写写我的个人学习心得,本文仅为个人学习心德,与AWS无关
限制扫描特定ECR中的repository
https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html
先在ECR中的Setting中设定哪些需要被Inspector扫描
ECR设置界面
对漏洞进行分类分析,设定不同的处理流程与机制
Inspector 控制台
按是否有补丁筛选
筛选是否有补丁可修复
按时间筛选
发现时间
Security Hub 控制台
利用SecurityHub 多Region聚合的功能可以集中查看多账户多Region的情况,
使用3号Managed Insights 监测AMI
SecurityHub Insights监测AMI漏洞情况
自定义Custom Insight更灵活
30为周期AMI漏洞情况
使用以下CLI可创建上图中的insight
insight=nameofinsight
region=eu-west-2
aws securityhub create-insight \
--filters \
'{"RecordState": [{ "Comparison": "EQUALS", "Value": "ACTIVE"}], "WorkflowStatus": [{"Comparison": "EQUALS", "Value": "NEW"}], "ProductName": [{"Comparison": "EQUALS", "Value": "Inspector"}],"CreatedAt": [ { "DateRange": { "Value": 30,"Unit": "DAYS"}}]}' \
--group-by-attribute "ResourceId" \
--name $insight \
--region=$region
综合安全场景分析
进入securityhub后,可根据设定user case生成告警,并且建立custom insight重点关注安全态势
Custom Insight of SIEM
例如下图为一台EC2有漏洞并且Guardduty发现有恶意IP正在攻击此EC2,立刻自动生成一条Critical告警
Sample Alert
