在漏洞管理程序中使用 Amazon Inspector

Amazon Inspec tor 是一项漏洞管理服务，可持续扫描您的亚马逊弹性计算云 (Amazon EC2) 实例、亚马逊弹性容器注册表 (Amazon ECR) 容器镜像 AWS Lambda 和函数，以发现软件漏洞和意外网络泄露。您可以使用 Amazon Inspector 来了解您的 AWS 环境中的软件漏洞，并确定解决这些漏洞的优先顺序。

Amazon Inspector 会在资源的整个生命周期中持续评估您的环境。它会自动重新扫描资源，以应对可能引入新漏洞的更改。例如，当您在 EC2 实例上安装新软件包、安装补丁或发布影响资源的新常见漏洞和漏洞 (CVE) 时，它会重新扫描。当 Amazon Inspector 发现漏洞或开放的网络路径时，它会生成一个可供您调查的发现。该发现提供了有关该漏洞的全面信息，包括以下内容：

• 亚马逊 Inspector 风险评分

• 通用漏洞评分系统 (CVSS) 分数

• 受影响的资源

• 来自亚马逊的有关 CVE 的漏洞情报数据，Recorded Future 和 Cybersecurity and Infrastructure Security Agency (CISA)

• 补救建议

有关设置 Amazon Inspector 的说明，请参阅 Ama zon Inspector 入门。本教程中的激活 Amazon Inspector 步骤提供了两个配置选项：独立账户环境和多账户环境。如果您想监控多个属于组织成员的用户 AWS 账户 ，我们建议您使用多账户环境选项。 AWS Organizations

在为多账户环境设置 Amazon Inspector 时，您可以将组织中的一个账户指定为 Amazon Inspector 的委托管理员。授权的管理员可以管理组织成员的调查结果和某些设置。例如，授权管理员可以查看所有成员账户的汇总结果的详细信息，启用或禁用对成员账户的扫描，以及查看扫描的资源。 AWS SRA 建议您创建一个安全工具账户，并将其作为 Amazon Inspector 的委托管理员使用。