修复可能失陷的 Lambda 函数 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能失陷的 Lambda 函数

当 GuardDuty 生成Lambda 保护调查发现类型时,可能表明您的 Lambda 函数已经失陷。如果导致 GuardDuty 生成此调查发现的活动符合预期,则可以考虑使用抑制规则。我们建议完成以下步骤来修复失陷的 Lambda 函数:

修复 Lambda 保护调查发现

  1. 确定可能失陷的 Lambda 函数版本

    GuardDuty 对 Lambda 保护的调查发现提供了与调查发现详细信息中列出的 Lambda 函数相关的名称、Amazon 资源名称(ARN)、函数版本和修订 ID。

  2. 确定潜在可疑活动的来源

    1. 查看与调查发现中涉及的 Lambda 函数版本相关的代码。

    2. 查看调查发现中涉及的 Lambda 函数版本的导入库和层。

    3. 如果您已启用使用 Amazon Inspector 扫描 AWS Lambda 功能,请查看与调查发现中涉及的 Lambda 函数相关的 Amazon Inspector 调查发现

    4. 查看 AWS CloudTrail 日志,确定导致函数更新的主体,并确保该活动已获得授权或达到预期。

  3. 修复可能失陷的 Lambda 函数

    1. 禁用调查发现中涉及的 Lambda 函数的执行触发器。有关更多信息,请参阅 DeleteFunctionEventInvokeConfig

    2. 查看 Lambda 代码并更新库导入和 Lambda 函数层,以移除可能可疑的库和层。

    3. 缓解与调查发现中涉及的 Lambda 函数相关的 Amazon Inspector 调查发现。