Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tipos de resultados de la protección de Lambda
En esta sección se describen los tipos de búsqueda que son específicos de sus AWS Lambda recursos y que resourceType figuran comoLambda. Para todos los resultados de Lambda, se recomienda examinar el recurso en cuestión y determinar si se comporta de la manera esperada. Si la actividad está autorizada, puede utilizar reglas de supresión o listas de IP confiables y de amenazas para evitar las notificaciones de falsos positivos de ese recurso.
Si la actividad es inesperada, la práctica recomendada de seguridad consiste en suponer que Lambda posiblemente se ha visto afectado y seguir las recomendaciones de corrección.
Temas
Backdoor:Lambda/C&CActivity.B
Una función de Lambda está consultando una dirección IP que está asociada a un servidor de comando y control conocido.
Gravedad predeterminada: alta
-
Característica: supervisión de la actividad de la red de Lambda
Este hallazgo le informa de que una función Lambda incluida en su AWS entorno está consultando una dirección IP asociada a un servidor de comando y control (C&C) conocido. La función de Lambda asociada al resultado generado se ha visto potencialmente afectada. Los servidores C&C son equipos que envían comandos a los miembros de un botnet.
Una botnet es un conjunto de dispositivos conectados a Internet, que puede incluir servidoresPCs, dispositivos móviles y dispositivos de Internet de las cosas, que está infectado y controlado por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. En función del propósito y la estructura del botnet, el servidor C&C también puede enviar comandos para comenzar una denegación de servicio distribuida.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que su función de Lambda se haya visto afectada. Para obtener más información, consulte Corregir una función Lambda potencialmente comprometida.
CryptoCurrency:Lambda/BitcoinTool.B
Una función de Lambda consulta una dirección IP asociada con una actividad relacionada con una criptomoneda.
Gravedad predeterminada: alta
-
Característica: supervisión de la actividad de la red de Lambda
Este hallazgo le informa de que la función Lambda que aparece en su AWS entorno consulta una dirección IP asociada a una actividad relacionada con Bitcoin u otra actividad relacionada con criptomonedas. Los actores de las amenazas pueden intentar tomar el control de las funciones de Lambda para reutilizarlas maliciosamente para la extracción no autorizada de criptomonedas.
Recomendaciones de corrección:
Si utiliza esta función de Lambda para extraer o administrar criptomonedas, o esta función está involucrada de otra manera en la actividad de cadena de bloques, esto podría representar una actividad esperada para su entorno. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. El primer criterio debe utilizar el atributo de tipo de búsqueda con un valor de CryptoCurrency:Lambda/BitcoinTool.B. El segundo criterio de filtro debe ser el nombre de la función Lambda de la función implicada en la actividad de la cadena de bloques. Para obtener información sobre la creación de reglas de supresión, consulte Reglas de supresión.
Si esta actividad es inesperada, es posible que su función de Lambda se haya visto afectada. Para obtener más información, consulte Corregir una función Lambda potencialmente comprometida.
Trojan:Lambda/BlackholeTraffic
Una función de Lambda está intentando comunicarse con una dirección IP de un host remoto que es una dirección IP de agujero negro conocida.
Gravedad predeterminada: media
-
Característica: supervisión de la actividad de la red de Lambda
Este hallazgo le informa de que una función Lambda incluida en la lista de su AWS entorno está intentando comunicarse con la dirección IP de un agujero negro (o sumidero). Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado. Una dirección IP de agujero negro especifica una máquina host que no se está ejecutando o una dirección a la que no se le ha asignado ningún host. La función de Lambda que aparece en la lista se ha visto potencialmente afectada.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que su función de Lambda se haya visto afectada. Para obtener más información, consulte Corregir una función Lambda potencialmente comprometida.
Trojan:Lambda/DropPoint
Una función de Lambda está intentando comunicarse con una dirección IP de un host remoto que se sabe que conserva credenciales y otros datos robados capturados por malware.
Gravedad predeterminada: media
-
Característica: supervisión de la actividad de la red de Lambda
Este hallazgo le informa de que una función Lambda incluida en la lista de su AWS entorno está intentando comunicarse con una dirección IP de un host remoto del que se sabe que contiene credenciales y otros datos robados capturados por el malware.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que su función de Lambda se haya visto afectada. Para obtener más información, consulte Corregir una función Lambda potencialmente comprometida.
UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
Una función de Lambda lleva a cabo conexiones a una dirección IP de una lista de amenazas personalizada.
Gravedad predeterminada: media
-
Característica: supervisión de la actividad de la red de Lambda
Este hallazgo le informa de que una función Lambda de su AWS entorno se está comunicando con una dirección IP incluida en una lista de amenazas que ha cargado. En GuardDuty, una lista de amenazas se compone de direcciones IP maliciosas conocidas. GuardDuty genera resultados a partir de las listas de amenazas cargadas. Puede ver los detalles de la lista de amenazas en los detalles de búsqueda de la GuardDuty consola.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que su función de Lambda se haya visto afectada. Para obtener más información, consulte Corregir una función Lambda potencialmente comprometida.
UnauthorizedAccess:Lambda/TorClient
Una función de Lambda está llevando a cabo conexiones con un nodo Authority o Guard de Tor.
Gravedad predeterminada: alta
-
Característica: supervisión de la actividad de la red de Lambda
Este hallazgo le informa de que una función Lambda de su AWS entorno está realizando conexiones a un nodo de Tor Guard o Authority. Tor es un software que permite las comunicaciones anónimas. Los nodos Authority y Guard de Tor actúan como puertas de enlace iniciales a una red de Tor. Este tráfico puede indicar que esta función de Lambda se ha visto potencialmente afectada. Ahora actúa como cliente en una red de Tor.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que su función de Lambda se haya visto afectada. Para obtener más información, consulte Corregir una función Lambda potencialmente comprometida.
UnauthorizedAccess:Lambda/TorRelay
Una función de Lambda está estableciendo conexiones a una red de Tor como relé de Tor.
Gravedad predeterminada: alta
-
Característica: supervisión de la actividad de la red de Lambda
Este hallazgo le informa de que una función Lambda en su AWS entorno está haciendo conexiones a una red Tor de una manera que sugiere que actúa como un repetidor Tor. Tor es un software que permite las comunicaciones anónimas. Tor habilita la comunicación anónima al reenviar el tráfico potencialmente ilícito del cliente de un relé de Tor a otro.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que su función de Lambda se haya visto afectada. Para obtener más información, consulte Corregir una función Lambda potencialmente comprometida.
