第 1 章 Insights for RHEL malware 检测服务概述

Red Hat Insights for Red Hat Enterprise Linux malware 检测服务是一个监控和评估工具,用于扫描 RHEL 系统是否存在恶意软件。恶意软件检测服务融合了 YARA 模式匹配软件和恶意软件检测签名。为与 IBM X-Force 威胁智能团队合作提供签名,与红帽威胁智能团队紧密合作。

在恶意软件检测服务 UI 中,User Access-authorized 管理员和 viewers 可以

  • 请参阅其 RHEL 系统被扫描的签名列表。
  • 请参阅 Insights 客户端中启用了 malware 检测的所有 RHEL 系统的汇总结果。
  • 查看各个系统的结果。
  • 知道系统何时显示恶意软件存在的证据。

这些功能为安全威胁评估者和 IT 事件响应团队提供宝贵的信息,以准备响应。

恶意软件检测服务不推荐解析或修复恶意软件事件。

处理恶意软件威胁的策略取决于特定于每个系统和机构的很多标准和注意事项。您的组织的安全事件响应团队最适合为每个环境设计和实施有效缓解和补救策略。

1.1. YARA malware 签名

YARA 签名检测是 Insights for Red Hat Enterprise Linux malware 检测服务的基础。YARA 签名是 malware 类型的描述,以模式表示。每个描述由一组字符串和一个定义规则的布尔值表达式组成。当扫描的 RHEL 系统中存在一个或多个条件时,YARA 记录了该系统上的命中。