GuardDuty mesin pemindai deteksi malware

Amazon GuardDuty memiliki mesin pemindaian yang dibangun dan dikelola secara internal dan vendor pihak ketiga. Keduanya menggunakan indikator kompromi (IoCs) yang bersumber dari berbagai feed internal yang memiliki visibilitas di berbagai jenis malware yang mungkin ditargetkan. AWS GuardDuty juga memiliki definisi deteksi yang didasarkan pada YARA aturan yang ditambahkan oleh teknisi keamanan kami, dan deteksi berdasarkan model heuristik dan pembelajaran mesin (ML). Deteksi berbasis tanda tangan tidak hanya mencakup pencocokan byte tetapi juga potongan kode yang berpotensi kompleks, dan pemindai dapat mengurai konten dan membuat keputusan.

Mesin pemindai malware tidak melakukan analisis perilaku langsung, di mana peledakan malware memantau sampel saat dijalankan dalam sistem nyata. GuardDuty Solusinya terutama deteksi berbasis file. Untuk mendeteksi malware tanpa file, GuardDuty berikan solusi berbasis agen, seperti untuk Amazon, Amazon, EKS EC2 dan Pemantauan Runtime Amazon (termasuk). ECS AWS Fargate

Tanpa batasan pada format file yang GuardDuty memindai malware, mesin pemindai yang digunakannya dapat mendeteksi berbagai jenis malware, seperti cryptominers, ransomware, dan webshell. Mesin GuardDuty pemindaian yang dikelola sepenuhnya terus memperbarui daftar tanda tangan malware setiap 15 menit.

Mesin pemindai adalah bagian dari sistem intelijen GuardDuty ancaman yang menggunakan komponen peledakan malware internal. Ini menghasilkan intelijen ancaman baru dengan mengumpulkan malware dan sampel jinak secara independen dari berbagai sumber. File hash tipe IoC dari sistem intelijen ancaman selanjutnya dimasukkan ke mesin pemindaian malware untuk mendeteksi malware berdasarkan hash file buruk yang diketahui.