GuardDuty moteur d'analyse pour la détection des malwares - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty moteur d'analyse pour la détection des malwares

Amazon GuardDuty dispose d'un moteur de scan conçu et géré en interne et d'un fournisseur tiers. Les deux utilisent des indicateurs de compromission (IoCs) provenant de différents flux internes qui permettent de visualiser les différents types de malwares susceptibles de les cibler AWS. GuardDuty propose également des définitions de détection basées sur des YARA règles ajoutées par nos ingénieurs en sécurité, ainsi que des détections basées sur des modèles heuristiques et d'apprentissage automatique (ML). La détection basée sur les signatures inclut non seulement la mise en correspondance d'octets, mais également un extrait de code potentiellement complexe, et le scanner peut analyser le contenu et prendre des décisions.

Le moteur d'analyse des programmes malveillants n'effectue pas d'analyse comportementale en temps réel, dans le cadre de laquelle la détonation du logiciel malveillant surveille l'échantillon lorsqu'il s'exécute dans un système réel. La GuardDuty solution consiste principalement en une détection basée sur des fichiers. Pour détecter les malwares sans fichier, GuardDuty fournit une solution basée sur un agent, comme pour Surveillance d'exécution Amazon, Amazon EC2 et EKS Amazon ECS (y compris). AWS Fargate

Sans aucune restriction quant aux formats de fichiers permettant de détecter les malwares, les moteurs d'analyse qu'il utilise peuvent détecter différents types de malwares, tels que les cryptomineurs, les ransomwares et les webshells. GuardDuty Le moteur d' GuardDuty analyse entièrement géré met à jour en permanence la liste des signatures de logiciels malveillants toutes les 15 minutes.

Le moteur d'analyse fait partie d'un système de renseignement sur les GuardDuty menaces qui utilise un composant interne de détonation de logiciels malveillants. Cela génère de nouvelles informations sur les menaces en collectant indépendamment des malwares et des échantillons bénins provenant de sources multiples. Le type de hachage de fichier IoC du système de renseignement sur les menaces alimente également le moteur d'analyse des logiciels malveillants afin de détecter les logiciels malveillants sur la base de hachages de fichiers défectueux connus.