2022-09-21 AWS 漏洞發(fā)現(xiàn)工具Inspector 使用心得

寫寫我的個(gè)人學(xué)習(xí)心得,本文僅為個(gè)人學(xué)習(xí)心德,與AWS無關(guān)

限制掃描特定ECR中的repository

https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html
先在ECR中的Setting中設(shè)定哪些需要被Inspector掃描

ECR設(shè)置界面

對漏洞進(jìn)行分類分析,設(shè)定不同的處理流程與機(jī)制

Inspector 控制臺

按是否有補(bǔ)丁篩選

篩選是否有補(bǔ)丁可修復(fù)

按時(shí)間篩選

發(fā)現(xiàn)時(shí)間

Security Hub 控制臺

利用SecurityHub 多Region聚合的功能可以集中查看多賬戶多Region的情況,

使用3號Managed Insights 監(jiān)測AMI

SecurityHub Insights監(jiān)測AMI漏洞情況

自定義Custom Insight更靈活

30為周期AMI漏洞情況

使用以下CLI可創(chuàng)建上圖中的insight

insight=nameofinsight
region=eu-west-2

aws securityhub create-insight \
--filters \
 '{"RecordState": [{ "Comparison": "EQUALS", "Value": "ACTIVE"}], "WorkflowStatus": [{"Comparison": "EQUALS", "Value": "NEW"}], "ProductName": [{"Comparison": "EQUALS", "Value": "Inspector"}],"CreatedAt": [ { "DateRange": { "Value": 30,"Unit": "DAYS"}}]}' \
 --group-by-attribute "ResourceId" \
--name $insight \
--region=$region

綜合安全場景分析

進(jìn)入securityhub后,可根據(jù)設(shè)定user case生成告警,并且建立custom insight重點(diǎn)關(guān)注安全態(tài)勢


Custom Insight of SIEM

例如下圖為一臺EC2有漏洞并且Guardduty發(fā)現(xiàn)有惡意IP正在攻擊此EC2,立刻自動(dòng)生成一條Critical告警


Sample Alert

快速響應(yīng)時(shí)的跨賬號緊急修復(fù)

http://www.itdecent.cn/p/39ab3e36a5c1

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容