Lambda Protection の検出結果タイプ - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lambda Protection の検出結果タイプ

このセクションでは、 AWS Lambda リソースに固有の検出結果タイプと、 としてresourceTypeリストされている検出結果タイプについて説明しますLambda。すべての Lambda の検出結果について、問題のリソースを調べて正常に動作しているかどうかを確認することをお勧めします。アクティビティが認可されると、そのリソースに対する誤検出の通知を防ぐため、抑制ルール信頼できる IP および脅威リストを使用できます。

アクティビティが予想されていなかった場合、セキュリティのベストプラクティスは、Lambda が侵害されている可能性があると想定し、修復のレコメンデーションに従うことです。

Backdoor:Lambda/C&CActivity.B

Lambda 関数は、既知のコマンドとコントロールサーバーに関連付けられる IP アドレスをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Lambda Network Activity Monitoring

この検出結果は、 AWS 環境内のリストされた Lambda 関数が、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられている IP アドレスをクエリしていることを知らせるものです。生成された検出結果に関連する Lambda 関数が危険にさらされている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットは、インターネットに接続されたデバイスのコレクションです。これには、、PCsサーバー、モバイルデバイス、モノのインターネットデバイスが含まれ、一般的なタイプのマルウェアによって感染および制御されます。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否を開始するためのコマンドが発行されることもあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修正」を参照してください。

CryptoCurrency:Lambda/BitcoinTool.B

Lambda 関数が暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Lambda Network Activity Monitoring

この検出結果は、 AWS 環境内のリストされた Lambda 関数が、Bitcoin またはその他の暗号化関連のアクティビティに関連付けられている IP アドレスをクエリしていることを知らせるものです。脅威アクターは、Lambda 関数を不正な暗号通貨マイニングに不正に転用するために、Lambda 関数を乗っ取ろうとしている可能性があります。

修復のレコメンデーション

この Lambda 関数を使用して暗号通貨のマイニングまたは管理を行う場合、またはこの関数がブロックチェーンアクティビティに関与している場合は、環境で予期されるアクティビティである可能性があります。 AWS 環境内でこのような場合は、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。最初の基準では、 の値を持つ検出結果タイプ属性を使用する必要があります。CryptoCurrency:Lambda/BitcoinTool.B。 2 番目のフィルター基準は、ブロックチェーンアクティビティに関与する関数の Lambda 関数名である必要があります。抑制ルール作成の詳細については、「抑制ルール」を参照してください。

このアクティビティが予想されていなかった場合、Lambda 関数が侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修正」を参照してください。

Trojan:Lambda/BlackholeTraffic

Lambda 関数は、ブラックホールと呼ばれるリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: [Medium] (中)

  • 機能: Lambda Network Activity Monitoring

この検出結果は、 AWS 環境内のリストされた Lambda 関数がブラックホール (またはシンクホール) の IP アドレスと通信しようとしていることを知らせます。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。記載されている Lambda 関数は侵害されている可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修正」を参照してください。

Trojan:Lambda/DropPoint

Lambda 関数が、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: [Medium] (中)

  • 機能: Lambda Network Activity Monitoring

この検出結果は、 AWS 環境内のリストされた Lambda 関数が、マルウェアによってキャプチャされた認証情報やその他の盗まれたデータを保持することが知られているリモートホストの IP アドレスと通信しようとしていることを知らせるものです。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修正」を参照してください。

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda 関数がカスタム脅威リストの IP アドレスに接続しています。

デフォルトの重要度: [Medium] (中)

  • 機能: Lambda Network Activity Monitoring

この検出結果は、 AWS 環境内の Lambda 関数が、アップロードした脅威リストに含まれている IP アドレスと通信していることを知らせるものです。では GuardDuty、脅威リストは既知の悪意のある IP アドレスで構成されます。アップロードされた脅威リストに基づいて検出結果 GuardDuty を生成します。脅威リストの詳細は、コンソールの結果の詳細 GuardDutyで確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修正」を参照してください。

UnauthorizedAccess:Lambda/TorClient

Lambda 関数は Tor Guard または Authority ノードに接続しています。

デフォルトの重要度: [High] (高)

  • 機能: Lambda Network Activity Monitoring

この検出結果は、 AWS 環境の Lambda 関数が Tor Guard または Authority ノードに接続していることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この Lambda 関数が侵害されている可能性があることを示している可能性があります。現在は、Tor ネットワーク上のクライアントとして動作している場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修正」を参照してください。

UnauthorizedAccess:Lambda/TorRelay

Lambda 関数は、Tor リレーとして Tor ネットワークに接続中です。

デフォルトの重要度: [High] (高)

  • 機能: Lambda Network Activity Monitoring

この検出結果は、 AWS 環境内の Lambda 関数が Tor リレーとして動作していることを示す方法で Tor ネットワークに接続していることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor は、クライアントの不正な可能性のあるトラフィックをある Tor リレーから別の Tor リレーに転送することにより、通信の匿名性を高めます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、Lambda 関数は侵害されている可能性があります。詳細については、「侵害された可能性のある Lambda 関数の修正」を参照してください。