本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
GuardDuty 惡意軟體偵測掃描引擎
Amazon GuardDuty 具有內部建置和管理的掃描引擎和第三方供應商
惡意軟體掃描引擎不會執行即時行為分析,其中惡意軟體引爆會在實際系統中執行時監控範例。 GuardDuty 解決方案主要是以檔案為基礎的偵測。為了偵測無檔案惡意軟體, GuardDuty 提供代理程式型解決方案,例如執行期監控適用於 Amazon EKS、Amazon EC2和 Amazon ECS(包括 AWS Fargate)。
掃描 GuardDuty 惡意軟體的檔案格式沒有限制,其使用的掃描引擎可以偵測不同類型的惡意軟體,例如加密程式、勒索軟體和 webshell。全受管 GuardDuty 掃描引擎每 15 分鐘會持續更新惡意軟體簽章清單。
掃描引擎是 GuardDuty 使用內部惡意軟體引爆元件的威脅情報系統的一部分。這會透過獨立收集來自多個來源的惡意軟體和良性樣本來產生新的威脅情報。來自威脅情報系統的檔案雜湊 IoC 類型會進一步饋送至惡意軟體掃描引擎,以根據已知的不良檔案雜湊偵測惡意軟體。