Corrigir um banco de dados potencialmente comprometido com eventos de login bem-sucedidos Corrigindo um banco de dados potencialmente comprometido com eventos de login falhados Corrigir remediar credenciais potencialmente comprometidas Restringir o acesso à rede

Corrigir um banco de dados possivelmente comprometido

O GuardDuty gera Tipos de descoberta da Proteção do RDS que indicam comportamento de login potencialmente suspeito e anômalo em seus Bancos de dados compatíveis depois de habilitar a Proteção do RDS. Usando a atividade de login do RDS, o GuardDuty analisa e traça o perfil das ameaças identificando padrões incomuns nas tentativas de login.

nota

Você pode acessar as informações completas sobre um tipo de descoberta selecionando-o na Tipos de descobertas ativas do GuardDuty.

Siga estas etapas recomendadas para corrigir um banco de dados Amazon Aurora potencialmente comprometido em seu ambiente da AWS.

Tópicos

Corrigir um banco de dados potencialmente comprometido com eventos de login bem-sucedidos
Corrigindo um banco de dados potencialmente comprometido com eventos de login falhados
Corrigir remediar credenciais potencialmente comprometidas
Restringir o acesso à rede

Corrigir um banco de dados potencialmente comprometido com eventos de login bem-sucedidos

As etapas recomendadas a seguir podem ajudar você a corrigir um banco de dados Aurora potencialmente comprometido que apresenta um comportamento incomum relacionado a eventos de login bem-sucedidos.

Identifique o banco de dados e o usuário afetados.

A descoberta gerada pelo GuardDuty fornece o nome do banco de dados afetado e os detalhes do usuário correspondentes. Para obter mais informações, consulte Detalhes da descoberta.
Confirme se esse comportamento é esperado ou inesperado.

A lista a seguir especifica possíveis cenários que podem ter feito com que o GuardDuty gerasse uma descoberta:
- Um usuário que faz login em seu banco de dados após um longo período de tempo.
- Um usuário que faz login em seu banco de dados ocasionalmente, por exemplo, um analista financeiro que faz login a cada trimestre.
- Um agente potencialmente suspeito envolvido em uma tentativa bem-sucedida de login pode comprometer o banco de dados.
Comece esta etapa se o comportamento for inesperado.
1. Restringir acesso ao banco
  
  Restrinja o acesso ao banco de dados para as contas suspeitas e a origem dessa atividade de login. Para obter mais informações, consulte Corrigir remediar credenciais potencialmente comprometidas e Restringir o acesso à rede.
2. Avalie o impacto e determine quais informações foram acessadas.
  - Se disponíveis, revise os registros de auditoria para identificar as informações que podem ter sido acessadas. Para obter mais informações, consulte Monitorar eventos, logs e streams em um cluster de banco de dados do Amazon Aurora no Guia do usuário do Amazon Aurora.
  - Determine se alguma informação confidencial ou protegida foi acessada ou modificada.

Corrigindo um banco de dados potencialmente comprometido com eventos de login falhados

As etapas recomendadas a seguir podem ajudar você a corrigir um banco de dados Aurora potencialmente comprometido que apresenta um comportamento incomum relacionado a eventos de login com falha.

Identifique o banco de dados e o usuário afetados.

A descoberta gerada pelo GuardDuty fornece o nome do banco de dados afetado e os detalhes do usuário correspondentes. Para obter mais informações, consulte Detalhes da descoberta.
Identifique a origem das tentativas de login malsucedidas.

A descoberta gerada pelo GuardDuty fornece o endereço IP e a organização do ASN (se fosse uma conexão pública) na seção Agente do painel de descobertas.

Um Autonomous System (AS – Sistema autônomo) é um grupo de um ou mais prefixos de IP (listas de endereços de IP acessíveis em uma rede) executados por uma ou mais operadoras de rede que mantêm uma política de roteamento única e claramente definida. As operadoras de rede precisam de Autonomous System Numbers (ASNs – Números de sistema autônomo) para controlar o roteamento em suas redes e trocar informações de roteamento com outros provedores de serviços de Internet (ISPs).
Confirme se esse comportamento é inesperado.

Examine se essa atividade representa uma tentativa de obter acesso não autorizado adicional ao banco de dados da seguinte forma:
- Se a fonte for interna, verifique se uma aplicação está configurado incorretamente e está tentando se conectar repetidamente.
- Se for um ator externo, examine se o banco de dados correspondente está voltado para o público ou está mal configurado, permitindo que possíveis agentes mal-intencionados usem nomes de usuários comuns com força bruta.
Comece esta etapa se o comportamento for inesperado.
1. Restringir acesso ao banco
  
  Restrinja o acesso ao banco de dados para as contas suspeitas e a origem dessa atividade de login. Para obter mais informações, consulte Corrigir remediar credenciais potencialmente comprometidas e Restringir o acesso à rede.
2. Faça uma análise da causa raiz e determine as etapas que potencialmente levaram a essa atividade.
  
  Configure um alerta para ser notificado quando uma atividade modifica uma política de rede e cria um estado inseguro. Para obter mais informações, consulte Políticas de firewall no AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall.

Corrigir remediar credenciais potencialmente comprometidas

Uma descoberta do GuardDuty pode indicar que as credenciais do usuário de um banco de dados afetado foram comprometidas quando o usuário identificado na descoberta executou uma operação inesperada no banco de dados. Você pode identificar o usuário na seção de detalhes do usuário do RDS DB no painel de descoberta no console ou no resource.rdsDbUserDetails do JSON das descobertas. Esses detalhes do usuário incluem nome de usuário, aplicativo usado, banco de dados acessado, versão SSL e método de autenticação.

Para revogar o acesso ou alternar senhas de usuários específicos envolvidos na descoberta, consulte Segurança com o Amazon Aurora MySQL ou Segurança com o Amazon Aurora PostgreSQL no Guia do usuário do Amazon Aurora.
Use o AWS Secrets Manager para armazenar com segurança e alternar automaticamente os segredos dos bancos de dados do Amazon Relational Database Service (RDS). Para obter mais informações, consulte Tutoriais do AWS Secrets Manager, no Guia do usuário do AWS Secrets Manager.
Use a autenticação do banco de dados do IAM para gerenciar o acesso dos usuários do banco de dados sem a necessidade de senhas. Para obter mais informações, consulte Autenticação de banco de dados do IAM no Guia do usuário do Amazon Aurora.

Para obter mais informações, consulte Práticas recomendadas de segurança do Amazon Relational Database Service no Guia do usuário do Amazon RDS.

Restringir o acesso à rede

Uma descoberta do GuardDuty pode indicar que um banco de dados está acessível além de seus aplicativas ou da nuvem privada virtual (VPC). Se o endereço IP remoto na descoberta for uma fonte de conexão inesperada, audite os grupos de segurança. Uma lista de grupos de segurança anexados ao banco de dados está disponível em Grupos de segurança no console https://console.aws.amazon.com/rds/ ou no resource.rdsDbInstanceDetails.dbSecurityGroups do JSON das descobertas. Para obter mais informações sobre a configuração de grupos de segurança, consulte Controlar acesso com grupos de segurança no Guia do usuário do Amazon RDS.

Se você estiver usando um firewall, restrinja o acesso à rede ao banco de dados reconfigurando as Network Access Control Lists (NACLs – Listas de controle de acesso à rede). Para obter mais informações, consulte Firewalls no AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como corrigir as descobertas do Monitoramento de runtime

Correção de uma função do Lambda comprometida