Amazon Lambda 保護 GuardDuty

Lambda Protection は、 AWS 環境内で AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、Lambda GuardDuty ネットワークアクティビティログのモニタリングを開始します。まず、VPC ネットワークを使用しないログを含め、アカウントのすべての Lambda VPC Flow Logs 関数から開始し、Lambda 関数が呼び出されたときに生成されます。Lambda 関数に潜在的に悪意のあるコードが存在することを示す疑わしいネットワークトラフィックが見つかった場合は GuardDuty 、 GuardDuty 結果が生成されます。

注記

Lambda Network Activity Monitoring には Lambda@Edge 関数のログは含まれません。

Lambda Protection は、任意のアカウントまたは利用可能なアカウントに AWS リージョン、いつでも設定できます。デフォルトでは、 GuardDuty 既存のアカウントは 30 日間の試用期間で Lambda Protection を有効にできます。 GuardDuty 新しいアカウントの場合、Lambda Protection はすでに有効になっており、30 日間の試用期間に含まれています。使用情報の詳細については、「コストの見積もり」を参照してください。

GuardDuty Lambda 関数を呼び出して生成されるネットワークアクティビティログを監視します。現在、Lambda Network Activity Monitoring には、VPC ネットワークを使用しないログを含め、アカウントのすべての Lambda 関数からの Amazon VPC フローログが含まれており、Lambda 関数を呼び出すことによって生成される DNS クエリデータなどの他のネットワークアクティビティへの拡張など、変更される可能性があります。他の形態のネットワークアクティビティモニタリングへの拡張により、Lambda Protection GuardDuty 用に処理されるデータ量が増加します。これは Lambda Protection の使用コストに直接影響します。 GuardDuty 追加のネットワークアクティビティログの監視を開始すると、リリースの 30 日以上前に Lambda Protection を有効にしたアカウントに通知が送信されます。