Jenis temuan Perlindungan Lambda - Amazon GuardDuty
Backdoor:Lambda/C&CActivity.BCryptoCurrency:Lambda/BitcoinTool.BTrojan:Lambda/BlackholeTrafficTrojan:Lambda/DropPointUnauthorizedAccess:Lambda/MaliciousIPCaller.CustomUnauthorizedAccess:Lambda/TorClientUnauthorizedAccess:Lambda/TorRelay

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jenis temuan Perlindungan Lambda

Bagian ini menjelaskan jenis temuan yang spesifik untuk AWS Lambda sumber daya Anda dan memiliki yang resourceType terdaftar sebagaiLambda. Untuk semua temuan Lambda, kami sarankan Anda memeriksa sumber daya yang dimaksud dan menentukan apakah itu berperilaku dengan cara yang diharapkan. Jika aktivitas diotorisasi, Anda dapat menggunakan aturan Suppression atau IP Tepercaya dan daftar ancaman untuk mencegah pemberitahuan positif palsu untuk sumber daya tersebut.

Jika aktivitasnya tidak terduga, praktik terbaik keamanan adalah mengasumsikan bahwa Lambda berpotensi dikompromikan dan mengikuti rekomendasi remediasi.

Backdoor:Lambda/C&CActivity.B

Fungsi Lambda adalah menanyakan alamat IP yang dikaitkan dengan server perintah dan kontrol yang dikenal.

Tingkat keparahan default: Tinggi

  • Fitur: Pemantauan Aktivitas Jaringan Lambda

Temuan ini memberi tahu Anda bahwa fungsi Lambda yang terdaftar di lingkungan AWS Anda sedang menanyakan alamat IP yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. Fungsi Lambda yang terkait dengan temuan yang dihasilkan berpotensi dikompromikan. Server C&C adalah komputer yang mengeluarkan perintah kepada anggota botnet.

Botnet adalah kumpulan perangkat yang terhubung ke internet, yang mungkin termasuk PCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disusupi, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai penolakan layanan terdistribusi.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, fungsi Lambda Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki fungsi Lambda yang berpotensi dikompromikan.

CryptoCurrency:Lambda/BitcoinTool.B

Fungsi Lambda adalah menanyakan alamat IP yang terkait dengan aktivitas terkait cryptocurrency.

Tingkat keparahan default: Tinggi

  • Fitur: Pemantauan Aktivitas Jaringan Lambda

Temuan ini memberi tahu Anda bahwa fungsi Lambda yang terdaftar di lingkungan AWS Anda menanyakan alamat IP yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Aktor ancaman mungkin berusaha untuk mengambil kendali atas fungsi Lambda untuk menggunakannya kembali dengan jahat untuk penambangan cryptocurrency yang tidak sah.

Rekomendasi remediasi:

Jika Anda menggunakan fungsi Lambda ini untuk menambang atau mengelola mata uang kripto, atau fungsi ini terlibat dalam aktivitas blockchain, ancaman ini berpotensi terjadi di lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atribut jenis temuan dengan nilai CryptoCurrency:Lambda/BitcoinTool.B. Kriteria filter kedua adalah nama fungsi Lambda dari fungsi yang terlibat dalam aktivitas blockchain. Untuk informasi tentang membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, fungsi Lambda berpotensi disusupi. Untuk informasi selengkapnya, lihat Memperbaiki fungsi Lambda yang berpotensi dikompromikan.

Trojan:Lambda/BlackholeTraffic

Fungsi Lambda mencoba berkomunikasi dengan alamat IP host jarak jauh yang merupakan lubang hitam yang dikenal.

Tingkat keparahan default: Medium

  • Fitur: Pemantauan Aktivitas Jaringan Lambda

Temuan ini memberi tahu Anda bahwa fungsi Lambda yang terdaftar di lingkungan AWS Anda mencoba berkomunikasi dengan alamat IP lubang hitam (atau lubang wastafel). Black hole adalah tempat di jaringan di mana lalu lintas yang masuk atau keluar diam-diam dibuang tanpa menginformasikan sumber bahwa datanya tidak sampai ke penerima yang dimaksudkan. Alamat IP black hole menentukan mesin host yang tidak berjalan atau alamat yang tidak memiliki host yang ditetapkan. Fungsi Lambda yang terdaftar berpotensi dikompromikan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, fungsi Lambda Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki fungsi Lambda yang berpotensi dikompromikan.

Trojan:Lambda/DropPoint

Fungsi Lambda mencoba berkomunikasi dengan alamat IP dari host jarak jauh yang diketahui memiliki kredensi dan data curian lainnya yang ditangkap oleh malware.

Tingkat keparahan default: Medium

  • Fitur: Pemantauan Aktivitas Jaringan Lambda

Temuan ini memberi tahu Anda bahwa fungsi Lambda yang terdaftar di lingkungan AWS Anda mencoba berkomunikasi dengan alamat IP host jarak jauh yang diketahui menyimpan kredensil dan data curian lainnya yang ditangkap oleh malware.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, fungsi Lambda Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki fungsi Lambda yang berpotensi dikompromikan.

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Fungsi Lambda membuat koneksi ke alamat IP pada daftar ancaman khusus.

Tingkat keparahan default: Medium

  • Fitur: Pemantauan Aktivitas Jaringan Lambda

Temuan ini memberi tahu Anda bahwa fungsi Lambda di lingkungan AWS Anda berkomunikasi dengan alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Dalam GuardDuty, daftar ancaman terdiri dari alamat IP berbahaya yang diketahui. GuardDuty menghasilkan temuan berdasarkan daftar ancaman yang diunggah. Anda dapat melihat detail daftar ancaman di detail temuan di GuardDuty konsol.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, fungsi Lambda Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki fungsi Lambda yang berpotensi dikompromikan.

UnauthorizedAccess:Lambda/TorClient

Fungsi Lambda adalah membuat koneksi ke Tor Guard atau node Authority.

Tingkat keparahan default: Tinggi

  • Fitur: Pemantauan Aktivitas Jaringan Lambda

Temuan ini memberi tahu Anda bahwa fungsi Lambda di lingkungan AWS Anda membuat koneksi ke Tor Guard atau node Authority. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Simpul Tor Guard dan Authority bertindak sebagai gateway awal ke dalam jaringan Tor. Lalu lintas ini dapat menunjukkan bahwa fungsi Lambda ini berpotensi dikompromikan. Sekarang bertindak sebagai klien di jaringan Tor.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, fungsi Lambda Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki fungsi Lambda yang berpotensi dikompromikan.

UnauthorizedAccess:Lambda/TorRelay

Fungsi Lambda adalah membuat koneksi ke jaringan Tor sebagai relay Tor.

Tingkat keparahan default: Tinggi

  • Fitur: Pemantauan Aktivitas Jaringan Lambda

Temuan ini memberi tahu Anda bahwa fungsi Lambda di lingkungan AWS Anda membuat koneksi ke jaringan Tor dengan cara yang menunjukkan bahwa itu bertindak sebagai relai Tor. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Tor memungkinkan komunikasi anonim dengan meneruskan lalu lintas berpotensi ilegal klien dari satu relay Tor ke yang lain.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, fungsi Lambda Anda dapat dikompromikan. Lihat informasi yang lebih lengkap di Memperbaiki fungsi Lambda yang berpotensi dikompromikan.