GuardDuty motor de escaneo de detección de malware

Amazon GuardDuty tiene un motor de escaneo creado y administrado internamente y un proveedor externo. Ambos utilizan indicadores de compromiso (IoCs) procedentes de varios canales internos que permiten ver los distintos tipos de malware a los que pueden dirigirse AWS. GuardDuty también incluye definiciones de detección que se basan en YARA reglas añadidas por nuestros ingenieros de seguridad y detecciones basadas en modelos heurísticos y de aprendizaje automático (ML). La detección basada en firmas no se limita a la coincidencia de bytes, sino que también incluye fragmentos de código potencialmente complejos, lo que permite al escáner analizar el contenido y tomar decisiones.

El motor de análisis de malware no realiza análisis de comportamiento en vivo, en los que la detonación de malware supervisa la muestra mientras se ejecuta en un sistema real. La GuardDuty solución consiste principalmente en una detección basada en archivos. Para detectar malware sin archivos, GuardDuty proporciona una solución basada en agentes, como Supervisión en tiempo de ejecución Amazon, Amazon EC2 y EKS Amazon ECS (incluida). AWS Fargate

Sin restricciones en cuanto a los formatos de archivo para detectar malware, los motores de análisis que utiliza pueden detectar diferentes tipos de malware, como los criptomineros, el ransomware y los webshells. GuardDuty El motor de GuardDuty análisis, totalmente gestionado, actualiza continuamente la lista de firmas de malware cada 15 minutos.

El motor de escaneo forma parte del sistema de inteligencia de GuardDuty amenazas que utiliza un componente interno de detonación de malware. Esto permite generar nueva inteligencia sobre amenazas mediante la recopilación autónoma de muestras de malware y archivos benignos provenientes de diversos orígenes. El tipo de IoC de hash de archivo del sistema de inteligencia de amenazas se integra además con el motor de análisis de malware para detectar malware basado en hashes de archivos maliciosos conocidos.