修复可能受损的 Lambda 函数 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能受损的 Lambda 函数

当 GuardDuty 生成 Lambda Protection 调查结果且活动出乎意料时,您的 Lambda 函数可能会受到损害。我们建议完成以下步骤来修复遭到盗用的 Lambda 函数。

修复 Lambda 保护调查发现

  1. 确定可能受到威胁的 Lambda 函数版本

    Lambda Protection 的 GuardDuty 调查结果提供了与调查结果详细信息中列出的 Lambda 函数相关的名称、亚马逊资源名称 (ARN)、函数版本和修订版 ID。

  2. 确定潜在可疑活动的来源

    1. 查看与调查发现中涉及的 Lambda 函数版本相关的代码。

    2. 查看调查发现中涉及的 Lambda 函数版本的导入库和层。

    3. 如果您已使用 Amazon Inspector 启用扫描 Amazon Lambda 功能,请查看与调查结果中涉及的 Lambda 函数相关的亚马逊检查结果

    4. 查看日 Amazon CloudTrail 志,确定导致函数更新的主体,并确保该活动已获得授权或预期。

  3. 修复可能受损的 Lambda 函数

    1. 禁用调查发现中涉及的 Lambda 函数的执行触发器。有关更多信息,请参阅DeleteFunctionEventInvokeConfig

    2. 查看 Lambda 代码并更新库导入和 Lambda 函数层,以移除可能可疑的库和层。

    3. 缓解与调查发现中涉及的 Lambda 函数相关的 Amazon Inspector 调查发现。