第 1 章 Insights for RHEL malware-detection 服务概述
Red Hat Insights for Red Hat Enterprise Linux malware-detection 服务是一个监控和评估工具,用于扫描 RHEL 系统是否存在恶意软件。malware-detection 服务包含与 YARA 模式匹配的软件和恶意检测签名。签名与 IBM X-Force 智能团队合作与红帽威胁智能团队紧密合作。
在 malware-detection 服务 UI 中,用户访问授权管理员和查看器可以
- 请参阅扫描 RHEL 系统的签名列表。
- 参阅在 Insights 客户端中启用了 malware-detection 功能的所有 RHEL 系统的汇总结果。
- 请参阅各个系统的结果。
- 知道系统何时显示存在恶意软件的证据。
这些功能为安全威胁评估者和 IT 事件响应团队提供了准备响应的宝贵信息。
malware-detection 服务不推荐解析或修复恶意事件。
解决恶意软件威胁的策略取决于许多特定于每个系统和组织的条件和注意事项。您的机构的安全事件响应团队最适合为每个缺陷设计并实施有效的缓解和补救策略。
1.1. YARA malware 签名
YARA 签名检测是 Insights for Red Hat Enterprise Linux malware-detection 服务的基础。YARA 签名是 malware 类型的描述,以模式表示。每个描述由一组字符串和定义规则的布尔值表达式组成。当扫描的 RHEL 系统上存在签名中的一个或多个条件时,YARA 会在那个系统上记录命中。