本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的 RDS 保護 GuardDuty
Amazon 的 RDS 保護會 GuardDuty 分析 RDS 登入活動,並分析對您的 Amazon Aurora 資料庫 (Amazon Aurora MySQL 相容版本和 Aurora PostgreSQL 相容版本) 和 Amazon RDS for PostgreSQL 進行潛在存取威脅。此功能可讓您識別潛在的可疑登入行為。RDS 保護不需要額外的基礎設施;專門為不影響資料庫執行個體的效能而設計。
當 RDS Protection 偵測到可能可疑或異常的登入嘗試表明資料庫有威脅時, GuardDuty 會產生新的發現項目,其中包含可能遭到入侵的資料庫的詳細資料。
您可以隨時在 Amazon GuardDuty 內部提供此功能的任 AWS 區域 何帳戶啟用或停用 RDS 保護功能。現有 GuardDuty 帳戶可以在 30 天的試用期內啟用 RDS 防護。對於新 GuardDuty 帳戶,RDS 防護已啟用,並包含在 30 天免費試用期內。如需詳細資訊,請參閱 估算成本。
未啟用 RDS 防護功能時, GuardDuty 既不會收集您的 RDS 登入活動,也不會偵測異常或可疑的登入行為。
如需尚 GuardDuty 未支援 RDS 防護之 AWS 區域 位置的相關資訊,請參閱區域特定功能的可用性。
支援 Amazon Aurora 和 Amazon RDS 資料庫
下表顯示支援的 Aurora 和 Amazon RDS 資料庫版本。
| Amazon Aurora 和 Amazon RDS 數據庫引擎 |
支援的引擎版本 |
|
Aurora MySQL
|
-
2.10.2 或更新版本
-
3.02.1 或更新版本
|
|
Aurora PostgreSQL
|
-
10.17 或更新版本
-
11.12 或更新版本
-
12.7 或更新版本
-
13.3 或更新版本
-
14.3 或更新版本
-
15.2 或更高版本
-
16.1 或更高版本
|
| RDS for PostgreSQL |
|
RDS 保護如何使用 RDS 登入活動監控
Amazon 的 RDS 防護可 GuardDuty 協助您保護帳戶中受支援的 Amazon Aurora (Aurora) 資料庫。啟用 RDS 防護功能之後, GuardDuty 立即開始從您帳戶中的 Aurora 資料庫監視 RDS 登入活動。 GuardDuty 持續監控並分析 RDS 登入活動中是否有可疑活動,例如,未經授權存取您帳戶中的 Aurora 資料庫,從先前看不見的外部參與者。當您第一次啟用 RDS 保護或您有新建立的資料庫執行個體時,需要一段學習期以將一般行為基準化。基於這個原因,新啟用或新建立的資料庫執行個體,在長達兩週的時間內可能沒有相關的異常登入調查結果。如需詳細資訊,請參閱 RDS 登入活動監控。
當 RDS Protection 偵測到潛在安全威脅時,例如一系列成功、失敗或不完整登入嘗試中的異常病毒碼, GuardDuty 會產生新的發現項目,其中包含可能遭到入侵的資料庫執行個體的詳細資料。如需詳細資訊,請參閱 RDS 保護調查結果類型。如果停用 RDS 防護,請 GuardDuty 立即停止監控 RDS 登入活動,且無法偵測到支援的資料庫執行個體的任何潛在威脅。
GuardDuty 不會管理您的支援的資料庫或 RDS 登入活動,也不會讓您使用 RDS 登入活動。
- Console
-
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
-
在導覽窗格中,選擇 RDS 保護。
-
RDS 保護頁面會顯示您帳戶的目前狀態。您可以隨時透過分別選取啟用或停用來啟用或停用此功能。確認您的選擇。
- API/CLI
-
使用您自己的區域偵測器 ID,並透過將 name 設定為 RDS_LOGIN_EVENTS 及將 status 設定為 ENABLED 或 DISABLED 來傳遞 features 物件,從而執行 updateDetector API 操作。
您也可以執行下列 AWS CLI 命令來啟用或停用 RDS 防護。請務必使用您自己的有效偵測器 ID。
下列範例程式碼會啟用 RDS 保護。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'
在多帳戶環境中,只有委派的 GuardDuty 系統管理員帳戶可以選擇為其組織中的成員帳戶啟用或停用 RDS 保護功能。成 GuardDuty員帳戶無法從其帳戶修改此設定。委派的管理 GuardDuty 員帳戶會使用來管理其成員帳戶 AWS Organizations。這個委派的 GuardDuty 系統管理員帳戶可以選擇在所有新帳戶加入組織時自動啟用 RDS 登入活動監控功能。如需有關多帳戶環境的詳細資訊,請參閱在 Amazon GuardDuty 中管理多個帳戶。
選擇您偏好的存取方法,以針對委派的 GuardDuty 系統管理員帳戶設定 RDS 登入活動監視。
- Console
-
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
確保使用管理帳戶憑證。
-
在導覽窗格中,選擇 RDS 保護。
-
在 RDS 保護頁面上,選擇編輯。
執行以下任意一項:
- API/CLI
-
使用您自己的區域偵測器 ID,並透過將 name 設定為 RDS_LOGIN_EVENTS 及將 status 設定為 ENABLED 或 DISABLED 來傳遞 features 物件,從而執行 updateDetector API 操作。
您可以執行下列 AWS CLI 命令來啟用或停用 RDS 防護。確保使用委派 GuardDuty 管理員帳戶的有效偵測器 ID。
下列範例程式碼會啟用 RDS 保護。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
選擇您偏好的存取方法,以便為所有成員帳戶啟用 RDS 保護功能。這包括現有的成員帳戶和加入組織的新帳戶。
- Console
-
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
執行以下任意一項:
使用 RDS 保護頁面
在導覽窗格中,選擇 RDS 保護。
選擇為所有帳戶啟用。此動作會自動為組織中的現有帳戶和新帳戶啟用 RDS 保護。
選擇儲存。
使用帳戶頁面
在導覽窗格中,選擇帳戶。
在帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶。
在管理自動啟用偏好設定視窗中,選擇 RDS 登入活動監控下的為所有帳戶啟用。
選擇儲存。
如果您無法使用為所有帳戶啟用選項,請參閱 選擇性地為成員帳戶啟用或停用 RDS 保護。
- API/CLI
-
-
若要為您的成員帳戶選擇性地啟用或停用 RDS 保護,請使用您自己的偵測器 ID 調用 updateMemberDetectors API 操作。
-
以下範例顯示如何為單一成員帳戶啟用 RDS 保護。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
-
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方法,以便為組織中的所有現有作用中成員帳戶啟用 RDS 保護。
- Console
-
- API/CLI
-
-
若要為您的成員帳戶選擇性地啟用或停用 RDS 保護,請使用您自己的偵測器 ID 調用 updateMemberDetectors API 操作。
-
以下範例顯示如何為單一成員帳戶啟用 RDS 保護。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
-
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方法,以便為新加入組織的新帳戶啟用 RDS 登入活動監控。
- Console
-
委派的 GuardDuty 系統管理員帳戶可以使用 RDS 防護或帳號頁面,透過主控台為組織中的新成員帳戶啟用。
為新成員帳戶自動啟用 RDS 保護
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
-
執行以下任意一項:
-
使用 RDS 保護頁面:
-
在導覽窗格中,選擇 RDS 保護。
-
在 RDS 保護頁面上,選擇編輯。
選擇手動設定帳戶。
選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,RDS 保護都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。
-
選擇儲存。
-
使用帳戶頁面:
-
在導覽窗格中,選擇帳戶。
-
在帳戶頁面上,選擇自動啟用偏好設定。
-
在管理自動啟用偏好設定視窗中,選取 RDS 登入活動監控下的為新帳戶啟用。
選擇儲存。
- API/CLI
-
選擇您偏好的存取方式,以便選擇性地為成員帳戶啟用或停用 RDS 登入活動監控。
- Console
-
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
-
在導覽窗格中,選擇帳戶。
在帳戶頁面上,檢閱 RDS 登入活動欄位,了解您的成員帳戶狀態。
-
選擇性地啟用或停用 RDS 登入活動
選取您要設定 RDS 保護的帳戶。您可以一次選取多個帳戶。在編輯保護計畫下拉式選單中,選擇 RDS 登入活動,然後選擇適當的選項。
- API/CLI
-
若要為您的成員帳戶選擇性地啟用或停用 RDS 保護,請使用您自己的偵測器 ID 調用 updateMemberDetectors API 操作。
以下範例顯示如何為單一成員帳戶啟用 RDS 保護。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
