As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de descoberta do Lambda Protection
Esta seção descreve os tipos de descoberta que são específicos de seus AWS Lambda recursos e estão resourceType listados comoLambda. Para todas as descobertas do Lambda, recomendamos que você examine o recurso em questão e determine se ele está se comportando da maneira esperada. Se a atividade for autorizada, você poderá usar regras de supressão ou listas de IPs confiáveis e de ameaças para evitar notificações de falsos positivos para esse recurso.
Se a atividade for inesperada, a melhor prática de segurança é presumir que o Lambda foi potencialmente comprometido e seguir as recomendações de remediação.
Tópicos
Backdoor:Lambda/C&CActivity.B
Uma função do Lambda está consultando um endereço IP associado a um servidor de comando e controle conhecido.
Severidade padrão: alta
-
Atributo: Monitoramento de atividades de rede do Lambda
Essa descoberta informa que uma função do Lambda listada em seu ambiente da AWS está consultando um endereço IP associado a um servidor conhecido de comando e controle (C&C). A função do Lambda associada à descoberta gerada está potencialmente comprometida. Os servidores C&C são computadores que enviam comandos para membros de um botnet.
Um botnet é uma coleção de dispositivos conectados à Internet (que podem incluir PCs, servidores, dispositivos móveis e dispositivos de Internet das Coisas) infectados e controlados por um tipo comum de malware. Os botnets são frequentemente usados para distribuir malwares e coletar informações inapropriadas, como números de cartão de crédito. Dependendo da finalidade e da estrutura do botnet, o servidor C&C também pode emitir comandos para iniciar um ataque de negação distribuída de serviço DDoS.
Recomendações de correção:
Se essa atividade for inesperada, sua função do Lambda pode estar comprometida. Para obter mais informações, consulte Correção de uma função Lambda potencialmente comprometida.
CryptoCurrency:Lambda/BitcoinTool.B
Uma função do Lambda está consultando um endereço IP associado à atividade relacionada a uma criptomoeda.
Severidade padrão: alta
-
Atributo: Monitoramento de atividades de rede do Lambda
Essa descoberta informa a você que uma função do Lambda em seu ambiente da AWS está consultando um endereço IP associado à Bitcoin ou a atividades relacionadas a outras criptomoedas. Os agentes de ameaças podem tentar assumir o controle das funções do Lambda para redirecioná-las maliciosamente para a mineração não autorizada de criptomoedas.
Recomendações de correção:
Se você usa essa função do Lambda para minerar ou gerenciar criptomoedas, ou se essa função estiver envolvida em uma atividade de blockchain, ela é potencialmente uma atividade esperada para seu ambiente. Se esse for o caso em seu ambiente da AWS, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de CryptoCurrency:Lambda/BitcoinTool.B. O segundo critério de filtro deve ser o nome da função do Lambda da função envolvida na atividade do blockchain. Para obter informações sobre a criação de regras de supressão, consulte Regras de supressão.
Se essa atividade for inesperada, sua função do Lambda está potencialmente comprometida. Para obter mais informações, consulte Correção de uma função Lambda potencialmente comprometida.
Trojan:Lambda/BlackholeTraffic
A função do Lambda está tentando se comunicar com um endereço IP de um host remoto que é um buraco negro conhecido.
Severidade padrão: média
-
Atributo: Monitoramento de atividades de rede do Lambda
Essa descoberta informa que uma função do Lambda listada em AWS seu ambiente está tentando se comunicar com o endereço IP de um buraco negro (ou sumidouro). Os buracos negros são locais na rede onde o tráfego de entrada ou de saída é descartado silenciosamente sem informar a fonte de que os dados não atingiram o destinatário pretendido. Um endereço IP de buraco negro especifica uma máquina host que não está sendo executada ou um endereço para o qual nenhum host foi atribuído. A função do Lambda listada está potencialmente comprometida.
Recomendações de correção:
Se essa atividade for inesperada, sua função do Lambda pode estar comprometida. Para obter mais informações, consulte Correção de uma função Lambda potencialmente comprometida.
Trojan:Lambda/DropPoint
Uma função do Lambda está tentando se comunicar com um endereço IP de um host remoto que é conhecido por manter credenciais e outros dados roubados capturados por malware.
Severidade padrão: média
-
Atributo: Monitoramento de atividades de rede do Lambda
Essa descoberta informa que uma função do Lambda listada em seu ambiente da AWS está tentando se comunicar com um endereço IP de um host remoto que é conhecido por manter credenciais e outros dados roubados capturados por malware.
Recomendações de correção:
Se essa atividade for inesperada, sua função do Lambda pode estar comprometida. Para obter mais informações, consulte Correção de uma função Lambda potencialmente comprometida.
UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
Uma função do Lambda está fazendo conexões com um endereço IP em uma lista de ameaças personalizada.
Severidade padrão: média
-
Atributo: Monitoramento de atividades de rede do Lambda
Essa descoberta informa que uma função do Lambda no seu ambiente da AWS está se comunicando por meio de um endereço IP incluído em uma lista de ameaças que você carregou. No GuardDuty, uma lista de ameaças consiste em endereços IP maliciosos conhecidos. O GuardDuty gera descobertas com base nas listas de ameaças carregadas. Você pode ver os detalhes da lista de ameaças nos detalhes da descoberta no console do GuardDuty.
Recomendações de correção:
Se essa atividade for inesperada, sua função do Lambda pode estar comprometida. Para obter mais informações, consulte Correção de uma função Lambda potencialmente comprometida.
UnauthorizedAccess:Lambda/TorClient
A função do Lambda está fazendo conexões com um Tor Guard ou um nó de autoridade.
Severidade padrão: alta
-
Atributo: Monitoramento de atividades de rede do Lambda
Essa descoberta informa que uma função do Lambda em seu ambiente da AWS está fazendo conexões com um Tor Guard ou um nó de autoridade. Tor é um software para permitir a comunicação anônima. Tor Guards ou nós de autoridade atuam como gateways iniciais em uma rede do Tor. Esse tráfego pode indicar que essa função do Lambda foi potencialmente comprometida. Agora ele está atuando como um cliente em uma rede Tor.
Recomendações de correção:
Se essa atividade for inesperada, sua função do Lambda pode estar comprometida. Para obter mais informações, consulte Correção de uma função Lambda potencialmente comprometida.
UnauthorizedAccess:Lambda/TorRelay
Uma função do Lambda está fazendo conexões com uma rede Tor como uma retransmissão Tor.
Severidade padrão: alta
-
Atributo: Monitoramento de atividades de rede do Lambda
Essa descoberta informa que uma função do Lambda em seu ambiente da AWS está fazendo conexões com uma rede Tor de uma maneira que sugere que ela está agindo como um retransmissor Tor. Tor é um software para permitir a comunicação anônima. O Tor habilita a comunicação anônima encaminhando tráfego potencialmente ilícito do cliente de uma retransmissão Tor para outra.
Recomendações de correção:
Se essa atividade for inesperada, sua função do Lambda pode estar comprometida. Para obter mais informações, consulte Correção de uma função Lambda potencialmente comprometida.
