修復可能遭到入侵且含有成功登入事件的資料庫修復可能遭到入侵且含有失敗登入事件的資料庫修復可能遭到入侵的憑證限制網路存取權限

修復可能遭到入侵的資料庫

GuardDuty 會產生 RDS 保護調查結果類型，指出啟用支援的資料庫後中的潛在可疑和異常登入行為RDS 保護。使用RDS登入活動，透過識別登入嘗試中的異常模式 GuardDuty 來分析和描述威脅。

注意

您可以從 GuardDuty 作用中調查結果中選取調查結果類型，以存取該類型的完整資訊。

請依照這些建議步驟，修復 AWS 環境中可能遭到入侵的 Amazon Aurora 資料庫。

主題

修復可能遭到入侵且含有成功登入事件的資料庫
修復可能遭到入侵且含有失敗登入事件的資料庫
修復可能遭到入侵的憑證
限制網路存取權限

修復可能遭到入侵且含有成功登入事件的資料庫

下列建議步驟可協助您修復可能遭到入侵的 Aurora 資料庫，且該資料庫會出現與成功登入事件相關的異常行為。

識別受影響的資料庫和使用者。

產生的 GuardDuty 調查結果會提供受影響資料庫的名稱和對應的使用者詳細資訊。如需詳細資訊，請參閱調查結果詳細資訊。
確認此行為是預期還是意外的行為。

下列清單指定可能導致 GuardDuty 產生調查結果的潛在案例：
- 使用者在很長一段時間後登入其資料庫。
- 使用者偶爾登入資料庫，例如財務分析師每個季度登入。
- 參與成功登入嘗試的潛在可疑執行者可能會入侵資料庫。
如果是意外行為，請開始此步驟。
1. 限制資料庫存取權限
  
  限制可疑帳戶的資料庫存取權限，以及此登入活動的來源。如需詳細資訊，請參閱修復可能遭到入侵的憑證和限制網路存取權限。
2. 評估影響並確定存取了哪些資訊。
  - 如果可用，請檢閱稽核日誌以識別可能已存取的資訊片段。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》中的在 Amazon Aurora 資料庫叢集中監控事件、日誌和串流。
  - 判斷是否存取或修改了任何敏感或受保護的資訊。

修復可能遭到入侵且含有失敗登入事件的資料庫

下列建議步驟可協助您修復可能遭到入侵的 Aurora 資料庫，且該資料庫會出現與失敗登入事件相關的異常行為。

識別受影響的資料庫和使用者。

產生的 GuardDuty 調查結果會提供受影響資料庫的名稱和對應的使用者詳細資訊。如需詳細資訊，請參閱調查結果詳細資訊。
識別失敗登入嘗試的來源。

產生的 GuardDuty 調查結果會在調查結果面板的執行者區段下提供 IP 地址和ASN組織 （如果是公有連線）。

自治系統 (AS) 是由一個或多個網路業者執行的一個或多個 IP 字首 (可在網路上存取的 IP 地址清單) 的群組，而這些網路業者維護單一且明確定義的路由政策。網路運算子需要自治系統編號（ASNs）來控制其網路內的路由，以及與其他網際網路服務供應商（）交換路由資訊ISPs。
確認此行為是意外行為。

檢查此活動是否表示嘗試獲得對資料庫的其他未經授權的存取權限，如下所示：
- 如果來源是內部來源，請檢查應用程式是否設定錯誤，並重複嘗試連線。
- 如果這是外部執行者，請檢查對應的資料庫是否設定為公有或設定錯誤，進而允許潛在惡意動作者暴力破解常見使用者名稱。
如果是意外行為，請開始此步驟。
1. 限制資料庫存取權限
  
  限制可疑帳戶的資料庫存取權限，以及此登入活動的來源。如需詳細資訊，請參閱修復可能遭到入侵的憑證和限制網路存取權限。
2. 執行根本原因分析，並確定可能導致此活動的步驟。
  
  設定提醒以在活動修改網路政策並建立不安全狀態時收到通知。如需詳細資訊，請參閱 AWS Network Firewall Developer Guide 中的 Firewall policies in AWS Network Firewall。

修復可能遭到入侵的憑證

當 GuardDuty 調查結果中識別的使用者執行非預期的資料庫操作時，調查結果可能表示受影響資料庫的使用者憑證已遭到入侵。您可以在主控台的調查結果面板或調查結果resource.rdsDbUserDetails的 RDS 中的資料庫使用者詳細資訊區段中識別使用者JSON。這些使用者詳細資訊包括使用者名稱、使用的應用程式、存取的資料庫、SSL版本和身分驗證方法。

若要撤銷或輪換調查結果中涉及的特定使用者的存取或密碼，請參閱 Amazon Aurora 使用者指南中的使用 Amazon Aurora My 的安全SQL，或使用 Amazon Aurora Postgre 的安全SQL。
使用 AWS Secrets Manager 安全儲存並自動輪換 Amazon Relational Database Service （RDS）資料庫的秘密。如需詳細資訊，請參閱《AWS Secrets Manager 使用者指南》中的 AWS Secrets Manager 教學課程。
使用IAM資料庫身分驗證來管理資料庫使用者的存取，而不需要密碼。如需詳細資訊，請參閱 Amazon Aurora 使用者指南 中的IAM資料庫身分驗證。

如需詳細資訊，請參閱 Amazon 使用者指南中的 Amazon Relational Database Service 的安全最佳實務。 RDS

限制網路存取權限

GuardDuty 調查結果可能表示資料庫可在您的應用程式或虛擬私有雲端（）之外存取VPC。如果調查結果中的遠端 IP 地址是非預期的連線來源，請稽核安全群組。連接到資料庫的安全群組清單可在https://console.aws.amazon.com/rds/主控台的安全群組下，或在調查結果resource.rdsDbInstanceDetails.dbSecurityGroups的中取得JSON。如需設定安全群組的詳細資訊，請參閱 Amazon RDS使用者指南 中的使用安全群組控制存取權。

如果您使用的是防火牆，請重新設定網路存取控制清單（）來限制資料庫的網路存取NACLs。如需詳細資訊，請參閱 AWS Network Firewall Developer Guide 中的 Firewalls in AWS Network Firewall。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

修復執行期監控調查結果

修復可能遭到入侵的 Lambda 函數