GuardDuty motore di scansione per il rilevamento di malware

Amazon GuardDuty dispone di un motore di scansione integrato e gestito internamente e di un fornitore terzo. Entrambi utilizzano indicatori di compromissione (IoCs) provenienti da vari feed interni che hanno visibilità sui diversi tipi di malware che potrebbero colpire. AWS GuardDuty include anche definizioni di rilevamento basate su YARA regole aggiunte dai nostri tecnici di sicurezza e rilevamenti basati su modelli euristici e di apprendimento automatico (ML). Il rilevamento basato sulla firma non include solo la corrispondenza dei byte, ma anche un frammento di codice potenzialmente complesso e lo scanner può analizzare il contenuto e prendere decisioni.

Il motore di scansione antimalware non esegue analisi comportamentali in tempo reale, mentre la detonazione del malware monitora il campione mentre viene eseguito in un sistema reale. La GuardDuty soluzione è principalmente un rilevamento basato su file. Per rilevare malware senza file, GuardDuty fornisce una soluzione basata su agenti, ad esempio per Amazon, Monitoraggio del runtime Amazon EC2 e EKS Amazon (incluso). ECS AWS Fargate

Senza alcuna restrizione sui formati di file utilizzati per la GuardDuty scansione alla ricerca di malware, i motori di scansione che utilizza sono in grado di rilevare diversi tipi di malware, come cryptominer, ransomware e webshell. Il motore di GuardDuty scansione completamente gestito aggiorna continuamente l'elenco delle firme dei malware ogni 15 minuti.

Il motore di scansione fa parte del sistema di intelligence GuardDuty sulle minacce che utilizza un componente interno per la detonazione del malware. Ciò genera nuove informazioni sulle minacce raccogliendo in modo indipendente malware e campioni benigni da più fonti. Il tipo di file hash IoC del sistema di intelligence sulle minacce alimenta ulteriormente il motore di scansione antimalware per rilevare il malware sulla base di hash di file dannosi noti.