GuardDuty 惡意軟體偵測掃描引擎

Amazon GuardDuty 具有內部建置和管理的掃描引擎，以及第三方供應商 。兩者都使用來自各種內部饋送的入侵指標 （IoCs），這些饋送具有不同惡意軟體的可見性，這些惡意軟體可能鎖定 AWS。 GuardDuty 也具有以安全工程師新增的YARA規則為基礎的偵測定義，以及以啟發式和機器學習 （ML） 模型為基礎的偵測。以簽章為基礎的偵測不僅包括位元組比對，還包括可能複雜的程式碼片段，而且掃描器可以剖析內容並做出決策。

惡意軟體掃描引擎不會執行即時行為分析，其中惡意軟體引爆會在實際系統中執行時監控範例。 GuardDuty 解決方案主要是檔案型偵測。為了偵測無檔案惡意軟體， GuardDuty 提供代理程式型解決方案，例如執行期監控適用於 Amazon EKS、Amazon EC2和 Amazon ECS（包括 AWS Fargate）。

掃描 GuardDuty 惡意軟體的檔案格式不受限制，其使用的掃描引擎可以偵測不同類型的惡意軟體，例如加密程式、勒索軟體和 webshell。完全受管 GuardDuty 掃描引擎每 15 分鐘會持續更新惡意軟體簽章清單。

掃描引擎是使用內部惡意軟體引爆元件的 GuardDuty 威脅情報系統的一部分。這透過從多個來源獨立收集惡意軟體和良性樣本來產生新的威脅情報。威脅情報系統中的檔案雜湊 IoC 類型會進一步饋入惡意軟體掃描引擎，以根據已知的不良檔案雜湊偵測惡意軟體。