Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tipi di esiti della Protezione Lambda
Questa sezione descrive i tipi di esiti specifici delle tue risorse AWS Lambda e per i quali il resourceType è elencato come Lambda. Per tutti gli esiti di Lambda, ti consigliamo di esaminare la risorsa in questione e determinare se si comporta nel modo previsto. Se l'attività è autorizzata, puoi utilizzare le Regole di eliminazione o gli Elenchi di indirizzi IP affidabili e gli elenchi minacce per prevenire notifiche false positive per quella risorsa.
Se l'attività non è prevista, la best practice di sicurezza consiste nel presupporre che Lambda sia stata potenzialmente compromessa e seguire le raccomandazioni per la correzione.
Argomenti
Backdoor:Lambda/C&CActivity.B
Una funzione Lambda esegue una query su un indirizzo IP associato a un server di comando e controllo noto.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo esito segnala che la funzione Lambda elencata all'interno del tuo ambiente AWS esegue una query su un indirizzo IP associato a un server di comando e controllo (C&C) noto. La funzione Lambda associata all'esito generato è potenzialmente compromessa. I server C&C sono computer che inviano comandi ai membri di una botnet.
Una botnet è una raccolta di dispositivi connessi a Internet, come PC, server, dispositivi mobili e dispositivi Internet of Things, infettata e controllata da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche inviare comandi per lanciare un Distributed Denial of Service.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
CryptoCurrency:Lambda/BitcoinTool.B
Una funzione Lambda esegue una query su un indirizzo IP associato a un'attività correlata a una criptovaluta.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo esito segnala che la funzione Lambda elencata nel tuo ambiente AWS esegue una query su un indirizzo IP associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle funzioni Lambda per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.
Raccomandazioni per la correzione:
Se usi questa funzione Lambda per estrarre o gestire criptovaluta o se questa funzione è altrimenti coinvolta in un'attività di blockchain, può trattarsi di un'attività potenzialmente prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS, ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di eliminazione deve essere costituita da due criteri di filtro. Il primo criterio deve utilizzare l'attributo tipo di esito con un valore di CryptoCurrency:Lambda/BitcoinTool.B. Il secondo criterio di filtro deve essere il nome della funzione Lambda coinvolta nell'attività di blockchain. Per informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.
Se questa attività non è prevista, la funzione Lambda è potenzialmente compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
Trojan:Lambda/BlackholeTraffic
Una funzione Lambda tenta di comunicare con l'indirizzo IP di un host remoto che è un noto buco nero.
Gravità predefinita: media
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo esito segnala che una funzione Lambda elencata nel tuo ambiente AWS tenta di comunicare con l'indirizzo IP di un buco nero (o sinkhole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L'indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host. La funzione Lambda elencata è potenzialmente compromessa.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
Trojan:Lambda/DropPoint
Una funzione Lambda tenta di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
Gravità predefinita: media
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo esito segnala che una funzione Lambda elencata nel tuo ambiente AWS tenta di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
Una funzione Lambda stabilisce connessioni a un indirizzo IP incluso in un elenco minacce personalizzato.
Gravità predefinita: media
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo esito segnala che una funzione Lambda nel tuo ambiente AWS comunica con un indirizzo IP incluso in un elenco minacce che hai caricato. In GuardDuty, un elenco minacce include indirizzi IP dannosi noti. GuardDuty genera esiti in base agli elenchi minacce caricati. Puoi visualizzare i dettagli dell'elenco minacce nei dettagli degli esiti sulla console GuardDuty.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
UnauthorizedAccess:Lambda/TorClient
Una funzione Lambda stabilisce connessioni a un Tor Guard o a un nodo Authority.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo esito segnala che una funzione Lambda nel tuo ambiente AWS stabilisce connessioni a un Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi Authority fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che la funzione Lambda è stata potenzialmente compromessa e al momento funge da client su una rete Tor.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
UnauthorizedAccess:Lambda/TorRelay
Una funzione Lambda stabilisce connessioni a una rete Tor come relè Tor.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo esito segnala che una funzione Lambda nel tuo ambiente AWS stabilisce connessioni a una rete Tor in un modo che suggerisce che funga da relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta consente l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
