Corregir una base de datos potencialmente comprometida
GuardDuty genera Tipos de resultados de la protección de RDS que indican un comportamiento de inicio de sesión potencialmente sospechoso y anómalo en las Bases de datos compatibles después de habilitar la Protección de RDS. Con la actividad de inicio de sesión de RDS, GuardDuty identifica patrones atípicos en los intentos de inicio de sesión para analizar y describir las amenazas.
nota
Para acceder a toda la información sobre un tipo de resultado, selecciónelo en la Tipos de resultados activos de GuardDuty.
Siga estos pasos recomendados para corregir una base de datos de Amazon Aurora potencialmente en peligro en su entorno de AWS.
Temas
Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión correctos
Los siguientes pasos recomendados pueden ayudarlo a corregir una base de datos de Aurora potencialmente en peligro que presenta un comportamiento atípico en relación con los eventos de inicio de sesión correctos.
-
Identifique la base de datos y el usuario afectados.
El resultado de GuardDuty generado proporciona el nombre de la base de datos afectada y los detalles del usuario correspondientes. Para obtener más información, consulte Detalles de los resultados.
-
Confirme si este comportamiento es esperado o inesperado.
En la siguiente lista se especifican los posibles escenarios que pueden haber provocado que GuardDuty generase un resultado:
-
Un usuario que inicia sesión en su base de datos después de un largo periodo de tiempo.
-
Un usuario que inicia sesión en su base de datos de forma ocasional (por ejemplo, un analista financiero que inicia sesión cada trimestre).
-
Un agente potencialmente sospechoso que participa en un intento de inicio de sesión correcto podría poner en peligro la base de datos.
-
-
Comience este paso si el comportamiento es inesperado.
-
Restrinja el acceso a la base de datos
Restrinja el acceso a la base de datos para las cuentas sospechosas y el origen de esta actividad de inicio de sesión. Para obtener más información, consulte Corrección de credenciales potencialmente en peligro y Restricción del acceso a la red.
-
Evalúe el impacto y determine a qué información se accedió.
-
Si están disponibles, revise los registros de auditoría para identificar los datos a los que se puede haber accedido. Para obtener más información, consulte Supervisión de eventos, registros y flujos en un clúster de bases de datos de Amazon Aurora en la Guía del usuario de Amazon Aurora.
-
Determine si se accedió a información confidencial o protegida o si se modificó.
-
-
Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos
Los siguientes pasos recomendados pueden ayudarlo a corregir una base de datos de Aurora potencialmente en peligro que presenta un comportamiento atípico en relación con los eventos de inicio de sesión fallidos.
-
Identifique la base de datos y el usuario afectados.
El resultado de GuardDuty generado proporciona el nombre de la base de datos afectada y los detalles del usuario correspondientes. Para obtener más información, consulte Detalles de los resultados.
-
Identifique el origen de los intentos de inicio de sesión fallidos.
El resultado de GuardDuty generado proporciona la dirección IP y la organización de ASN (si se trataba de una conexión pública) en la sección Actor del panel de resultados.
Un sistema autónomo (AS) es un grupo de uno o varios prefijos de IP (listas de direcciones IP accesibles en una red) administrado por uno o más operadores de red que mantienen una política de enrutamiento única y claramente definida. Los operadores de red necesitan números de sistemas autónomos (ASN) para controlar el enrutamiento en sus redes e intercambiar información de enrutamiento con otros proveedores de servicios de internet (ISP).
-
Confirme que este comportamiento es inesperado.
Examine si esta actividad representa un intento de obtener acceso adicional no autorizado a la base de datos de la siguiente manera:
-
Si el origen es interno, compruebe si una aplicación está mal configurada y si está intentando conectarse repetidamente.
-
Si se trata de un agente externo, compruebe si la base de datos correspondiente es pública o está mal configurada y, por lo tanto, permite que posibles actores malintencionados utilicen nombres de usuario comunes por fuerza bruta.
-
-
Comience este paso si el comportamiento es inesperado.
-
Restrinja el acceso a la base de datos.
Restrinja el acceso a la base de datos para las cuentas sospechosas y el origen de esta actividad de inicio de sesión. Para obtener más información, consulte Corrección de credenciales potencialmente en peligro y Restricción del acceso a la red.
-
Analice la causa raíz y determine los pasos que podrían haber llevado a esta actividad.
Configure una alerta para recibir una notificación cuando una actividad modifique una política de red y cree un estado no seguro. Para obtener más información, consulte Firewall policies in AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall.
-
Corrección de credenciales potencialmente en peligro
Un resultado de GuardDuty puede indicar que las credenciales de usuario de una base de datos afectada se han puesto en peligro cuando el usuario identificado en el resultado ha llevado a cabo una operación inesperada en la base de datos. Puede identificar el usuario en la sección Detalles del usuario de base de datos de RDS del panel de resultados de la consola o en resource.rdsDbUserDetails del JSON de resultados. Estos detalles del usuario incluyen el nombre de usuario, la aplicación utilizada, la base de datos a la que se ha accedido, la versión de SSL y el método de autenticación.
-
Para revocar el acceso o rotar las contraseñas de usuarios específicos que participan en el resultado, consulte Seguridad con Amazon Aurora MySQL o Seguridad con Amazon Aurora PostgreSQL en la Guía del usuario de Amazon Aurora.
-
Utilice AWS Secrets Manager para almacenar de forma segura y rotar automáticamente los secretos de bases de datos de Amazon Relational Database Service (RDS). Para obtener más información, consulte Tutoriales de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager.
-
Utilice la autenticación de bases de datos de IAM para administrar el acceso de los usuarios a las bases de datos sin necesidad de contraseñas. Para obtener más información, consulte Autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon Relational Database Service en la Guía del usuario de Amazon RDS.
Restricción del acceso a la red
Un resultado de GuardDuty puede indicar que se puede acceder a una base de datos más allá de sus aplicaciones o de la nube privada virtual (VPC). Si la dirección IP remota del resultado es un origen de conexión inesperado, audite los grupos de seguridad. Encontrará una lista de los grupos de seguridad adjuntos a la base de datos en Grupos de seguridad, en la consola https://console.aws.amazon.com/rds/resource.rdsDbInstanceDetails.dbSecurityGroups del JSON de resultados. Para obtener más información sobre la configuración de los grupos de seguridad, consulte Control de acceso con grupos de seguridad en la Guía del usuario de Amazon RDS.
Si utiliza un firewall, restrinja el acceso a la red a la base de datos; para ello, reconfigure las listas de control de acceso a la red (NACL). Para obtener más información, consulte Firewall in AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall.
