AWS Lambda 函数创建或更新
编辑AWS Lambda 函数创建或更新
编辑识别何时创建或更新 AWS Lambda 函数。AWS Lambda 允许您运行代码,而无需预置或管理服务器。攻击者可以创建或更新 Lambda 函数来执行恶意代码、窃取数据或提升权限。这是一个[构建块规则](https://elastic.ac.cn/guide/en/security/current/building-block-rule.html),不会生成警报,但会在创建或更新与规则条件匹配的 Lambda 函数时发出信号。要生成警报,请创建使用此信号作为构建块的规则。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 低
风险评分: 21
运行频率: 10 分钟
搜索索引时间范围: now-60m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: 云
- 数据源: AWS
- 数据源: 亚马逊 Web 服务
- 数据源: AWS Lambda
- 用例: 资产可见性
- 策略: 执行
- 规则类型: BBR
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑event.dataset: "aws.cloudtrail"
and event.provider: "lambda.amazonaws.com"
and event.outcome: "success"
and event.action: (CreateFunction* or UpdateFunctionCode*)
框架: MITRE ATT&CKTM
-
策略
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称: 无服务器执行
- ID: T1648
- 参考 URL: https://attack.mitre.org/techniques/T1648/