta autônomaConfiguração da proteção do RDS em ambientes de várias contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção RDS em GuardDuty

A Proteção do RDS na Amazon GuardDuty analisa e traça o perfil da atividade de login do RDS em busca de possíveis ameaças de acesso aos seus bancos de dados Amazon Aurora (Amazon Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition) e Amazon RDS for PostgreSQL. Esse recurso permite identificar comportamentos de login potencialmente suspeitos. A Proteção do RDS não requer infraestrutura adicional. Ela foi projetada para não afetar a performance de suas instâncias de banco de dados.

Quando o RDS Protection detecta uma tentativa de login potencialmente suspeita ou anômala que indica uma ameaça ao seu banco de dados, GuardDuty gera uma nova descoberta com detalhes sobre o banco de dados potencialmente comprometido.

Você pode ativar ou desativar o recurso de Proteção RDS para qualquer conta em qualquer Região da AWS lugar em que esse recurso esteja disponível na Amazon GuardDuty, a qualquer momento. Uma GuardDuty conta existente pode ativar a Proteção RDS com um período de teste de 30 dias. Para uma nova GuardDuty conta, a Proteção RDS já está ativada e incluída no período de teste gratuito de 30 dias. Para ter mais informações, consulte Como estimar os custos.

nota

Quando o recurso de Proteção do RDS não está ativado, GuardDuty ele não coleta sua atividade de login do RDS nem detecta comportamentos de login anômalos ou suspeitos.

Para obter informações sobre o Regiões da AWS where ainda GuardDuty não oferece suporte à Proteção RDS, consulteDisponibilidade de recursos específicos da região.

Bancos de dados Amazon Aurora e Amazon RDS compatíveis

A tabela a seguir mostra as versões compatíveis do banco de dados Aurora e Amazon RDS.

Mecanismo de banco de dados Amazon Aurora e Amazon RDS Versões compatíveis do mecanismo

Aurora MySQL

  • 2.10.2 ou posterior

  • 3.02.1 ou posterior

Aurora PostgreSQL

  • 10.17 ou posterior

  • 11.12 ou posterior

  • 12.7 ou posterior

  • 13.3 ou posterior

  • 14.3 ou posterior

  • 15.2 ou posterior

  • 16.1 ou posterior
RDS para PostgreSQL.

Como a Proteção do RDS usa o monitoramento de atividades de login do RDS

A Proteção do RDS na Amazon GuardDuty ajuda você a proteger os bancos de dados Amazon Aurora (Aurora) compatíveis em sua conta. Depois de ativar o recurso de Proteção do RDS, começa GuardDuty imediatamente a monitorar a atividade de login do RDS nos bancos de dados do Aurora em sua conta. GuardDuty monitora e perfila continuamente a atividade de login do RDS em busca de atividades suspeitas, por exemplo, acesso não autorizado ao banco de dados do Aurora em sua conta, de um agente externo nunca antes visto. Quando você habilita a Proteção do RDS pela primeira vez ou tem uma instância de banco de dados recém-criada, é necessário um período de aprendizado para definir o comportamento normal. Por esse motivo, instâncias de banco de dados recém-habilitadas ou recém-criadas podem não ter uma descoberta de login anômala associada por até duas semanas. Para ter mais informações, consulte Monitoramento da atividade de login do RDS.

Quando o RDS Protection detecta uma ameaça em potencial, como um padrão incomum em uma série de tentativas de login bem-sucedidas, malsucedidas ou incompletas, GuardDuty gera uma nova descoberta com detalhes sobre a instância de banco de dados potencialmente comprometida. Para ter mais informações, consulte Tipos de descoberta do RDS Protection. Se você desabilitar a Proteção do RDS, interromperá GuardDuty imediatamente o monitoramento da atividade de login do RDS e não conseguirá detectar nenhuma ameaça potencial às instâncias de banco de dados suportadas.

nota

GuardDuty não gerencia sua atividade de login Bancos de dados compatíveis ou do RDS, nem disponibiliza a atividade de login do RDS para você.

Configuração da Proteção do RDS para uma conta autônoma

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Proteção do RDS.

  3. A página Proteção do RDS mostra o status atual da sua conta. Você pode habilitar ou desabilitar o recurso a qualquer momento selecionando Habilitar ou Desabilitar. Confirme a seleção.

API/CLI

Execute a operação da API updateDetector usando seu próprio ID de detector regional e transmitindo o name do objeto features como RDS_LOGIN_EVENTS e status como ENABLED ou DISABLED.

Você também pode ativar ou desativar a Proteção do RDS executando o AWS CLI comando a seguir. Use seu próprio ID de detector válido.

nota

O código de exemplo a seguir habilita a Proteção do RDS. Para desabilitá-la, substitua ENABLED por DISABLED.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'

Configuração da proteção do RDS em ambientes de várias contas

Em um ambiente de várias contas, somente a conta de GuardDuty administrador delegado tem a opção de ativar ou desativar o recurso de Proteção RDS para as contas membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Essa conta de GuardDuty administrador delegado pode optar por ativar automaticamente o monitoramento da atividade de login do RDS para todas as novas contas à medida que elas ingressam na organização. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciamento de várias contas na Amazon. GuardDuty

Escolha seu método de acesso preferido para configurar o RDS Login Activity Monitoring para a conta de GuardDuty administrador delegado.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de gerenciamento.

  2. No painel de navegação, escolha Proteção do RDS.

  3. Na página Proteção do RDS, escolha Editar.

  4. Execute um destes procedimentos:

    Como usar a opção Habilitar para todas as contas

    • Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as GuardDuty contas ativas em sua AWS organização, incluindo as novas contas que ingressam na organização.

    • Escolha Salvar.

    Como usar a opção Configurar contas manualmente

    • Para habilitar o plano de proteção somente para a conta de GuardDuty administrador delegado, escolha Configurar contas manualmente.

    • Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).

    • Escolha Salvar.

API/CLI

Execute a operação da API updateDetector usando seu próprio ID de detector regional e transmitindo o name do objeto features como RDS_LOGIN_EVENTS e status como ENABLED ou DISABLED.

Você pode ativar ou desativar a Proteção do RDS executando o AWS CLI comando a seguir. Certifique-se de usar o ID de detector válido da conta de GuardDuty administrador delegado.

nota

O código de exemplo a seguir habilita a Proteção do RDS. Para desabilitá-la, substitua ENABLED por DISABLED.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Escolha seu método de acesso preferido para habilitar o recurso de Proteção do RDS para todas as contas-membro. Isso inclui contas-membro existentes e as novas contas que ingressam na organização.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    Como usar a página Proteção do RDS

    1. No painel de navegação, escolha Proteção do RDS.

    2. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente a Proteção do RDS para contas novas e existentes na organização.

    3. Escolha Salvar.

      nota

      Pode levar até 24 horas para atualizar a configuração das contas-membro.

    Como usar a página Contas

    1. No painel de navegação, escolha Accounts (Contas).

    2. Na página Contas, escolha Habilitar automaticamente as preferências antes de Adicionar contas por convite.

    3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Monitoramento de atividades de login do RDS.

    4. Escolha Salvar.

    Se você não conseguir usar a opção Habilitar para todas as contas, consulte Habilitar ou desabilitar seletivamente a Proteção do RDS para contas-membro.

API/CLI

  • Para habilitar ou desabilitar seletivamente a Proteção do RDS para suas contas-membro, invoque a operação da API updateMemberDetectors usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar a Proteção do RDS para uma única conta-membro. Para desabilitá-la, substitua ENABLED por DISABLED.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar a Proteção do RDS para todas as contas-membro ativas existentes em sua organização.

Console
Para configurar a Proteção do RDS para todas as contas-membro ativas existentes

  1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Faça login usando as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, escolha Proteção do RDS.

  3. Na página Proteção do RDS, você pode ver o status atual da configuração. Na seção Contas-membro ativas, escolha Ações.

  4. No menu suspenso Ações, escolha Habilitar para todas as contas-membro ativas existentes.

  5. Selecione a opção Confirmar.

API/CLI

  • Para habilitar ou desabilitar seletivamente a Proteção do RDS para suas contas-membro, invoque a operação da API updateMemberDetectors usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar a Proteção do RDS para uma única conta-membro. Para desabilitá-la, substitua ENABLED por DISABLED.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar a atividade de login do RDS para novas contas que ingressarem na sua organização.

Console

A conta de GuardDuty administrador delegado pode habilitar novas contas de membros em uma organização por meio do console, usando a página Proteção do RDS ou Contas.

Para habilitar automaticamente a Proteção do RDS para novas contas-membro

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    • Como usar a página Proteção do RDS:

      1. No painel de navegação, escolha Proteção do RDS.

      2. Na página Proteção do RDS, escolha Editar.

      3. Escolha Configurar contas manualmente.

      4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que, sempre que uma nova conta ingressar na sua organização, a Proteção do RDS seja habilitada automaticamente para a conta dessa pessoa. Somente a conta do GuardDuty administrador delegado da organização pode modificar essa configuração.

      5. Escolha Salvar.

    • Como usar a página Contas:

      1. No painel de navegação, escolha Accounts (Contas).

      2. Na página Contas, escolha Habilitar automaticamente as preferências.

      3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Monitoramento de atividades de login do RDS.

      4. Escolha Salvar.

API/CLI

  • Para habilitar ou desabilitar seletivamente a Proteção do RDS para suas contas-membro, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar a Proteção do RDS para uma única conta-membro. Para desabilitá-lo, consulte Habilitar ou desabilitar seletivamente a Proteção do RDS para contas-membro. Se não quiser habilitá-lo para todas as novas contas que ingressarem na organização, defina autoEnable como NONE.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar ou desabilitar seletivamente o monitoramento da atividade de login do RDS para contas-membro.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, escolha Accounts (Contas).

    Na página Contas, revise a coluna Atividade de login do RDS para ver o status da sua conta-membro.

  3. Para habilitar ou desabilitar seletivamente a atividade de login do RDS

    Selecione a conta para a qual deseja configurar a Proteção do RDS. Você pode selecionar várias contas ao mesmo tempo. No menu suspenso Editar planos de proteção, escolha Atividade de login do RDS e escolha a opção apropriada.

API/CLI

Para habilitar ou desabilitar seletivamente a Proteção do RDS para suas contas-membro, invoque a operação da API updateMemberDetectors usando seu próprio ID de detector.

O exemplo a seguir mostra como você pode habilitar a Proteção do RDS para uma única conta-membro. Para desabilitá-la, substitua ENABLED por DISABLED.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
nota

Você também pode passar uma lista de IDs de contas separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.