GuardDuty Scan-Engine zur Malware-Erkennung - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Scan-Engine zur Malware-Erkennung

Amazon GuardDuty hat eine intern entwickelte und verwaltete Scan-Engine und einen Drittanbieter. Beide verwenden Kompromittierungsindikatoren (IoCs), die aus verschiedenen internen Feeds stammen und Aufschluss über verschiedene Arten von Schadsoftware geben, auf die möglicherweise zugegriffen werden kann AWS. GuardDuty verfügt außerdem über Erkennungsdefinitionen, die auf YARA Regeln basieren, die von unseren Sicherheitsingenieuren hinzugefügt wurden, sowie Erkennungen, die auf heuristischen Modellen und Modellen für maschinelles Lernen (ML) basieren. Die signaturbasierte Erkennung umfasst nicht nur den Abgleich von Bytes, sondern auch einen Codeausschnitt, der potenziell komplex ist, und der Scanner kann Inhalte analysieren und Entscheidungen treffen.

Die Malware-Scan-Engine führt keine Live-Verhaltensanalyse durch, bei der die Malware-Detonation die Probe überwacht, während sie in einem realen System ausgeführt wird. Die GuardDuty Lösung besteht in erster Linie in einer dateibasierten Erkennung. GuardDuty Bietet eine agentenbasierte Lösung zur Erkennung dateiloser Malware, z. B. Laufzeit-Überwachung für AmazonEKS, Amazon und Amazon EC2 ECS (einschließlich). AWS Fargate

Die verwendeten Scan-Engines sind in der Lage, verschiedene Arten von Malware wie Cryptominer, Ransomware und Webshells zu erkennen, da es keine Beschränkung der Dateiformate gibt, mit denen nach Malware GuardDuty gescannt wird. Die vollständig verwaltete GuardDuty Scan-Engine aktualisiert die Liste der Malware-Signaturen kontinuierlich alle 15 Minuten.

Die Scan-Engine ist Teil eines GuardDuty Threat Intelligence-Systems, das eine interne Komponente zur Detonation von Malware verwendet. Dadurch werden neue Bedrohungsinformationen generiert, indem unabhängig voneinander Malware und harmlose Proben aus verschiedenen Quellen gesammelt werden. Der IoC-Typ Datei-Hash aus dem Threat Intelligence System wird außerdem in die Malware-Scan-Engine eingespeist, um Malware auf der Grundlage bekannter bösartiger Datei-Hashes zu erkennen.