Lambda Protection の検出結果タイプ

このセクションでは、AWS Lambda リソースに固有であり、Lambda としてリストされている resourceType を持つ検出結果タイプについて説明します。すべての Lambda の検出結果について、問題のリソースを調べて正常に動作しているかどうかを確認することをお勧めします。アクティビティが認可されると、そのリソースに対する誤検出の通知を防ぐため、抑制ルールや信頼できる IP および脅威リストを使用できます。

アクティビティが予想されていなかった場合、セキュリティのベストプラクティスは、Lambda が侵害されている可能性があると想定し、修復のレコメンデーションに従うことです。

Backdoor:Lambda/C&CActivity.B

Lambda 関数は、既知のコマンドとコントロールサーバーに関連付けられる IP アドレスをクエリしています。

デフォルトの重要度: [High] (高)

• 機能: Lambda Network Activity Monitoring

この検出結果は、AWS 環境のリスト化した Lambda 関数が既知のコマンドとコントロール (C&C) サーバーに関連付けられた IP アドレスをクエリしていることを知らせるものです。生成された検出結果に関連する Lambda 関数が危険にさらされている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットとは、一般的なタイプのマルウェアに感染しコントロールされたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否を開始するためのコマンドが発行されることもあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修復」を参照してください。

CryptoCurrency:Lambda/BitcoinTool.B

Lambda 関数が暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

デフォルトの重要度: [High] (高)

• 機能: Lambda Network Activity Monitoring

この検出結果は、AWS 環境のリスト化した Lambda 関数でビットコインやその他の暗号通貨関連アクティビティに紐づけられた IP アドレスがクエリされていることを知らせるものです。脅威アクターは、Lambda 関数を不正な暗号通貨マイニングに不正に転用するために、Lambda 関数を乗っ取ろうとしている可能性があります。

修復のレコメンデーション

この Lambda 関数を使用して暗号通貨のマイニングまたは管理を行う場合、またはこの関数がブロックチェーンアクティビティに関与している場合は、環境で予期されるアクティビティである可能性があります。ご利用の AWS 環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件では、[検出結果タイプ] 属性に CryptoCurrency:Lambda/BitcoinTool.B という値を使用します。2 つ目のフィルター条件は、ブロックチェーンアクティビティに関係する関数の Lambda 関数名である必要があります。抑制ルール作成の詳細については、「抑制ルール」を参照してください。

このアクティビティが予想されていなかった場合、Lambda 関数が侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修復」を参照してください。

Trojan:Lambda/BlackholeTraffic

Lambda 関数は、ブラックホールと呼ばれるリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: [Medium] (中)

• 機能: Lambda Network Activity Monitoring

この検出結果は、AWS 環境のリスト化された Lambda 関数がブラックホール (あるいはシンクホール) の IP アドレスと通信しようとしていることを知らせるものです。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。記載されている Lambda 関数は侵害されている可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修復」を参照してください。

Trojan:Lambda/DropPoint

Lambda 関数が、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: [Medium] (中)

• 機能: Lambda Network Activity Monitoring

この検出結果は、AWS 環境でリストされた Lambda 関数で、マルウェアが取り込んだ認証情報やその他の盗難されたデータを保持して、リモートホストの IP アドレスに通信しようとしていることを知らせるものです。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修復」を参照してください。

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda 関数がカスタム脅威リストの IP アドレスに接続しています。

デフォルトの重要度: [Medium] (中)

• 機能: Lambda Network Activity Monitoring

この検出結果は、AWS 環境の Lambda 関数が、ユーザーがアップロードした脅威リストに含まれている IP アドレスを使用してアウトバウンド通信していることを知らせるものです。GuardDuty の場合、脅威リストは悪意のある既知の IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて検出結果を生成します。脅威リストの詳細は、GuardDuty コンソールの検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修復」を参照してください。

UnauthorizedAccess:Lambda/TorClient

Lambda 関数は Tor Guard または Authority ノードに接続しています。

デフォルトの重要度: [High] (高)

• 機能: Lambda Network Activity Monitoring

この検出結果は、AWS 環境の Lambda 関数が Tor Guard または Authority ノードに接続中であることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この Lambda 関数が侵害されている可能性があることを示している可能性があります。現在は、Tor ネットワーク上のクライアントとして動作している場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修復」を参照してください。

UnauthorizedAccess:Lambda/TorRelay

Lambda 関数は、Tor リレーとして Tor ネットワークに接続中です。

デフォルトの重要度: [High] (高)

• 機能: Lambda Network Activity Monitoring

この検出結果は、AWS 環境の Lambda 関数が Tor リレーとして動作していることを示す方法で、Tor ネットワークに接続中であることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor は、クライアントの不正な可能性のあるトラフィックをある Tor リレーから別の Tor リレーに転送することにより、通信の匿名性を高めます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修復」を参照してください。