Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questa sezione descrive i tipi di risultati specifici AWS Lambda delle tue risorse e per i quali sono resourceType elencati comeLambda. Per tutti gli esiti di Lambda, ti consigliamo di esaminare la risorsa in questione e determinare se si comporta nel modo previsto. Se l'attività è autorizzata, puoi utilizzare le Regole di eliminazione o gli Elenchi di indirizzi IP affidabili e gli elenchi minacce per prevenire notifiche false positive per quella risorsa.
Se l'attività non è prevista, la best practice di sicurezza consiste nel presupporre che Lambda sia stata potenzialmente compromessa e seguire le raccomandazioni per la correzione.
Argomenti
Backdoor:Lambda/C&CActivity.B
Una funzione Lambda esegue una query su un indirizzo IP associato a un server di comando e controllo noto.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questa scoperta indica che una funzione Lambda elencata nell' AWS ambiente in uso sta interrogando un indirizzo IP associato a un server di comando e controllo (C&C) noto. La funzione Lambda associata all'esito generato è potenzialmente compromessa. I server C&C sono computer che inviano comandi ai membri di una botnet.
Una botnet è un insieme di dispositivi connessi a Internet, che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche inviare comandi per lanciare un Distributed Denial of Service.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
CryptoCurrency:Lambda/BitcoinTool.B
Una funzione Lambda esegue una query su un indirizzo IP associato a un'attività correlata a una criptovaluta.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che la funzione Lambda elencata nel AWS tuo ambiente sta interrogando un indirizzo IP associato a Bitcoin o ad altre attività legate alla criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle funzioni Lambda per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.
Raccomandazioni per la correzione:
Se usi questa funzione Lambda per estrarre o gestire criptovaluta o se questa funzione è altrimenti coinvolta in un'attività di blockchain, può trattarsi di un'attività potenzialmente prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo finding type con un valore di CryptoCurrency:Lambda/BitcoinTool.B. Il secondo criterio di filtro dovrebbe essere il nome della funzione Lambda coinvolta nell'attività blockchain. Per informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.
Se questa attività non è prevista, la funzione Lambda è potenzialmente compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
Trojan:Lambda/BlackholeTraffic
Una funzione Lambda tenta di comunicare con l'indirizzo IP di un host remoto che è un noto buco nero.
Gravità predefinita: media
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questa scoperta indica che una funzione Lambda elencata nell' AWS ambiente in uso sta tentando di comunicare con l'indirizzo IP di un buco nero (o di un buco nel pozzo). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L'indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host. La funzione Lambda elencata è potenzialmente compromessa.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
Trojan:Lambda/DropPoint
Una funzione Lambda tenta di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
Gravità predefinita: media
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questo risultato indica che una funzione Lambda elencata nell' AWS ambiente in uso sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
Una funzione Lambda stabilisce connessioni a un indirizzo IP incluso in un elenco minacce personalizzato.
Gravità predefinita: media
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che una funzione Lambda nel AWS tuo ambiente sta comunicando con un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un elenco di minacce è composto da indirizzi IP dannosi noti. GuardDuty genera risultati basati sugli elenchi di minacce caricati. È possibile visualizzare i dettagli dell'elenco delle minacce nei dettagli di ricerca sulla GuardDuty console.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
UnauthorizedAccess:Lambda/TorClient
Una funzione Lambda stabilisce connessioni a un Tor Guard o a un nodo Authority.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che una funzione Lambda nel AWS tuo ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi Authority fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che la funzione Lambda è stata potenzialmente compromessa e al momento funge da client su una rete Tor.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
UnauthorizedAccess:Lambda/TorRelay
Una funzione Lambda stabilisce connessioni a una rete Tor come relè Tor.
Gravità predefinita: alta
-
Funzionalità: monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che una funzione Lambda nel AWS tuo ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta consente l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.
Raccomandazioni per la correzione:
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di una funzione Lambda potenzialmente compromessa.
