AWS Lambda 函数创建或更新
编辑AWS Lambda 函数创建或更新
编辑识别何时创建或更新 AWS Lambda 函数。AWS Lambda 允许您运行代码而无需配置或管理服务器。攻击者可以创建或更新 Lambda 函数以执行恶意代码、窃取数据或提升权限。这是一个[构建块规则](https://elastic.ac.cn/guide/en/security/current/building-block-rule.html),它不会生成警报,但会在创建或更新与规则条件匹配的 Lambda 函数时发出信号。要生成警报,请创建一个使用此信号作为构建块的规则。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 低
风险评分: 21
每隔: 10 分钟
搜索索引自: now-60m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 领域:云
- 数据源:AWS
- 数据源:亚马逊网络服务
- 数据源:AWS Lambda
- 用例:资产可见性
- 策略:执行
- 规则类型:BBR
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑event.dataset: "aws.cloudtrail"
and event.provider: "lambda.amazonaws.com"
and event.outcome: "success"
and event.action: (CreateFunction* or UpdateFunctionCode*)
框架: MITRE ATT&CKTM
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:无服务器执行
- ID:T1648
- 参考网址:https://attack.mitre.org/techniques/T1648/