AWS Lambda 函数创建或更新
编辑AWS Lambda 函数创建或更新编辑
识别 AWS Lambda 函数何时创建或更新。AWS Lambda 允许您在不配置或管理服务器的情况下运行代码。攻击者可以创建或更新 Lambda 函数来执行恶意代码、泄露数据或提升权限。这是一个[构建块规则](https://elastic.ac.cn/guide/en/security/current/building-block-rule.html),它不会生成警报,但在创建或更新与规则条件匹配的 Lambda 函数时发出信号。要生成警报,请创建一个使用此信号作为构建块的规则。
规则类型:查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性:低
风险评分: 21
运行间隔:10 分钟
搜索索引范围:now-60m (日期数学格式,另请参阅其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS Lambda
- 用例:资产可见性
- 战术:执行
版本: 1
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
event.dataset: "aws.cloudtrail"
and event.provider: "lambda.amazonaws.com"
and event.outcome: "success"
and event.action: (CreateFunction* or UpdateFunctionCode*)
框架:MITRE ATT&CKTM
-
战术
- 名称:执行
- ID:TA0002
- 参考链接:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:无服务器执行
- ID:T1648
- 参考链接:https://attack.mitre.org/techniques/T1648/