Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Lambda-Protection-Erkenntnistypen
In diesem Abschnitt werden die Findetypen beschrieben, die für Ihre AWS Lambda Ressourcen spezifisch sind und in denen sie als resourceType
Lambda
aufgeführt sind. Für alle Lambda-Erkenntnisse wird empfohlen, die betreffende Ressource zu untersuchen, um festzustellen, ob sie sich erwartungsgemäß verhält. Wenn die Aktivität autorisiert ist, können Sie Unterdrückungsregeln oder Listen vertrauenswürdiger IP-Adressen und Bedrohungen verwenden, um Falschmeldungen für diese Ressource zu verhindern.
Wenn die Aktivität unerwartet ist, besteht die bewährte Sicherheitsmethode darin, davon auszugehen, dass Lambda potenziell kompromittiert wurde, und die Empfehlungen zur Behebung zu befolgen.
Themen
Backdoor:Lambda/C&CActivity.B
Eine Lambda-Funktion fragt eine IP-Adresse ab, die einem bekannten Command-and-Control-Server zugeordnet wird.
Standard-Schweregrad: Hoch
-
Feature: Lambda Network Activity Monitoring
Dieses Ergebnis informiert Sie darüber, dass eine aufgelistete Lambda-Funktion in Ihrer AWS Umgebung eine IP-Adresse abfragt, die einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die mit der generierten Erkenntnis verknüpfte Lambda-Funktion ist möglicherweise kompromittiert. C&C-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.
Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen ServerPCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert und kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnets kann der C&C-Server auch den Befehl erteilen, einen DDoS (Distributed Denial of Service)-Angriff zu starten.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.
CryptoCurrency:Lambda/BitcoinTool.B
Eine Lambda-Funktion fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.
Standard-Schweregrad: Hoch
-
Feature: Lambda Network Activity Monitoring
Dieses Ergebnis informiert Sie darüber, dass die aufgelistete Lambda-Funktion in Ihrer AWS Umgebung eine IP-Adresse abfragt, die mit einer Bitcoin- oder anderen kryptowährungsbezogenen Aktivität verknüpft ist. Bedrohungsakteure versuchen möglicherweise, die Kontrolle über Lambda-Funktionen zu übernehmen, um sie böswillig für das unbefugte Mining von Kryptowährungen wiederzuverwenden.
Empfehlungen zur Abhilfe:
Wenn Sie diese Lambda-Funktion verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Funktion anderweitig an einer Blockchain-Aktivität beteiligt ist, handelt es sich möglicherweise um eine erwartete Aktivität für Ihre Umgebung. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Suchtyp-Attribut mit einem Wert von verwenden CryptoCurrency:Lambda/BitcoinTool.B. Das zweite Filterkriterium sollte der Lambda-Funktionsname der Funktion sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.
Trojan:Lambda/BlackholeTraffic
Die Lambda-Funktion versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.
Standard-Schweregrad: Mittel
-
Feature: Lambda Network Activity Monitoring
Dieses Ergebnis informiert Sie darüber, dass eine aufgelistete Lambda-Funktion in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines schwarzen Lochs (oder einer Senke) zu kommunizieren. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde. Die aufgeführte Lambda-Funktion ist möglicherweise kompromittiert.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.
Trojan:Lambda/DropPoint
Eine Lambda-Funktion versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.
Standard-Schweregrad: Mittel
-
Feature: Lambda Network Activity Monitoring
Dieses Ergebnis informiert Sie darüber, dass eine aufgelistete Lambda-Funktion in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.
UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
Eine Lambda-Funktion stellt Verbindungen zu einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste her.
Standard-Schweregrad: Mittel
-
Feature: Lambda Network Activity Monitoring
Dieses Ergebnis informiert Sie darüber, dass eine Lambda-Funktion in Ihrer AWS Umgebung mit einer IP-Adresse kommuniziert, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. In GuardDuty besteht eine Bedrohungsliste aus bekannten bösartigen IP-Adressen. GuardDuty generiert Ergebnisse auf der Grundlage der hochgeladenen Bedrohungslisten. Sie können die Details der Bedrohungsliste in den Funddetails auf der GuardDuty Konsole einsehen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.
UnauthorizedAccess:Lambda/TorClient
Eine Lambda-Funktion stellt Verbindungen zu einem Tor-Guard oder einem Authority-Knoten her.
Standard-Schweregrad: Hoch
-
Feature: Lambda Network Activity Monitoring
Dieses Ergebnis informiert dich darüber, dass eine Lambda-Funktion in deiner AWS Umgebung Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese Lambda-Funktion möglicherweise kompromittiert wurde. Sie fungiert jetzt als Client in einem Tor-Netzwerk.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.
UnauthorizedAccess:Lambda/TorRelay
Eine Lambda-Funktion stellt Verbindungen zu einem Tor-Netzwerk als Tor-Relay her.
Standard-Schweregrad: Hoch
-
Feature: Lambda Network Activity Monitoring
Dieses Ergebnis informiert Sie darüber, dass eine Lambda-Funktion in Ihrer AWS Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass es als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor erhöht die Anonymität der Kommunikation, indem es den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleitet.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.