Lambda-Protection-Erkenntnistypen - Amazon GuardDuty
Backdoor:Lambda/C&CActivity.BCryptoCurrency:Lambda/BitcoinTool.BTrojan:Lambda/BlackholeTrafficTrojan:Lambda/DropPointUnauthorizedAccess:Lambda/MaliciousIPCaller.CustomUnauthorizedAccess:Lambda/TorClientUnauthorizedAccess:Lambda/TorRelay

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lambda-Protection-Erkenntnistypen

In diesem Abschnitt werden die Erkenntnistypen beschrieben, die für Ihre AWS Lambda-Ressourcen spezifisch sind und in denen die resourceType als Lambda aufgeführt sind. Für alle Lambda-Erkenntnisse wird empfohlen, die betreffende Ressource zu untersuchen, um festzustellen, ob sie sich erwartungsgemäß verhält. Wenn die Aktivität autorisiert ist, können Sie Unterdrückungsregeln oder Listen vertrauenswürdiger IP-Adressen und Bedrohungen verwenden, um Falschmeldungen für diese Ressource zu verhindern.

Wenn die Aktivität unerwartet ist, besteht die bewährte Sicherheitsmethode darin, davon auszugehen, dass Lambda potenziell kompromittiert wurde, und die Empfehlungen zur Behebung zu befolgen.

Backdoor:Lambda/C&CActivity.B

Eine Lambda-Funktion fragt eine IP-Adresse ab, die einem bekannten Command-and-Control-Server zugeordnet wird.

Standard-Schweregrad: Hoch

  • Funktion: Lambda Network Activity Monitoring

Diese Erkenntnis informiert Sie darüber, dass eine aufgeführte Lambda-Funktion in Ihrer AWS-Umgebung eine IP-Adresse abfragt, die mit einem bekannten Command and Control (C&C)-Server in Verbindung steht. Die mit der generierten Erkenntnis verknüpfte Lambda-Funktion ist möglicherweise kompromittiert. C&C-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen PCs, Server, mobile Geräte und Geräte des Internets der Dinge gehören können, die mit einem allgemeinen Typ von Malware infiziert sind und von dieser kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnets kann der C&C-Server auch den Befehl erteilen, einen DDoS (Distributed Denial of Service)-Angriff zu starten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.

CryptoCurrency:Lambda/BitcoinTool.B

Eine Lambda-Funktion fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.

Standard-Schweregrad: Hoch

  • Funktion: Lambda Network Activity Monitoring

Diese Erkenntnis informiert Sie, dass die aufgeführte Lambda-Funktion in Ihrer AWS-Umgebung eine IP-Adresse abfragt, die mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bedrohungsakteure versuchen möglicherweise, die Kontrolle über Lambda-Funktionen zu übernehmen, um sie böswillig für das unbefugte Mining von Kryptowährungen wiederzuverwenden.

Empfehlungen zur Abhilfe:

Wenn Sie diese Lambda-Funktion verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Funktion anderweitig an einer Blockchain-Aktivität beteiligt ist, handelt es sich möglicherweise um eine erwartete Aktivität für Ihre Umgebung. Wenn dies in Ihrer AWS-Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Erkenntnistyp-Attribut mit dem Wert CryptoCurrency:Lambda/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte der Lambda-Funktionsname des Features sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.

Trojan:Lambda/BlackholeTraffic

Die Lambda-Funktion versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.

Standard-Schweregrad: Mittel

  • Funktion: Lambda Network Activity Monitoring

Diese Erkenntnis informiert Sie darüber, dass eine aufgeführte Lambda-Funktion in Ihrer AWS-Umgebung versucht, mit der IP-Adresse eines schwarzen Lochs (oder einem Sinkhole) zu kommunizieren. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde. Die aufgeführte Lambda-Funktion ist möglicherweise kompromittiert.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.

Trojan:Lambda/DropPoint

Eine Lambda-Funktion versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.

Standard-Schweregrad: Mittel

  • Funktion: Lambda Network Activity Monitoring

Diese Erkenntnis informiert Sie darüber, dass eine aufgeführte Lambda-Funktion in Ihrer AWS-Umgebung versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Eine Lambda-Funktion stellt Verbindungen zu einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste her.

Standard-Schweregrad: Mittel

  • Funktion: Lambda Network Activity Monitoring

Diese Erkenntnis informiert Sie darüber, dass eine Lambda-Funktion in Ihrer AWS-Umgebung mit einer IP-Adresse kommuniziert, die auf einer von Ihnen hochgeladenen Bedrohungsliste steht. In GuardDuty besteht eine Bedrohungsliste aus bekannten schädlichen IP-Adressen. GuardDuty generiert Erkenntnisse basierend auf hochgeladenen Bedrohungslisten. Sie können die Details der Bedrohungsliste in den Erkenntnisdetails in der GuardDuty-Konsole einsehen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.

UnauthorizedAccess:Lambda/TorClient

Eine Lambda-Funktion stellt Verbindungen zu einem Tor-Guard oder einem Authority-Knoten her.

Standard-Schweregrad: Hoch

  • Funktion: Lambda Network Activity Monitoring

Diese Erkenntnis informiert Sie darüber, dass eine Lambda-Funktion in Ihrer AWS-Umgebung Verbindungen zu einem Tor-Guard oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese Lambda-Funktion möglicherweise kompromittiert wurde. Sie fungiert jetzt als Client in einem Tor-Netzwerk.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.

UnauthorizedAccess:Lambda/TorRelay

Eine Lambda-Funktion stellt Verbindungen zu einem Tor-Netzwerk als Tor-Relay her.

Standard-Schweregrad: Hoch

  • Funktion: Lambda Network Activity Monitoring

Diese Erkenntnis informiert Sie darüber, dass eine Lambda-Funktion in Ihrer AWS-Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass sie als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor erhöht die Anonymität der Kommunikation, indem es den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleitet.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, könnte Ihre Lambda-Funktion kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Lambda-Funktion.