写写我的个人学习心得，本文仅为个人学习心德，与AWS无关

限制扫描特定ECR中的repository

https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html
先在ECR中的Setting中设定哪些需要被Inspector扫描

ECR设置界面

对漏洞进行分类分析，设定不同的处理流程与机制

Inspector 控制台

按是否有补丁筛选

筛选是否有补丁可修复

按时间筛选

发现时间

Security Hub 控制台

利用SecurityHub 多Region聚合的功能可以集中查看多账户多Region的情况，

使用3号Managed Insights 监测AMI

SecurityHub Insights监测AMI漏洞情况

自定义Custom Insight更灵活

30为周期AMI漏洞情况

使用以下CLI可创建上图中的insight

insight=nameofinsight
region=eu-west-2

aws securityhub create-insight \
--filters \
 '{"RecordState": [{ "Comparison": "EQUALS", "Value": "ACTIVE"}], "WorkflowStatus": [{"Comparison": "EQUALS", "Value": "NEW"}], "ProductName": [{"Comparison": "EQUALS", "Value": "Inspector"}],"CreatedAt": [ { "DateRange": { "Value": 30,"Unit": "DAYS"}}]}' \
 --group-by-attribute "ResourceId" \
--name $insight \
--region=$region

综合安全场景分析

进入securityhub后，可根据设定user case生成告警，并且建立custom insight重点关注安全态势

Custom Insight of SIEM

例如下图为一台EC2有漏洞并且Guardduty发现有恶意IP正在攻击此EC2,立刻自动生成一条Critical告警

Sample Alert

快速响应时的跨账号紧急修复

https://www.jianshu.com/p/39ab3e36a5c1