GuardDuty マルウェア検出のスキャンエンジン

Amazon GuardDuty には、内部で構築および管理されるスキャンエンジンとサードパーティーベンダーがあります。どちらも、AWS をターゲットとする可能性のあるさまざまな種類のマルウェアを可視化する多様な内部フィードから取得された侵害のインジケータ (IoC) を使用します。また、GuardDuty には、セキュリティエンジニアによって追加された YARA ルールに基づく検出定義と、ヒューリスティックおよび機械学習 (ML) モデルに基づく検出も含まれます。Amazon S3 オブジェクトをスキャンする場合、GuardDuty マルウェア保護は、同一のスキャン定義とエンジンを使用して同一オブジェクトを複数回スキャンしても、一貫した結果を生成します。署名ベースの検出には、バイトの一致だけでなく、複雑な可能性のあるコードのスニペットも含まれており、スキャナーはコンテンツを解析して決定を下すことができます。

マルウェアスキャンエンジンは、マルウェアデトネーションにより実際のシステムで実行されるサンプルをモニタリングするライブ行動分析を実行しません。GuardDuty ソリューションは主に、ファイルベースの検出です。ファイルレスマルウェアを検出するために、GuardDuty は Amazon EKS、Amazon EC2、Amazon ECS (AWS Fargate を含む) の Runtime Monitoring などのエージェントベースのソリューションを提供します。

GuardDuty がマルウェアをスキャンするファイル形式に制限がないと、使用するスキャンエンジンでは、クリプトマイナー、ランサムウェア、Web シェルなど、さまざまなタイプのマルウェアを検出できます。フルマネージド型の GuardDuty スキャンエンジンは、マルウェア署名のリストを 15 分ごとに継続的に更新します。

スキャンエンジンは、内部マルウェアデトネーションコンポーネントを使用する GuardDuty 脅威インテリジェンスシステムの一部です。これにより、複数のソースからマルウェアと悪意のないサンプルを独立して収集することで、新しい脅威インテリジェンスが生成されます。脅威インテリジェンスシステムからのファイルハッシュ IoC タイプは、さらにマルウェアスキャンエンジンにフィードされ、既知の不正なファイルハッシュに基づいてマルウェアを検出します。