• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Arbeiten mit Patch Manager-Ressourcen und Compliance mithilfe der Konsole
Um ein Tool in zu verwenden Patch Manager AWS Systems Manager, führen Sie die folgenden Aufgaben aus. Diese Aufgaben werden später in diesem Abschnitt ausführlich erläutert.
1. Stellen Sie sicher, dass die AWS vordefinierte Patch-Baseline für jeden von Ihnen verwendeten Betriebssystemtyp Ihren Anforderungen entspricht. Ist dies nicht der Fall, sollten Sie eine Patch-Baseline erstellen, in der Standard-Patches für diesen Typ von verwalteten Knoten definiert sind, und diese als Standard-Patch-Baseline festlegen.
1. Organisieren Sie verwaltete Knoten mithilfe von Amazon Elastic Compute Cloud (Amazon EC2)-Tags in Patch-Gruppen (optional, aber empfohlen).
1. Führen Sie eine der folgenden Aktionen aus:
+ (Empfohlen) Konfigurieren Sie eine Patch-Richtlinie in Quick Setup, einem Tool in Systems Manager, mit dem Sie fehlende Patches nach einem Zeitplan für eine gesamte Organisation, eine Teilmenge von Organisationseinheiten oder ein einzelnes AWS-Konto installieren können. Weitere Informationen finden Sie unter [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md).
+ Erstellen Sie ein Wartungsfenster, das das Systems Manager-Dokument (SSM-Dokument) `AWS-RunPatchBaseline` in einem Run Command-Aufgabentyp verwendet. Weitere Informationen finden Sie unter [Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole](maintenance-window-tutorial-patching.md).
+ Führen Sie `AWS-RunPatchBaseline` manuell in einer Run Command-Operation aus. Weitere Informationen finden Sie unter [Ausführen von Befehlen über die Konsole](running-commands-console.md).
+ Patchen Sie Knoten bei Bedarf manuell mit der Funktion **Patch now** (Jetzt patchen). Weitere Informationen finden Sie unter [On-Demand-Patchen von verwalteten Knoten](patch-manager-patch-now-on-demand.md).
1. Überwachen Sie das Patching, um die Compliance zu überprüfen und Fehler zu untersuchen.
**Topics**
+ [Erstellen einer Patch-Richtlinie](patch-manager-create-a-patch-policy.md)
+ [Patch-Dashboard-Zusammenfassungen anzeigen](patch-manager-view-dashboard-summaries.md)
+ [Arbeiten mit Patch-Compliance-Berichten](patch-manager-compliance-reports.md)
+ [On-Demand-Patchen von verwalteten Knoten](patch-manager-patch-now-on-demand.md)
+ [Arbeiten mit Patch-Baselines](patch-manager-create-a-patch-baseline.md)
+ [Anzeigen verfügbarer Patches](patch-manager-view-available-patches.md)
+ [Erstellen und Verwalten von Patch-Gruppen](patch-manager-tag-a-patch-group.md)
+ [Integrieren Patch Manager mit AWS Security Hub CSPM](patch-manager-security-hub-integration.md)
# Erstellen einer Patch-Richtlinie
Eine Patch-Richtlinie ist eine Konfiguration, die Sie mit Quick Setup, einem Tool in AWS Systems Manager, einrichten. Patch-Richtlinien bieten eine umfassendere und zentralisiertere Kontrolle über Ihre Patching-Vorgänge, als dies mit anderen Methoden zum Konfigurieren von Patches möglich ist. Eine Patch-Richtlinie definiert den Zeitplan und die Baseline, die beim automatischen Patchen Ihrer Knoten und Anwendungen verwendet werden sollen.
Weitere Informationen finden Sie unter den folgenden Themen:
+ [Patch-Richtlinienkonfigurationen in Quick Setup](patch-manager-policies.md)
+ [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md)
# Patch-Dashboard-Zusammenfassungen anzeigen
Die **Dashboard**-Registerkarte in Patch Manager bietet eine Übersicht über die Konsole, die Sie verwenden können, um Ihre Patch-Vorgänge in einer konsolidierten Ansicht zu überwachen. Patch Manager ist ein Tool in AWS Systems Manager. Auf der Registerkarte **Dashboard** können Sie folgenden Tabellen anzeigen:
+ Ein Snapshot, wie viele verwaltete Knoten mit Patching-Regeln konform bzw. nicht konform sind.
+ Ein Snapshot des Alters der Patch-Compliance-Ergebnisse für Ihre verwalteten Knoten.
+ Eine verknüpfte Anzahl davon, wie viele nicht konforme verwaltete Knoten für jeden der häufigsten Gründe für Nicht-Compliance vorhanden sind.
+ Eine verknüpfte Liste der letzten Patching-Vorgänge.
+ Eine verknüpfte Liste der wiederkehrenden Patching-Vorgänge, die eingerichtet wurden.
**So zeigen Sie Patch-Dashboard-Übersichten**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Dashboard** aus.
1. Scrollen Sie zu dem Abschnitt mit zusammenfassenden Daten, den Sie anzeigen möchten:
+ **Amazon-EC2-Instance-Management**
+ **Zusammenfassung der Compliance**
+ **Anzahl der Nichteinhaltungen der Compliance**
+ **Compliance-Berichte**
+ **Nicht auf Patch-Richtlinien basierende Vorgänge**
+ **Wiederkehrende Aufgaben, die nicht auf Patch-Richtlinien basieren**
# Arbeiten mit Patch-Compliance-Berichten
Die Informationen in den folgenden Themen helfen Ihnen beim Erstellen von und Arbeiten mit Patch-Compliance-Berichten in Patch Manager, einem Tool in AWS Systems Manager.
Die Informationen in den folgenden Themen gelten unabhängig davon, welche Methode oder Art der Konfiguration Sie für Ihre Patching-Vorgänge verwenden:
+ Eine in Quick Setup konfigurierte Patch-Richtlinie
+ Eine in Quick Setup konfigurierte Host-Management-Option
+ Ein Wartungsfenster zum Ausführen eines Patch-`Scan` oder einer `Install`-Aufgabe
+ Ein On-Demand-**Jetzt patchen**-Vorgang
**Wichtig**
Patch-Compliance-Berichte sind point-in-time Schnappschüsse, die nur bei erfolgreichen Patch-Vorgängen generiert werden. Jeder Bericht enthält eine Erfassungszeit, aus der hervorgeht, wann der Compliance-Status berechnet wurde.
Wenn Sie mehrere Arten von Vorgängen einsetzen, um Ihre Instances auf Patch-Compliance zu überprüfen, beachten Sie, dass jeder Scan die Patch-Compliance-Daten der vorherigen Scans überschreibt. Dies kann zu unerwarteten Ergebnissen in Ihren Patch-Compliance-Daten führen. Weitere Informationen finden Sie unter [Identifizieren der Ausführung, die Patch-Compliance-Daten erstellt hat](patch-manager-compliance-data-overwrites.md).
Um zu überprüfen, welche Patch-Baseline verwendet wurde, um die neuesten Compliance-Informationen zu generieren, navigieren Sie zur Registerkarte **Compliance-Berichte** in Patch Manager, suchen Sie die Zeile für den verwalteten Knoten, zu dem Sie Informationen wünschen, und wählen Sie dann die Baseline-ID in der Spalte **Verwendete Baseline-ID** aus.
**Topics**
+ [Anzeigen der Patch-Compliance-Ergebnisse](patch-manager-view-compliance-results.md)
+ [Generieren von Patch-Compliance-Berichten im .csv-Format](patch-manager-store-compliance-results-in-s3.md)
+ [Behebung nicht konformer verwalteter Knoten mit Patch Manager](patch-manager-noncompliant-nodes.md)
+ [Identifizieren der Ausführung, die Patch-Compliance-Daten erstellt hat](patch-manager-compliance-data-overwrites.md)
# Anzeigen der Patch-Compliance-Ergebnisse
Gehen Sie wie folgt vor, um Patch-Compliance-Informationen zu Ihren verwalteten Knoten anzuzeigen.
Dieses Verfahren gilt für Patchvorgänge, die das `AWS-RunPatchBaseline`-Dokument verwenden. Weitere Informationen zum Anzeigen von Patch-Compliance-Informationen für Patch-Operationen, die das `AWS-RunPatchBaselineAssociation`-Dokument verwenden, finden Sie unter [Identifizieren von nicht konformen verwalteten Knoten](patch-manager-find-noncompliant-nodes.md).
**Anmerkung**
Die Patchscanvorgänge für das Dokument Quick Setup und die Explorer Verwendung des `AWS-RunPatchBaselineAssociation` Dokuments. Quick Setupund Explorer sind beide Tools in AWS Systems Manager.
**Identifizieren der Patch-Lösung für ein bestimmtes CVE-Problem (Linux)**
Für viele Linux-basierte Betriebssysteme geben die Patch-Compliance-Ergebnisse an, welche CVE (Common Vulnerabilities and Exposure) Bulletin-Probleme durch welche Patches behoben werden. Mithilfe dieser Informationen können Sie feststellen, wie dringend Sie einen fehlenden oder fehlgeschlagenen Patch installieren müssen.
CVE-Details sind für unterstützte Versionen der folgenden Betriebssystemtypen enthalten:
+ AlmaLinux
+ Amazon Linux 2
+ Amazon Linux 2023
+ Oracle Linux
+ Red Hat Enterprise Linux (RHEL)
+ Rocky Linux
**Anmerkung**
Standardmäßig stellt CentOS Stream keine CVE-Informationen zu Updates bereit. Sie können diese Unterstützung jedoch zulassen, indem Sie Repositorys von Drittanbietern wie das EPEL-Repository (EPEL), das von Fedora veröffentlicht wurde, verwenden. Weitere Informationen finden Sie unter [EPEL](https://fedoraproject.org/wiki/EPEL) im Fedora-Wiki.
Derzeit werden CVE-ID-Werte nur für Patches mit dem Status `Missing` oder `Failed` gemeldet.
Sie können CVE auch IDs zu Ihren Listen mit genehmigten oder abgelehnten Patches in Ihren Patch-Baselines hinzufügen, je nachdem, was die Situation und Ihre Patch-Ziele erfordern.
Weitere Informationen zum Arbeiten mit genehmigten und abgelehnten Patch-Listen finden Sie in den folgenden Themen:
+ [Arbeiten mit benutzerdefinierten Patch-Baselines](patch-manager-manage-patch-baselines.md)
+ [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md)
+ [Funktionsweise von Patch-Baseline-Regeln auf Linux-basierten Systemen](patch-manager-linux-rules.md)
+ [Wie Patches installiert werden](patch-manager-installing-patches.md)
**Anmerkung**
In einigen Fällen veröffentlicht Microsoft Patches für Anwendungen, die kein aktualisiertes Datum und keine aktualisierte Uhrzeit angeben. In diesen Fällen wird ein aktualisiertes Datum und eine Uhrzeit von `01/01/1970` standardmäßig angegeben.
## Anzeigen der Patch-Compliance-Ergebnisse
Verwenden Sie die folgenden Verfahren, um Patch-Compliance-Ergebnisse in der AWS Systems Manager -Konsole anzuzeigen.
**Anmerkung**
Weitere Informationen zum Erstellen von Patch-Compliance-Berichten, die in einen Amazon Simple Storage Service (Amazon S3)-Bucket heruntergeladen werden, finden Sie unter [Generieren von Patch-Compliance-Berichten im .csv-Format](patch-manager-store-compliance-results-in-s3.md).
**Anzeigen der Patch-Compliance-Ergebnisse**
1. Führen Sie eine der folgenden Aufgaben aus.
**Option 1** (empfohlen) – Navigieren Sie von Patch Manager, einem Tool in AWS Systems Manager:
+ Wählen Sie im Navigationsbereich **Patch Manager** aus.
+ Wählen Sie die Registerkarte **Compliance reporting** (Compliance-Berichte).
+ Wählen Sie im Bereich **Details zum Knoten-Patching** die Knoten-ID des verwalteten Knotens aus, für den Sie die Ergebnisse der Patch-Compliance überprüfen möchten. Knoten, die hier angezeigt werden `stopped` oder nicht `terminated` angezeigt werden.
+ Wählen Sie im Bereich **Details** in der **Eigenschaftenliste** die Option **Patches** aus.
**Option 2** – Navigieren Sie ab Compliance, einem Tool in AWS Systems Manager:
+ Wählen Sie im linken Navigationsbereich **Compliance**.
+ Für **Zusammenfassung von Compliance-Ressourcen** wählen Sie in der Spalte für die Typen von Patch-Ressourcen, die Sie überprüfen möchten, z. B. **Nicht regelkonforme Ressourcen**, eine Zahl aus.
+ In der **Ressourcen**-Liste unten wählen Sie die ID des verwalteten Knoten aus, für den Sie die Patch-Compliance-Ergebnisse prüfen möchten.
+ Wählen Sie im Bereich **Details** in der **Eigenschaftenliste** die Option **Patches** aus.
**Option 3** – Navigieren Sie von Fleet Manager, einem Tool in AWS Systems Manager.
+ Wählen Sie im Navigationsbereich **Fleet Manager** aus.
+ Wählen Sie im Bereich **Verwaltete instances** die ID des verwalteten Knotens aus, für den Sie die Ergebnisse der Patch-Compliance überprüfen möchten.
+ Wählen Sie im Bereich **Details** in der **Eigenschaftenliste** die Option **Patches** aus.
1. (Optional) Wählen Sie im Suchfeld (![\[The Search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) einen der verfügbaren Filter aus.
Wählen Sie zum Beispiel für Red Hat Enterprise Linux (RHEL) aus den folgenden Optionen aus:
+ Name
+ Klassifizierung
+ Status
+ Schweregrad
Wählen Sie für Windows Server eine der folgenden Optionen aus:
+ KB
+ Klassifizierung
+ Status
+ Schweregrad
1. Wählen Sie einen der verfügbaren Werte für den ausgewählten Filtertyp aus. Wenn Sie beispielsweise „**Status**“ ausgewählt haben, wählen Sie jetzt einen Konformitätsstatus wie **InstalledPendingReboot**„**Fehlgeschlagen**“ oder „**Fehlt“**.
**Anmerkung**
Derzeit werden CVE-ID-Werte nur für Patches mit dem Status `Missing` oder `Failed` gemeldet.
1. Abhängig vom Compliance-Zustand des verwalteten Knoten können Sie auswählen, welche Maßnahmen zum Beheben von nicht konformen Knoten ergriffen werden sollen.
Sie können beispielsweise wählen, dass Ihre nicht konformen verwalteten Knoten sofort gepatcht werden sollen. Informationen zum On-Demand-Patching Ihrer verwalteten Knoten finden Sie unter [On-Demand-Patchen von verwalteten Knoten](patch-manager-patch-now-on-demand.md).
Weitere Informationen zu Patch-Compliance-Status finden Sie unter [Statuswerte der Patch-Compliance](patch-manager-compliance-states.md).
# Generieren von Patch-Compliance-Berichten im .csv-Format
Sie können die AWS Systems Manager Konsole verwenden, um Patch-Compliance-Berichte zu erstellen, die als CSV-Datei in einem Amazon Simple Storage Service (Amazon S3) -Bucket Ihrer Wahl gespeichert werden. Sie können einen einzelnen On-Demand-Bericht erstellen oder einen Zeitplan für die automatische Generierung der Berichte angeben.
Berichte können für einen einzelnen verwalteten Knoten oder für alle verwalteten Knoten in Ihrem ausgewählten AWS-Konto und AWS-Region generiert werden. Für einen einzelnen Knoten enthält ein Bericht umfassende Details, einschließlich der Patches, die IDs sich auf die Nichtkonformität eines Knotens beziehen. Für einen Bericht über alle verwaltete Knoten werden nur zusammenfassende Informationen und die Anzahl der Patches von nicht konformen Knoten bereitgestellt.
Nachdem ein Bericht generiert wurde, können Sie ein Tool wie Amazon Quick verwenden, um die Daten zu importieren und zu analysieren. Quick ist ein Business Intelligence (BI) -Service, mit dem Sie Informationen in einer interaktiven visuellen Umgebung untersuchen und interpretieren können. Weitere Informationen finden Sie in der [Amazon-Kurzanleitung](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).
**Anmerkung**
Wenn Sie eine benutzerdefinierte Patch-Baseline erstellen, können Sie für Patches, die von dieser Patch-Baseline genehmigt wurden, einen Schweregrad für die Konformität angeben, beispielsweise `Critical` oder `High`. Wenn der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann ist der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline der von Ihnen angegebene Schweregrad.
Sie können auch ein Thema zum Amazon Simple Notification Service (Amazon SNS) angeben, um Benachrichtigungen zu senden, wenn ein Bericht erstellt wird.
**Servicerollen zum Generieren von Patch-Compliance-Berichten**
Wenn Sie zum ersten Mal einen Bericht erstellen, erstellt Systems Manager eine angenommene Automatisierungsrolle mit dem Namen `AWS-SystemsManager-PatchSummaryExportRole`, die für den Exportprozess zu S3 verwendet wird.
**Anmerkung**
Wenn Sie Compliance-Daten in einen verschlüsselten S3-Bucket exportieren, müssen Sie die zugehörige AWS KMS Schlüsselrichtlinie aktualisieren, um die erforderlichen Berechtigungen für bereitzustellen`AWS-SystemsManager-PatchSummaryExportRole`. Fügen Sie beispielsweise der AWS KMS Richtlinie Ihres S3-Buckets eine ähnliche Berechtigung hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "role-arn"
}
```
*role-arn*Ersetzen Sie es durch den Amazon-Ressourcennamen (ARN) der in Ihrem Konto erstellten Datei im Format`arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`.
Weitere Informationen finden Sie unter [Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Entwicklerhandbuch für AWS Key Management Service *.
Wenn Sie zum ersten Mal einen Bericht nach einem Zeitplan generieren, erstellt Systems Manager eine weitere Servicerolle mit dem Namen `AWS-EventBridge-Start-SSMAutomationRole` zusammen mit der Servicerolle `AWS-SystemsManager-PatchSummaryExportRole` (falls nicht bereits erstellt), die für den Exportvorgang verwendet werden soll. `AWS-EventBridge-Start-SSMAutomationRole`ermöglicht Amazon EventBridge , eine Automatisierung mit dem Runbook [AWS ExportPatchReportToS3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3) zu starten.
Es wird empfohlen, diese Richtlinien und Rollen zu ändern. Dies kann dazu führen, dass die Erstellung von Patch-Compliance-Berichten fehlschlägt. Weitere Informationen finden Sie unter [Problembehandlung bei der Erstellung von Patch-Compliance-Berichten](#patch-compliance-reports-troubleshooting).
**Topics**
+ [Was ist in einem generierten Patch-Compliance-Bericht enthalten?](#patch-compliance-reports-to-s3-examples)
+ [Generieren von Patch-Compliance-Berichten für einen einzelnen verwalteten Knoten](#patch-compliance-reports-to-s3-one-instance)
+ [Generieren von Patch-Compliance-Berichten für alle verwaltete Knoten](#patch-compliance-reports-to-s3-all-instances)
+ [Berichtsverlauf für Patch-Compliance anzeigen](#patch-compliance-reporting-history)
+ [Zeitpläne für Patch-Compliance-Berichte anzeigen](#patch-compliance-reporting-schedules)
+ [Problembehandlung bei der Erstellung von Patch-Compliance-Berichten](#patch-compliance-reports-troubleshooting)
## Was ist in einem generierten Patch-Compliance-Bericht enthalten?
Dieses Thema enthält Informationen zu den Inhaltstypen, die in den Patch-Compliance-Berichten enthalten sind, die generiert und in einen angegebenen S3-Bucket heruntergeladen werden.
### Berichtsformat für einen einzelnen verwalteten Knoten
Ein für einen einzelnen verwalteten Knoten generierter Bericht liefert sowohl zusammenfassende als auch detaillierte Informationen.
[Herunterladen eines Beispielberichts (einzelner Knoten)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)
Zu den zusammenfassenden Informationen für einen einzelnen verwalteten Knoten gehört Folgendes:
+ Index
+ Instance-ID
+ Instance name
+ Instance IP
+ Plattformname
+ Version der Plattform
+ SSM Agent-Version
+ Patch-Baseline
+ Patch-Gruppe
+ Compliance status (Compliance-Status)
+ Compliance-Schweregrad
+ Anzahl nicht konformer Patches mit kritischem Schweregrad
+ Anzahl nicht konformer Patches mit hohem Schweregrad
+ Anzahl nicht konformer Patches mit der Schweregrad Mittel
+ Anzahl nicht konformer Patches mit niedrigem Schweregrad
+ Anzahl nicht konformer Patches mit informativen Schweregrad
+ Anzahl nicht konformer Patches mit nicht spezifiziertem Schweregrad
Zu den detaillierten Informationen für einen verwalteten einzelnen Knoten gehört Folgendes:
+ Index
+ Instance-ID
+ Instance name
+ Patch-Name
+ ID/Patch KB-ID
+ Patch-Status
+ Zeitpunkt des letzten Berichts
+ Compliance-Stufe
+ Patch-Schweregrad
+ Patch-Klassifizierung
+ CVE-ID
+ Patch-Baseline
+ Logs-URL
+ Instance IP
+ Plattformname
+ Version der Plattform
+ SSM Agent-Version
**Anmerkung**
Wenn Sie eine benutzerdefinierte Patch-Baseline erstellen, können Sie für Patches, die von dieser Patch-Baseline genehmigt wurden, einen Schweregrad für die Konformität angeben, beispielsweise `Critical` oder `High`. Wenn der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann ist der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline der von Ihnen angegebene Schweregrad.
### Berichtsformat für alle verwaltete Knoten
Ein für alle verwaltete Knoten generierter Bericht enthält nur zusammenfassende Informationen.
[Herunterladen eines Beispielberichts (alle verwaltete Knoten)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)
Zu den zusammenfassenden Informationen für alle verwaltete Knoten gehört Folgendes:
+ Index
+ Instance-ID
+ Instance name
+ Instance IP
+ Plattformname
+ Version der Plattform
+ SSM Agent-Version
+ Patch-Baseline
+ Patch-Gruppe
+ Compliance status (Compliance-Status)
+ Compliance-Schweregrad
+ Anzahl nicht konformer Patches mit kritischem Schweregrad
+ Anzahl nicht konformer Patches mit hohem Schweregrad
+ Anzahl nicht konformer Patches mit der Schweregrad Mittel
+ Anzahl nicht konformer Patches mit niedrigem Schweregrad
+ Anzahl nicht konformer Patches mit informativen Schweregrad
+ Anzahl nicht konformer Patches mit nicht spezifiziertem Schweregrad
## Generieren von Patch-Compliance-Berichten für einen einzelnen verwalteten Knoten
Gehen Sie wie folgt vor, um einen Patch-Zusammenfassungs-Bericht für einen einzelnen verwalteten Knoten in Ihrem AWS-Konto zu generieren. Der Bericht für einen einzelnen verwalteten Knoten enthält Details zu jedem Patch, der nicht konform ist, einschließlich Patch-Namen und IDs.
**So generieren Sie Patch-Compliance-Berichte für einen einzelnen verwalteten Knoten**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Compliance reporting** (Compliance-Berichte) aus.
1. Wählen Sie die Schaltfläche für die Zeile des verwalteten Knoten aus, für den Sie einen Bericht erstellen möchten, und wählen Sie dann **View detail** (Detail anzeigen) aus.
1. Wählen Sie Abschnitt mit der **Patch-Zusammenfassung** **Exportieren nach S3** aus.
1. Für **Berichtname** geben Sie einen Namen ein, damit Sie den Bericht später leichter identifizieren können.
1. Für **Meldehäufigkeit** wählen Sie eine der folgenden Optionen aus:
+ **On Demand** – Erstellen Sie einen einmaligen Bericht. Fahren Sie mit Schritt 9 fort.
+ **Nach einem Plan** – Geben Sie einen wiederkehrenden Zeitplan für die automatische Erstellung von Berichten an. Fahren Sie fort mit Schritt 8.
1. Für den **Typ „Nach einem Plan“** geben Sie entweder einen Kursausdruck an, z. B. alle 3 Tage, oder geben Sie einen Cron-Ausdruck an, um die Berichtshäufigkeit festzulegen.
Informationen zu Cron-Ausdrücken finden Sie unter [Referenz: Cron- und Rate-Ausdrücke für System Manager](reference-cron-and-rate-expressions.md).
1. Für **Bucket-Name** wählen Sie den Namen eines S3-Buckets aus, in dem die CSV-Berichtsdateien gespeichert werden sollen.
**Wichtig**
Wenn Sie in einem System arbeiten AWS-Region , das nach dem 20. März 2019 gestartet wurde, müssen Sie einen S3-Bucket in derselben Region auswählen. Nach diesem Datum gestartete Regionen wurden standardmäßig deaktiviert. Weitere Informationen und eine Liste dieser Regionen finden Sie unter [Aktivieren einer Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in der *Allgemeine Amazon Web Services-Referenz*.
1. (Optional) Um Benachrichtigungen zu senden, wenn der Bericht erstellt wird, erweitern Sie den Abschnitt **SNS-Thema** und wählen Sie dann aus **SNS-Thema Amazon-Ressourcenname (ARN)** ein vorhandenes Amazon-SNS-Thema aus.
1. Wählen Sie **Absenden** aus.
Informationen zum Anzeigen eines Verlaufs von generierten Berichten finden Sie unter [Berichtsverlauf für Patch-Compliance anzeigen](#patch-compliance-reporting-history).
Informationen zum Anzeigen von Details zu von Ihnen erstellten Berichtszeitplänen finden Sie unter [Zeitpläne für Patch-Compliance-Berichte anzeigen](#patch-compliance-reporting-schedules).
## Generieren von Patch-Compliance-Berichten für alle verwaltete Knoten
Gehen Sie wie folgt vor, um einen Patch-Zusammenfassungs-Bericht für alle verwaltete Knoten in Ihrem AWS-Konto zu generieren. Der Bericht für alle verwalteten Knoten zeigt an, welche Knoten nicht konform sind und wie viele Patches nicht konform sind. Es gibt keine Namen oder andere Bezeichner der Patches. Für diese zusätzlichen Details können Sie einen Patch-Compliance-Bericht für einen einzelnen verwalteten Knoten erstellen. Informationen finden Sie unter [Generieren von Patch-Compliance-Berichten für einen einzelnen verwalteten Knoten](#patch-compliance-reports-to-s3-one-instance) weiter vorne in diesem Thema.
**Generieren von Patch-Compliance-Berichten für alle verwaltete Knoten**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Compliance reporting** (Compliance-Berichte) aus.
1. Klicken Sie auf **Export to S3** (Exportieren nach S3). (Wählen Sie nicht zuerst eine Knoten-ID aus.)
1. Für **Berichtname** geben Sie einen Namen ein, damit Sie den Bericht später leichter identifizieren können.
1. Für **Meldehäufigkeit** wählen Sie eine der folgenden Optionen aus:
+ **On Demand** – Erstellen Sie einen einmaligen Bericht. Fahren Sie mit Schritt 8 fort.
+ **Nach einem Plan** – Geben Sie einen wiederkehrenden Zeitplan für die automatische Erstellung von Berichten an. Fahren Sie fort mit Schritt 7.
1. Für den **Typ „Nach einem Plan“** geben Sie entweder einen Kursausdruck an, z. B. alle 3 Tage, oder geben Sie einen Cron-Ausdruck an, um die Berichtshäufigkeit festzulegen.
Informationen zu Cron-Ausdrücken finden Sie unter [Referenz: Cron- und Rate-Ausdrücke für System Manager](reference-cron-and-rate-expressions.md).
1. Für **Bucket-Name** wählen Sie den Namen eines S3-Buckets aus, in dem die CSV-Berichtsdateien gespeichert werden sollen.
**Wichtig**
Wenn Sie in einem System arbeiten AWS-Region , das nach dem 20. März 2019 gestartet wurde, müssen Sie einen S3-Bucket in derselben Region auswählen. Nach diesem Datum gestartete Regionen wurden standardmäßig deaktiviert. Weitere Informationen und eine Liste dieser Regionen finden Sie unter [Aktivieren einer Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in der *Allgemeine Amazon Web Services-Referenz*.
1. (Optional) Um Benachrichtigungen zu senden, wenn der Bericht erstellt wird, erweitern Sie den Abschnitt **SNS-Thema** und wählen Sie dann aus **SNS-Thema Amazon-Ressourcenname (ARN)** ein vorhandenes Amazon-SNS-Thema aus.
1. Wählen Sie **Absenden** aus.
Informationen zum Anzeigen eines Verlaufs von generierten Berichten finden Sie unter [Berichtsverlauf für Patch-Compliance anzeigen](#patch-compliance-reporting-history).
Informationen zum Anzeigen von Details zu von Ihnen erstellten Berichtszeitplänen finden Sie unter [Zeitpläne für Patch-Compliance-Berichte anzeigen](#patch-compliance-reporting-schedules).
## Berichtsverlauf für Patch-Compliance anzeigen
Mithilfe der Informationen in diesem Thema können Sie sich Details zu den Patch-Compliance-Berichten anzeigen lassen, die in Ihrem erstellt wurden AWS-Konto.
**Anzeigen des Berichtsverlaufs für Patch-Compliance**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Compliance reporting** (Compliance-Berichte) aus.
1. Klicken Sie auf **Alle S3-Exporte anzeigen** und danach auf die Registerkarte **Exportieren des Verlaufs**.
## Zeitpläne für Patch-Compliance-Berichte anzeigen
Mithilfe der Informationen in diesem Thema können Sie sich Details zu den in Ihrem erstellten Zeitplan für die Erstellung von Berichten zur Patch-Konformität anzeigen lassen AWS-Konto.
**Anzeigen des Berichtsverlaufs für Patch-Compliance**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Compliance reporting** (Compliance-Berichte) aus.
1. Wählen Sie **View all S3 exports** (Alle S3-Exporte anzeigen) und danach die Registerkarte **Report schedule rules** (Regeln für die Berichtsplanung) aus.
## Problembehandlung bei der Erstellung von Patch-Compliance-Berichten
Im Folgenden finden Sie Informationen zur Behandlung von Problemen mit Patch-Compliance-Berichten in Patch Manager, einem Tool in AWS Systems Manager.
**Topics**
+ [Eine Nachricht meldet, dass die `AWS-SystemsManager-PatchManagerExportRolePolicy`-Richtlinie beschädigt ist](#patch-compliance-reports-troubleshooting-1)
+ [Nach dem Löschen von Patch-Compliance-Richtlinien oder -Rollen werden geplante Berichte nicht erfolgreich generiert](#patch-compliance-reports-troubleshooting-2)
### Eine Nachricht meldet, dass die `AWS-SystemsManager-PatchManagerExportRolePolicy`-Richtlinie beschädigt ist
**Problem**: Sie erhalten eine Fehlermeldung ähnlich der folgenden, die angibt, dass `AWS-SystemsManager-PatchManagerExportRolePolicy` beschädigt ist:
```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any
role that uses it, then try again. Systems Manager recreates the roles and policies
you have deleted.
```
+ **Lösung**: Verwenden Sie die Patch Manager Konsole oder löschen AWS CLI Sie die betroffenen Rollen und Richtlinien, bevor Sie einen neuen Patch-Compliance-Bericht erstellen.
**So löschen Sie die beschädigte Richtlinie über die Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Führen Sie eine der folgenden Aktionen aus:
**On-Demand-Berichte** – Wenn das Problem beim Generieren eines einmaligen On-Demand-Berichts aufgetreten ist, wählen Sie in der linken Navigation **Richtlinien** aus und suchen Sie nach `AWS-SystemsManager-PatchManagerExportRolePolicy`. Löschen Sie dann die Richtlinie. Wählen Sie anschließend **Rollen** aus, suchen Sie nach `AWS-SystemsManager-PatchSummaryExportRole` und löschen Sie sie.
**Geplante Berichte** – Wenn der Fehler während der Erstellung eines geplanten Berichts aufgetreten ist, wählen Sie in der linken Navigation **Richtlinien** aus, suchen Sie nacheinander nach `AWS-EventBridge-Start-SSMAutomationRolePolicy` und `AWS-SystemsManager-PatchManagerExportRolePolicy` und löschen Sie jede Richtlinie. Wählen Sie anschließend **Rollen** aus, schen Sie nacheinander nach `AWS-EventBridge-Start-SSMAutomationRole` und `AWS-SystemsManager-PatchSummaryExportRole` und löschen Sie jede Rolle.
**Um die beschädigte Richtlinie mit dem zu löschen AWS CLI**
Ersetzen Sie das *placeholder values* durch Ihre Konto-ID.
+ Wenn das Problem bei der Erstellung eines einmaligen On-Demand-Berichts aufgetreten ist, führen Sie die folgenden Befehle aus:
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Wenn das Problem bei der Erstellung eines Zeitplanberichts auftritt, führen Sie die folgenden Befehle aus:
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
```
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Nachdem Sie eines der beiden Verfahren abgeschlossen haben, folgen Sie den Schritten, um einen neuen Patch-Compliance-Bericht zu erstellen oder zu planen.
### Nach dem Löschen von Patch-Compliance-Richtlinien oder -Rollen werden geplante Berichte nicht erfolgreich generiert
**Problem**: Wenn Sie zum ersten Mal einen Bericht erstellen, erstellt Systems Manager eine Servicerolle und eine Richtlinie für den Exportprozess (`AWS-SystemsManager-PatchSummaryExportRole` und `AWS-SystemsManager-PatchManagerExportRolePolicy`). Wenn Sie zum ersten Mal einen geplanten Bericht erstellen, erstellt Systems Manager eine weitere Servicerolle und eine Richtlinie (`AWS-EventBridge-Start-SSMAutomationRole` und `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Diese ermöglichen es Amazon, eine Automatisierung mithilfe des Runbooks [AWS ExportPatchReportToS3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3) zu EventBridge starten.
Wenn Sie eine dieser Richtlinien oder Rollen löschen, gehen die Verbindungen zwischen Ihrem Zeitplan und Ihrem angegebenen S3-Bucket und Amazon SNS-Thema möglicherweise verloren.
+ **Lösung**: Um dieses Problem zu umgehen, empfehlen wir, den vorherigen Zeitplan zu löschen und einen neuen Zeitplan zu erstellen, um den zu ersetzen, bei dem Probleme aufgetreten sind.
# Behebung nicht konformer verwalteter Knoten mit Patch Manager
Die Themen in diesem Abschnitt enthalten eine Übersicht darüber, wie verwaltete Knoten, die die Patch-Compliance nicht erfüllen, identifiziert werden können und wie sie konform gemacht werden.
**Topics**
+ [Identifizieren von nicht konformen verwalteten Knoten](patch-manager-find-noncompliant-nodes.md)
+ [Statuswerte der Patch-Compliance](patch-manager-compliance-states.md)
+ [Patchen nicht konformer verwalteter Knoten](patch-manager-compliance-remediation.md)
# Identifizieren von nicht konformen verwalteten Knoten
Out-of-compliance verwaltete Knoten werden identifiziert, wenn eines von zwei AWS Systems Manager Dokumenten (SSM-Dokumente) ausgeführt wird. Diese SSM-Dokumente verweisen auf die entsprechende Patch-Baseline für jeden verwalteten Knoten in Patch Manager, einem Tool in AWS Systems Manager. Anschließend werten sie den Patch-Zustand des verwalteten Knoten aus und stellen Ihnen dann Compliance-Ergebnisse zur Verfügung.
Es gibt zwei SSM-Dokumente, die verwendet werden, um nicht konforme verwaltete Knoten zu identifizieren oder zu aktualisieren: `AWS-RunPatchBaseline` und `AWS-RunPatchBaselineAssociation`. Jedes wird von verschiedenen Prozessen verwendet, und ihre Compliance-Ergebnisse sind über verschiedene Kanäle verfügbar. In der folgenden Tabelle werden die Unterschiede zwischen diesen Dokumenten aufgeführt.
**Anmerkung**
Daten zur Patch-Konformität von Patch Manager können an AWS Security Hub CSPM gesendet werden. Security Hub CSPM bietet Ihnen einen umfassenden Überblick über Ihre Sicherheitswarnungen mit hoher Priorität und den Compliance-Status. Er überwacht auch den Patching-Status Ihrer Flotte. Weitere Informationen finden Sie unter [Integrieren Patch Manager mit AWS Security Hub CSPM](patch-manager-security-hub-integration.md).
| | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` |
| --- | --- | --- |
| Prozesse, die das Dokument verwenden | **On-Demand-Patchen** – Sie können verwaltete Knoten bei Bedarf scannen oder patchen, indem Sie die Option **Patch now** (Jetzt patchen) verwenden. Weitere Informationen finden Sie unter [On-Demand-Patchen von verwalteten Knoten](patch-manager-patch-now-on-demand.md). **Quick Setup-Patch-Richtlinien von Systems Manager** – Sie können eine Patching-Konfiguration in Quick Setup, einem Tool in AWS Systems Manager, erstellen, die fehlende Patches in separaten Zeitplänen für eine gesamte Organisation, eine Teilmenge von Organisationseinheiten oder ein einzelnes AWS-Konto scannen oder installieren kann. Weitere Informationen finden Sie unter [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md). **Einen Befehl ausführen** – Sie können `AWS-RunPatchBaseline` manuell in einem Vorgang in Run Command, einem Tool in AWS Systems Manager, ausführen. Weitere Informationen finden Sie unter [Ausführen von Befehlen über die Konsole](running-commands-console.md). **Wartungsfenster** – Sie können ein Wartungsfenster erstellen, das das SSM-Dokument `AWS-RunPatchBaseline` in einem Run Command-Aufgabentyp verwendet. Weitere Informationen finden Sie unter [Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole](maintenance-window-tutorial-patching.md). | **Quick Setup-Host-Verwaltung für Systems Manager** – Sie können eine Host-Management-Konfigurationsoption in Quick Setup aktivieren, um Ihre verwalteten Instances täglich auf Patch-Compliance zu scannen. Weitere Informationen finden Sie unter [Amazon-EC2-Host-Verwaltung mit Quick Setup einrichten](quick-setup-host-management.md). **Systems Manager [Explorer](Explorer.md)**— Wenn Sie es zulassenExplorer, scannt ein Tool Ihre verwalteten Instanzen regelmäßig auf Patch-Konformität und meldet die Ergebnisse im Explorer Dashboard. AWS Systems Manager |
| Format der Patch-Scan-Ergebnisdaten | Nach der Ausführung von `AWS-RunPatchBaseline` sendet Patch Manager ein `AWS:PatchSummary`-Objekt an Inventory, ein Tool in AWS Systems Manager. Dieser Bericht wird nur nach erfolgreichen Patch-Vorgängen generiert und enthält eine Erfassungszeit, anhand derer angegeben wird, wann der Compliance-Status berechnet wurde. | Nach der Ausführung von `AWS-RunPatchBaselineAssociation` sendet Patch Manager ein `AWS:ComplianceItem`-Objekt an Systems Manager Inventory. |
| So zeigen Sie aktuelle Compliance-Berichte in der Konsole an | Sie können Patch-Compliance-Informationen für Prozesse anzeigen, die `AWS-RunPatchBaseline` in [Systems Manager Compliance](systems-manager-compliance.md) und [Arbeiten mit verwalteten Knoten](fleet-manager-managed-nodes.md) verwenden. Weitere Informationen finden Sie unter [Anzeigen der Patch-Compliance-Ergebnisse](patch-manager-view-compliance-results.md). | Wenn Sie Quick Setup verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht unter [Systems Manager Fleet Manager](fleet-manager.md). Wählen Sie in der Fleet Manager-Konsole die Knoten-ID Ihres verwalteten Knotens aus. Wählen Sie im Menü **Allgemein** die Option **Konfigurationskonformität** aus. Wenn Sie Explorer verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht sowohl unter Explorer als auch unter [Systems Manager OpsCenter](OpsCenter.md). |
| AWS CLI Befehle zum Anzeigen der Patch-Konformitätsergebnisse | Für Prozesse, die dies verwenden`AWS-RunPatchBaseline`, können Sie die folgenden AWS CLI Befehle verwenden, um zusammenfassende Informationen zu Patches auf einem verwalteten Knoten anzuzeigen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) | Für Prozesse, die dies verwenden`AWS-RunPatchBaselineAssociation`, können Sie den folgenden AWS CLI Befehl verwenden, um zusammenfassende Informationen zu Patches auf einer Instanz anzuzeigen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) |
| Patch-Operationen | Für Prozesse, die `AWS-RunPatchBaseline` verwenden, geben Sie an, ob der Vorgang nur eine `Scan`-Operation oder eine `Scan and install`-Operation ausführen soll. Wenn Ihr Ziel darin besteht, nicht konforme verwaltete Knoten zu identifizieren und nicht zu beheben, führen Sie nur eine `Scan`-Operation durch. | Quick Setup- und Explorer-Prozesse, die AWS-RunPatchBaselineAssociation verwenden, führen nur eine Scan-Operation aus. |
| Weitere Informationen | [SSM-Befehlsdokument zum Patchen: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) | [SSM-Befehlsdokument zum Patchen: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md) |
Informationen zu den verschiedenen Patch-Compliance-Status, die möglicherweise gemeldet werden, finden Sie unter [Statuswerte der Patch-Compliance](patch-manager-compliance-states.md)
Informationen zur Behebung verwalteter Knoten, die die Patch-Compliance nicht erfüllen, finden Sie unter [Patchen nicht konformer verwalteter Knoten](patch-manager-compliance-remediation.md).
# Statuswerte der Patch-Compliance
Zu den Informationen über Patches für einen verwalteten Knoten gehört ein Bericht über den Zustand oder den Status jedes einzelnen Patches.
**Tipp**
Wenn Sie einem verwalteten Knoten einen bestimmten Patch-Compliance-Status zuweisen möchten, können Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) AWS Command Line Interface (AWS CLI) oder die [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API-Operation verwenden. Das Zuweisen eines Compliance-Zustands wird in der Konsole nicht unterstützt.
Verwenden Sie die Informationen in den folgenden Tabellen, um zu ermitteln, warum ein verwalteter Knoten möglicherweise nicht die Patch-Compliance erfüllt.
## Patch-Compliance-Werte für Debian Server und Ubuntu Server
Für Debian Server und Ubuntu Server werden die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände in der folgenden Tabelle beschrieben.
**Anmerkung**
Beachten Sie bei der Auswertung der Statuswerte `INSTALLED`, `INSTALLED_OTHER` und `MISSING` Folgendes: Wenn Sie beim Erstellen oder Aktualisieren einer Patch-Baseline das Kontrollkästchen **Funktionsupdates einschließen** nicht aktivieren, sind Patch-Kandidaten-Versionen auf Patches in den folgenden Repositorys beschränkt:
Ubuntu Server 16.04 LTS: `xenial-security`
Ubuntu Server 18.04 LTS: `bionic-security`
Ubuntu Server 20.04 LTS: `focal-security`
Ubuntu Server 22.04 LTS (`jammy-security`)
Ubuntu Server 24.04 LTS (`noble-security`)
Ubuntu Server 25.04 (`plucky-security`)
`debian-security` (Debian Server)
Wenn Sie die Option **Nicht sicherheitsrelevante Aktualisierungen einschließen** auswählen, werden auch Patches aus anderen Repositorys berücksichtigt.
| Patch-Status | Description | Compliance status (Compliance-Status) |
| --- | --- | --- |
| **`INSTALLED`** | Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, wenn das `AWS-RunPatchBaseline`-Dokument auf dem verwalteten Knoten ausgeführt wurde. | Konform |
| **`INSTALLED_OTHER`** | Der Patch ist nicht in der Baseline enthalten oder wird von der Baseline nicht genehmigt, ist aber auf dem verwalteten Knoten installiert. Der Patch wurde möglicherweise manuell installiert, das Paket könnte eine erforderliche Abhängigkeit von einem anderen genehmigten Patch sein, oder der Patch war möglicherweise Teil eines InstallOverrideList Vorgangs. Wenn Sie `Block` nicht als die **Zurückgewiesene Patches**-Aktion angeben, schließt `INSTALLED_OTHER` auch installiert, aber abgelehnte Patches ein. | Konform |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` kann eines von zwei Dingen bedeuten: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-compliance-states.html) In keinem Fall bedeutet dies, dass ein Patch mit diesem Status einen Neustart *erfordert*, sondern nur, dass der Knoten seit der Installation des Patches nicht neu gestartet wurde. | Nicht konform |
| **`INSTALLED_REJECTED`** | Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der **Rejected patches** (Abgelehnte Patches) angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde. | Nicht konform |
| **`MISSING`** | Der Patch wurde in der Baseline genehmigt, aber nicht auf dem verwalteten Knoten installiert. Wenn Sie die `AWS-RunPatchBaseline`-Dokumentaufgabe zum Scannen (nicht Installieren) konfigurieren, meldet das System diesen Status bei Patches, die beim Scan gefunden wurden, aber noch nicht installiert sind. | Nicht konform |
| **`FAILED`** | Der Patch wurde an der Baseline genehmigt, konnte aber nicht installiert werden. Zum Beheben dieses Problems überprüfen Sie die Befehlsausgabe auf Informationen, die Ihnen helfen, das Problem zu verstehen. | Nicht konform |
## Patch-Compliance-Werte für andere Betriebssysteme
Für alle Betriebssysteme außer Debian Server und Ubuntu Server werden die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände in der folgenden Tabelle beschrieben.
| Patch-Status | Description | Compliancewert |
| --- | --- | --- |
| **`INSTALLED`** | Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, als das `AWS-RunPatchBaseline`-Dokument auf dem Knoten ausgeführt wurde. | Konform |
| **`INSTALLED_OTHER`**¹ | Der Patch befindet sich nicht an der Baseline, ist aber auf dem verwalteten Knoten installiert. Hierfür gibt es zwei mögliche Gründe: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-compliance-states.html) | Konform |
| **`INSTALLED_REJECTED`** | Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der abgelehnten Patches angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde. | Nicht konform |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` kann eines von zwei Dingen bedeuten: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-compliance-states.html) In keinem Fall bedeutet dies, dass ein Patch mit diesem Status einen Neustart *erfordert*, sondern nur, dass der Knoten seit der Installation des Patches nicht neu gestartet wurde. | Nicht konform |
| **`MISSING`** | Der Patch wurde in der Baseline genehmigt, aber nicht auf dem verwalteten Knoten installiert. Wenn Sie die `AWS-RunPatchBaseline`-Dokumentaufgabe zum Scannen (nicht Installieren) konfigurieren, meldet das System diesen Status bei Patches, die beim Scan gefunden wurden, aber noch nicht installiert sind. | Nicht konform |
| **`FAILED`** | Der Patch wurde an der Baseline genehmigt, konnte aber nicht installiert werden. Zum Beheben dieses Problems überprüfen Sie die Befehlsausgabe auf Informationen, die Ihnen helfen, das Problem zu verstehen. | Nicht konform |
| **`NOT_APPLICABLE`**¹ | *Dieser Compliance-Status wird nur in Windows Server-Betriebssystemen gemeldet.* Der Patch wurde in der Baseline genehmigt, der Service oder dem Feature, die den Patch verwendet, wurde aber auf dem verwalteten Knoten nicht installiert. Beispielsweise würde ein Patch für einen Webserver-Service wie Internet Information Services (IIS) `NOT_APPLICABLE` anzeigen, wenn er in der Baseline genehmigt wurde, der Webservice jedoch nicht auf dem verwalteten Knoten installiert ist. Ein Patch kann auch als `NOT_APPLICABLE` markiert sein, wenn er durch ein nachfolgendes Update ersetzt wurde. Dies bedeutet, dass das spätere Update installiert ist und das `NOT_APPLICABLE`-Update nicht mehr benötigt wird. | Nicht zutreffend |
| AVAILABLE\$1SECURITY\$1UPDATES | *Dieser Compliance-Status wird nur in Windows Server-Betriebssystemen gemeldet.* Ein verfügbarer Sicherheitsupdate-Patch, der nicht von der Patch-Baseline genehmigt wurde, kann den Konformitätswert `Compliant` oder `Non-Compliant` haben, wie in einer benutzerdefinierten Patch-Baseline definiert. Wenn Sie eine Patch-Baseline erstellen oder aktualisieren, wählen Sie den Status, den Sie Sicherheitspatches zuweisen möchten, die zwar verfügbar, aber nicht genehmigt sind, weil sie die in der Patch-Baseline angegebenen Installationskriterien nicht erfüllen. Beispielsweise können Sicherheitspatches, die Sie möglicherweise installieren möchten, übersprungen werden, wenn Sie eine lange Wartezeit für die Installation nach der Veröffentlichung eines Patches angegeben haben. Wenn während der von Ihnen angegebenen Wartezeit ein Update für den Patch veröffentlicht wird, beginnt die Wartezeit für die Installation des Patches von vorne. Wenn die Wartezeit zu lang ist, können mehrere Versionen des Patches veröffentlicht, aber nie installiert werden. Bei der Anzahl der Patch-Zusammenfassungen gilt: Wenn ein Patch als `AvailableSecurityUpdate` gemeldet wird, ist er immer in `AvailableSecurityUpdateCount` enthalten. Wenn die Baseline so konfiguriert ist, dass diese Patches als `NonCompliant` gemeldet werden, ist sie auch in `SecurityNonCompliantCount` enthalten. Wenn die Baseline so konfiguriert ist, dass diese Patches als `Compliant` gemeldet werden, sind sie nicht in `SecurityNonCompliantCount` enthalten. Diese Patches werden immer mit einem nicht spezifizierten Schweregrad gemeldet und sind niemals in `CriticalNonCompliantCount` enthalten. | Konform oder nicht konform, je nachdem, welche Option für verfügbare Sicherheitsupdates ausgewählt wurde. Wenn Sie die Konsole verwenden, um eine Patch-Baseline zu erstellen oder zu aktualisieren, geben Sie diese Option im Feld **Compliance-Status für verfügbare Sicherheitsupdates** an. Mit dem [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html)Befehl AWS CLI to run the [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html)or geben Sie diese Option im `available-security-updates-compliance-status` Parameter an. |
¹ Für Patches mit dem Status `INSTALLED_OTHER` und `NOT_APPLICABLE`, lässt Patch Manager einige Daten aus Abfrageergebnissen aus, die auf dem Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html) basieren, z. B. die Werte für `Classification` und `Severity`. Dies geschieht, um zu verhindern, dass das Datenlimit für einzelne Knoten in Inventory, einem Tool in AWS Systems Manager, überschritten wird. Um alle Patch-Details anzuzeigen, können Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) nutzen.
# Patchen nicht konformer verwalteter Knoten
Viele der AWS Systems Manager Tools und Prozesse, mit denen Sie verwaltete Knoten auf Patch-Konformität überprüfen können, können auch verwendet werden, um Knoten an die Patch-Regeln anzupassen, die derzeit für sie gelten. Um verwaltete Knoten in die Patch-Konformität zu bringen AWS Systems Manager, muss ein Tool einen `Scan and install` Vorgang ausführen. Patch Manager (Wenn es Ihr Ziel ist, nicht konforme verwaltete Knoten nur zu identifizieren und sie nicht zu beheben, führen Sie stattdessen eine `Scan`-Operation aus. Weitere Informationen finden Sie unter [Identifizieren von nicht konformen verwalteten Knoten](patch-manager-find-noncompliant-nodes.md).)
**Installieren von Patches mit Systems Manager**
Sie können aus mehreren Tools wählen, um eine `Scan and install`-Operation auszuführen:
+ (Empfohlen) Konfigurieren Sie eine Patch-Richtlinie in Quick Setup, einem Tool in Systems Manager, mit dem Sie fehlende Patches nach einem Zeitplan für eine gesamte Organisation, eine Teilmenge von Organisationseinheiten oder ein einzelnes AWS-Konto installieren können. Weitere Informationen finden Sie unter [Das Patchen für Instances in einer Organisation mithilfe einer Patch-Richtlinie für Quick Setup konfigurieren](quick-setup-patch-manager.md).
+ Erstellen Sie ein Wartungsfenster, das das Systems Manager-Dokument (SSM-Dokument) `AWS-RunPatchBaseline` in einem Run Command-Aufgabentyp verwendet. Weitere Informationen finden Sie unter [Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole](maintenance-window-tutorial-patching.md).
+ Führen Sie `AWS-RunPatchBaseline` manuell in einer Run Command-Operation aus. Weitere Informationen finden Sie unter [Ausführen von Befehlen über die Konsole](running-commands-console.md).
+ Installieren Sie Patches bei Bedarf mithilfe der Option **Patch now** (Jetzt patchen). Weitere Informationen finden Sie unter [On-Demand-Patchen von verwalteten Knoten](patch-manager-patch-now-on-demand.md).
# Identifizieren der Ausführung, die Patch-Compliance-Daten erstellt hat
Die Patch-Compliance-Daten stellen eine point-in-time Momentaufnahme des letzten erfolgreichen Patch-Vorgangs dar. Jeder Konformitätsbericht enthält sowohl eine Ausführungs-ID als auch eine Erfassungszeit, anhand derer Sie feststellen können, welcher Vorgang die Konformitätsdaten erstellt hat und wann sie generiert wurden.
Wenn Sie mehrere Arten von Vorgängen zum Scannen Ihrer Instances auf Patch-Compliance haben, überschreibt jeder Scan die Patch-Compliance-Daten vorheriger Scans. Dies kann zu unerwarteten Ergebnissen in Ihren Patch-Compliance-Daten führen.
Nehmen wir an, Sie erstellen eine Patch-Richtlinie, die jeden Tag um 02:00 Uhr Ortszeit auf Patch-Compliance scannt. Diese Patch-Richtlinie verwendet eine Patch-Baseline, die Patches als Ziel haben, deren Schweregrad mit `Critical`, `Important` und `Moderate` gekennzeichnet ist. Diese Patch-Baseline gibt auch einige speziell abgelehnte Patches an.
Nehmen Sie außerdem an, dass Sie bereits ein Wartungsfenster eingerichtet haben, um jeden Tag um 04:00 Uhr Ortszeit denselben Satz verwalteter Knoten zu scannen, die Sie nicht löschen oder deaktivieren. Die Aufgabe dieses Wartungsfensters verwendet eine andere Patch-Baseline, eine, die nur Patches mit dem Schweregrad `Critical` als Ziel hat und keine bestimmten Patches ausschließt.
Wenn dieser zweite Scan vom Wartungsfenster durchgeführt wird, werden die Patch-Compliance-Daten des ersten Scans gelöscht und durch die Patch-Compliance des zweiten Scans ersetzt.
Daher empfehlen wir dringend, nur eine automatisierte Methode zum Scannen und Installieren in Ihren Patching-Vorgängen zu verwenden. Wenn Sie Patch-Richtlinien einrichten, sollten Sie andere Methoden zum Scannen auf Patch-Compliance löschen oder deaktivieren. Weitere Informationen finden Sie unter den folgenden Themen:
+ So entfernen Sie eine Patching-Aufgabe aus einem Wartungsfenster – [Aktualisieren oder Abmelden von Wartungsfenster-Aufgaben mithilfe der Konsole](sysman-maintenance-update.md#sysman-maintenance-update-tasks)
+ So löschen Sie eine State Manager-Zuordnung – [Löschen von Zuordnungen](systems-manager-state-manager-delete-association.md).
Um tägliche Patch-Compliance-Scans in einer Host-Verwaltungskonfiguration zu deaktivieren, gehen Sie in Quick Setup wie folgt vor:
1. Wählen Sie im Navigationsbereich **Quick Setup** aus.
1. Wählen Sie die zu aktualisierende Host-Management-Konfiguration aus.
1. Wählen Sie **Actions, Edit configuration** (Aktionen, Konfiguration bearbeiten) aus.
1. Deaktivieren Sie das Kontrollkästchen **Scan instances for missing patches daily** (Instances täglich auf fehlende Patches scannen).
1. Wählen Sie **Aktualisieren** aus.
**Anmerkung**
Die Verwendung von **Patch now** (Jetzt patchen) zum Überprüfen eines verwalteten Knotens auf Compliance führt auch zu einem Überschreiben von Patch-Compliance-Daten.
# On-Demand-Patchen von verwalteten Knoten
Verwenden Sie die Option **Jetzt patchen** in Patch Manager, einem Tool in AWS Systems Manager, um Patching-Vorgänge auf Abruf über die Systems-Manager-Konsole auszuführen. Dies bedeutet, dass Sie keinen Zeitplan erstellen müssen, um den Compliance-Status Ihrer verwalteten Knoten zu aktualisieren oder Patches auf nicht kompatiblen Knoten zu installieren. Sie müssen die Systems Manager Manager-Konsole auch nicht zwischen Patch Manager undMaintenance Windows, einem Tool in AWS Systems Manager, umschalten, um ein geplantes Patch-Fenster einzurichten oder zu ändern.
**Patch now** (Jetzt patchen) ist besonders nützlich, wenn Sie so schnell wie möglich Zero-Day-Updates anwenden oder andere kritische Patches auf Ihren verwalteten Knoten installieren müssen.
**Anmerkung**
Patching auf Abruf wird jeweils für ein AWS-Konto einzelnes AWS-Region Paar unterstützt. Es kann nicht mit Patching-Vorgängen verwendet werden, die auf *Patch-Richtlinien* basieren. Wir empfehlen die Verwendung von Patch-Richtlinien, um sicherzustellen, dass alle Ihre verwalteten Knoten die Compliance einhalten. Weitere Informationen zur Arbeit mit Patch-Richtlinien finden Sie unter [Patch-Richtlinienkonfigurationen in Quick Setup](patch-manager-policies.md).
**Topics**
+ [So funktioniert „Patch now“ (Jetzt patchen)](#patch-on-demand-how-it-works)
+ [Ausführen von „Patch now“ (Jetzt patchen)](#run-patch-now)
## So funktioniert „Patch now“ (Jetzt patchen)
Um **Patch now** (Jetzt patchen) auszuführen, müssen Sie nur zwei erforderliche Einstellungen angeben:
+ Ob nur nach fehlenden Patches gescannt werden soll oder ob Patches auf Ihren verwalteten Knoten gescannt *und* installiert werden sollen
+ Auf welchen verwalteten Knoten die Operation ausgeführt werden soll
Wenn die Operation **Patch now** (Jetzt patchen) läuft, bestimmt sie, welche Patch-Baseline auf die gleiche Weise verwendet werden soll, wie eine für andere Patching-Operationen ausgewählt wird. Wenn ein verwalteter Knoten einer Patch-Gruppe zugeordnet ist, wird die für diese Gruppe angegebene Patch-Baseline verwendet. Wenn der verwaltete Knoten nicht einer Patch-Gruppe zugeordnet ist, verwendet die Operation die Patch-Baseline, die derzeit als Standard für den Betriebssystemtyp des verwalteten Knotens festgelegt ist. Dabei kann es sich um eine vordefinierte Baseline oder um die benutzerdefinierte Baseline handeln, die Sie als Standard festgelegt haben. Weitere Informationen zur Patch-Baseline-Auswahl finden Sie unter [Patch-Gruppen](patch-manager-patch-groups.md).
Zu den Optionen, die Sie für **Patch now** (Jetzt patchen) angeben können, gehört, ob verwaltete Knoten nach dem Patchen neu gestartet werden sollen, indem Sie einen Amazon Simple Storage Service (Amazon S3)-Bucket zum Speichern von Protokolldaten für den Patchvorgang angeben und Systems-Manager-Dokumente (SSM-Dokumente) als Lebenszyklus-Hooks während des Patchings ausführen.
### Parallelitäts- und Fehlerschwellenwerte für „Patch now“ (Jetzt patchen)
Für **Patch now**-Operationen (Jetzt patchen) werden Optionen für Parallelitäts- und Fehlerschwellen von Patch Manager gehandhabt. Sie müssen weder angeben, wie viele verwaltete Knoten gleichzeitig gepatcht werden sollen, noch wie viele Fehler zulässig sind, bevor die Operation fehlschlägt. Patch Manager wendet die Einstellungen für Parallelitäts- und Fehlerschwellenwert an, die in den folgenden Tabellen beschrieben werden, wenn Sie On-Demand-Patches anwenden.
**Wichtig**
Die folgenden Schwellenwerte gelten für nur für `Scan and install`-Operationen. Für `Scan`-Operationen versucht Patch Manager bis zu 1.000 Knoten gleichzeitig zu scannen und weiter zu scannen, bis bis zu 1.000 Fehler aufgetreten sind.
**Gleichzeitigkeit: Installationsvorgänge**
| Die Gesamtanzahl von verwalteten Knoten in der Operation **Patch now** (Jetzt patchen) | Anzahl der gleichzeitig gescannten oder gepatchten verwalteten Knoten |
| --- | --- |
| Weniger als 25 | 1 |
| 25–100 | 5 % |
| 101 bis 1.000 | 8% |
| Mehr als 1.000 | 10 % |
**Fehlerschwellenwert: Installationsvorgänge**
| Die Gesamtanzahl von verwalteten Knoten in der Operation **Patch now** (Jetzt patchen) | Anzahl der zulässigen Fehler, bevor der Vorgang fehlschlägt |
| --- | --- |
| Weniger als 25 | 1 |
| 25–100 | 5 |
| 101 bis 1.000 | 10 |
| Mehr als 1.000 | 10 |
### Verwenden von „Patch now“ (Jetzt patchen)-Lebenszyklus-Hooks
**Patch now** (Jetzt patchen) bietet Ihnen die Möglichkeit, SSM Command-Dokumente als Lebenszyklus-Hooks während eines `Install`-Patch-Vorgang auszuführen. Sie können diese Hooks für Aufgaben wie das Herunterfahren von Anwendungen vor dem Patchen oder Ausführen von Zustandsprüfungen für Ihre Anwendungen nach dem Patchen oder nach einem Neustart verwenden.
Weitere Informationen über das Verwenden von Lebenszyklus-Hooks finden Sie unter [SSM-Befehlsdokument zum Patchen: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md).
In der folgenden Tabelle werden die Lebenszyklus-Hooks aufgeführt, die für jede der drei **Patch now**-Neustartoptionen (Jetzt patchen) aufgelistet sowie Beispielanwendungen für jeden Hook.
**Lebenszyklus-Hooks und Beispielanwendungen**
| Neustartoption | Hook: Vor Installation | Hook: Nach Installation | Hook: Beim Verlassen | Hook: Nach geplantem Neustart |
| --- | --- | --- | --- | --- |
| Bei Bedarf neu starten | Führen Sie ein SSM-Dokument aus, bevor das Patchen beginnt. Anwendungsbeispiel: Fahren Sie Anwendungen sicher herunter, bevor der Patchvorgang beginnt. | Führen Sie ein SSM-Dokument am Ende der Patching-Operation und vor dem Neustart des verwalteten Knoten aus. Anwendungsbeispiel: Führen Sie Vorgänge wie die Installation von Drittanbieter-Anwendungen vor einem potenziellen Neustart aus. | Führen Sie ein SSM-Dokument aus, nachdem die Patching-Operation abgeschlossen und die Instances neu gestartet wurden. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Patchen wie erwartet ausgeführt werden. | Nicht verfügbar |
| Meine Instances nicht neu starten | Wie oben. | Führen Sie ein SSM-Dokument am Ende des Patching-Vorgangs aus. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Patchen wie erwartet ausgeführt werden. | *Nicht verfügbar* | *Nicht verfügbar* |
| Neustartzeit planen | Wie oben. | Dasselbe wie für Meine Instances nicht neu starten. | Nicht verfügbar | Führen Sie sofort nach Abschluss eines geplanten Neustarts ein SSM-Dokument aus. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Neustart wie erwartet ausgeführt werden. |
## Ausführen von „Patch now“ (Jetzt patchen)
Mit dem folgenden Verfahren können Sie On-Demand-Patches auf Ihre verwalteten Knoten anwenden.
**So führen Sie „Patch now“ (Jetzt patchen) aus**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie **Patch now** (Jetzt patchen) aus.
1. Für **Patch-Operation** wählen Sie eine der folgenden Optionen aus:
+ **Scan** (Scannen): Patch Manager findet die Patches, die in Ihren verwalteten Knoten fehlen, installiert sie aber nicht. Sie können die Ergebnisse im **Compliance**-Dashboard oder in anderen Tools, die Sie zum Anzeigen der Patch-Compliance verwenden, anzeigen.
+ **Scan and install** (Scannen und installieren): Patch Manager findet die Patches, die in Ihren verwalteten Knoten fehlen, und installiert sie.
1. Führen Sie diesen Schritt nur aus, wenn Sie im vorherigen Schritt **Scan und Installation** ausgewählt haben. Wählen Sie bei **Neustartoption** eine der folgenden Optionen aus:
+ **Reboot if needed** (Bei Bedarf neu starten): Nach der Installation startet Patch Manager verwaltete Knoten nur dann neu, wenn dies zum Abschluss einer Patch-Installation erforderlich ist.
+ **Don‘t reboot my instances** (Meine Instances nicht neu starten): Nach der Installation startet Patch Manager verwaltete Knoten nicht neu. Sie können verwaltete Knoten manuell neu starten, wenn Sie Neustarts außerhalb von Patch Manager auswählen oder verwalten.
+ **Schedule a reboot time** (Neustartzeit planen): Geben Sie das Datum, die Uhrzeit und die UTC-Zeitzone an, wenn Patch Manager Ihre verwalteten Knoten neu starten sollen. Nachdem Sie den **Patch now** (Jetzt patchen)-Vorgang ausgeführt haben, wird der geplante Neustart als Zuordnung in State Manager mit dem Namen `AWS-PatchRebootAssociation` gelistet.
**Wichtig**
Wenn Sie den Hauptpatchvorgang abbrechen, nachdem er gestartet wurde, State Manager wird die `AWS-PatchRebootAssociation` Zuordnung NICHT automatisch abgebrochen. Um unerwartete Neustarts zu verhindern, müssen Sie manuell `AWS-PatchRebootAssociation` löschen, State Manager falls der geplante Neustart nicht mehr stattfinden soll. Andernfalls kann es zu ungeplanten Systemneustarts kommen, die sich auf die Produktionsauslastung auswirken können. Sie finden diese Zuordnung in der Systems Manager Manager-Konsole unter **State Manager**> **Verknüpfungen**.
1. Wählen Sie unter **Instances to patch (Zu patchende Instances)** eine der folgenden Optionen aus:
+ **Alle Instanzen patchen**: Patch Manager Führt den angegebenen Vorgang auf allen verwalteten Knoten AWS-Konto in Ihrer aktuellen Version aus AWS-Region.
+ **Patch only the target instances I specify** (Nur die von mir angegebenen Ziel-Instances patchen): Sie geben im nächsten Schritt an, welche verwalteten Knoten anvisiert werden sollen.
1. Führen Sie diesen Schritt nur aus, wenn Sie im vorherigen Schritt **Nur die von mir angegebenen Ziel-Instances patchen** ausgewählt haben. Identifizieren Sie für den Abschnitt **Target selection** (Zielauswahl) die Knoten, auf denen Sie diese Operation ausführen möchten, indem Sie Tags angeben, Knoten manuell auswählen oder eine Ressourcengruppe angeben.
**Anmerkung**
Wenn ein verwalteter Knoten, den Sie erwarten, nicht aufgeführt ist, finden Sie weitere Informationen unter [Problembehandlung bei der Verfügbarkeit verwalteter Knoten](fleet-manager-troubleshooting-managed-nodes.md) Tipps zur Fehlerbehebung.
Wenn Sie sich für eine Ressourcengruppe entscheiden, beachten Sie, dass Ressourcengruppen, die auf einem AWS CloudFormation Stack basieren, trotzdem mit dem `aws:cloudformation:stack-id` Standard-Tag gekennzeichnet werden müssen. Wenn es entfernt wurde, kann Patch Manager möglicherweise nicht ermitteln, welche verwalteten Knoten zur Ressourcengruppe gehören.
1. (Optional) Für **Patch-Protokollspeicher** wählen Sie, wenn Sie Protokolle aus diesem Patchvorgang erstellen und speichern möchten, den S3-Bucket zum Speichern der Protokolle aus.
**Anmerkung**
Die S3-Berechtigungen zum Schreiben von Daten in einen S3-Bucket sind diejenigen des Instance-Profils (für EC2-Instances) oder der IAM-Servicerolle (hybrid-aktivierte Maschinen), die der Instance zugewiesen sind, und nicht diejenigen des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter [Die für Systems Manager erforderlichen Instance-Berechtigungen konfigurieren](setup-instance-permissions.md) oder [Die für Systems Manager erforderliche IAM-Servicerolle in Hybrid- und Multi-Cloud-Umgebungen erstellen](hybrid-multicloud-service-role.md). Wenn sich der angegebene S3-Bucket in einem anderen befindet, stellen Sie außerdem sicher AWS-Konto, dass das Instanzprofil oder die IAM-Dienstrolle, die dem verwalteten Knoten zugeordnet sind, über die erforderlichen Berechtigungen verfügt, um in diesen Bucket zu schreiben.
1. (Optional) Wenn Sie SSM-Dokumente als Lebenszyklus-Hooks an bestimmten Punkten des Patching-Vorgangs ausführen möchten, gehen Sie wie folgt vor:
+ Klicken Sie auf **Verwenden von Lebenszyklus-Hooks**.
+ Wählen Sie für jeden verfügbaren Hook das SSM-Dokument aus, das am angegebenen Punkt des Vorgangs ausgeführt werden soll:
+ Vor Installation
+ Nach Installation
+ Beim Verlassen
+ Nach geplantem Neustart
**Anmerkung**
Das Standarddokument, `AWS-Noop`, führt keine Vorgänge aus.
1. Wählen Sie **Patch now** (Jetzt patchen) aus.
Die Seite **Association execution summary (Zusammenfassung der Zuordnungsausführung)** wird geöffnet. (Jetzt patchen verwendet jetzt Zuordnungen in State Manager, einem Tool in AWS Systems Manager, für seine Vorgänge.) Im Bereich **Operation summary** (Operationsübersicht) können Sie den Scan- oder Patch-Status auf den von Ihnen angegebenen verwalteten Knoten überwachen.
# Arbeiten mit Patch-Baselines
Eine Patch-Baseline in Patch Manager, einem Tool in AWS Systems Manager, definiert, welche Patches für die Installation in Ihren verwalteten Knoten genehmigt sind. Sie können für Patches einzeln angeben, ob sie genehmigt oder abgelehnt werden. Sie können auch automatische Genehmigungsregeln erstellen, um festzulegen, dass bestimmte Arten von Updates (z. B. wichtige Updates), automatisch genehmigt werden. Die Liste mit den Ablehnungen setzt sowohl die Regeln als auch die Liste mit Genehmigungen außer Kraft. Wenn Sie ausschließlich eine Liste mit genehmigten Patches verwenden möchten, um spezifische Pakete zu installieren, entfernen Sie erst alle automatischen Genehmigungsregeln. Wenn Sie explizit einen Patch als abgelehnt kennzeichnen, wird er nicht genehmigt oder installiert, selbst wenn er mit allen Kriterien in einer automatischen Genehmigungsregel übereinstimmt. Außerdem wird ein Patch nur dann auf einem verwalteten Knoten installiert, wenn er für die Software auf dem Knoten geeignet ist, auch wenn der Patch anderweitig für den verwalteten Knoten genehmigt wurde.
**Topics**
+ [AWS Vordefinierte Patch-Baselines anzeigen](patch-manager-view-predefined-patch-baselines.md)
+ [Arbeiten mit benutzerdefinierten Patch-Baselines](patch-manager-manage-patch-baselines.md)
+ [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md)
**Weitere Informationen**
+ [Patch-Baselines](patch-manager-patch-baselines.md)
# AWS Vordefinierte Patch-Baselines anzeigen
Patch Manager, ein Tool in AWS Systems Manager, enthält eine vordefinierte Patch-Baseline für jedes Betriebssystem, das von unterstützt wird. Patch Manager Sie können diese Patch-Baselines verwenden (Sie können sie jedoch nicht anpassen) oder Sie können eine eigene Patch-Baseline erstellen. Nachfolgend wird beschrieben, wie Sie eine vordefinierte Patch-Baseline anzeigen, um sie auf Ihre Anforderungen hin zu überprüfen. Weitere Informationen zu Patch-Baselines finden Sie unter [Vordefinierte und benutzerdefinierte Patch-Baselines](patch-manager-predefined-and-custom-patch-baselines.md).
**So zeigen Sie AWS vordefinierte Patch-Baselines an**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie in der Liste der Patch-Baselines die Baseline-ID einer der vordefinierten Patch-Baselines aus.
–oder–
Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen**, wählen Sie die Registerkarte **Patch-Baselines** und wählen Sie dann die Baseline-ID einer der vordefinierten Patch-Baselines.
**Anmerkung**
Für Windows Server werden drei vordefinierte Patch-Baselines bereitgestellt. Die Patch-Baselines `AWS-DefaultPatchBaseline` und `AWS-WindowsPredefinedPatchBaseline-OS` unterstützen nur Betriebssystemupdates auf dem Windows-Betriebssystem selbst. `AWS-DefaultPatchBaseline` wird als Standard-Patch-Baseline für von Windows Server verwalteten Knoten verwendet, es sei denn, Sie geben eine andere Patch-Baseline an. Die Konfigurationseinstellungen in diesen beiden Patch-Baselines sind identisch. Die neuere der beiden, `AWS-WindowsPredefinedPatchBaseline-OS`, wurde erstellt, um sie von der dritten vordefinierten Patch-Baseline für Windows Server zu unterscheiden. Diese Patch-Baseline, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, kann verwendet werden, um Patches sowohl auf das Windows Server-Betriebssystem als auch auf unterstützte Anwendungen, die von Microsoft veröffentlicht wurden, anzuwenden.
Weitere Informationen finden Sie unter [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md).
1. Im Abschnitt **Genehmigungsregel**n überprüfen Sie die Konfiguration der Patch-Baseline-Konfiguration.
1. Wenn die Konfiguration für Ihre verwalteten Knoten geeignet ist, können Sie direkt mit dem Verfahren [Erstellen und Verwalten von Patch-Gruppen](patch-manager-tag-a-patch-group.md) fortfahren.
–oder–
Fahren Sie zum Erstellen einer eigenen Standard-Patch-Baseline mit dem Thema [Arbeiten mit benutzerdefinierten Patch-Baselines](patch-manager-manage-patch-baselines.md) fort.
# Arbeiten mit benutzerdefinierten Patch-Baselines
Patch Manager, ein Tool in AWS Systems Manager, enthält eine vordefinierte Patch-Baseline für jedes Betriebssystem, das von unterstützt wirdPatch Manager. Sie können diese Patch-Baselines verwenden (Sie können sie jedoch nicht anpassen) oder Sie können eine eigene Patch-Baseline erstellen.
In den folgenden Verfahren wird beschrieben, wie Sie eigene benutzerdefinierte Patch-Baselines erstellen, aktualisieren und löschen. Weitere Informationen zu Patch-Baselines finden Sie unter [Vordefinierte und benutzerdefinierte Patch-Baselines](patch-manager-predefined-and-custom-patch-baselines.md).
**Topics**
+ [So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Erstellen einer benutzerdefinierten Patch-Baseline für macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Aktualisieren oder Löschen einer benutzerdefinierten Patch-Baseline](patch-manager-update-or-delete-a-patch-baseline.md)
# So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Patch-Baseline für Linux-verwaltete Knoten in Patch Manager, einem Tool in AWS Systems Manager, zu erstellen.
Informationen zum Erstellen einer Patch-Baseline für macOS-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für macOS](patch-manager-create-a-patch-baseline-for-macos.md). Informationen zum Erstellen einer Patch-Baseline für Windows-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server](patch-manager-create-a-patch-baseline-for-windows.md).
**So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux-verwaltete Knoten**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Patch-Baselines** und dann **Patch-Baseline erstellen** aus.
–oder–
Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen**, wechseln Sie zur Registerkarte **Patch-Baselines** und wählen Sie dann **Patch-Baseline** erstellen.
1. Geben Sie im Feld **Name** einen Namen für die neue Patch-Baseline ein, z. B. `MyRHELPatchBaseline`.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für diese Patch-Baseline ein.
1. Wählen Sie unter **Operating system (Betriebssystem)** ein Betriebssystem aus, z. B. `Red Hat Enterprise Linux`.
1. Wenn Sie diese Patch-Baseline sofort nach der Erstellung als Standard für das ausgewählte Betriebssystem verwenden möchten, aktivieren Sie das Kontrollkästchen neben **Diese Patch-Baseline als Standard-Patch-Baseline für *operating system name* Instances festlegen**.
**Anmerkung**
Diese Option ist nur verfügbar, wenn Sie vor der Veröffentlichung der [Patch-Richtlinien](patch-manager-policies.md) am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.
Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md).
1. Erstellen Sie im Abschnitt **Genehmigungsregeln für Betriebssysteme** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
+ **Produkte**: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. `RedhatEnterpriseLinux7.4`. Die Standardauswahl ist `All`.
+ **Classification (Klassifizierung)**: Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. `Security` oder `Enhancement`. Die Standardauswahl ist `All`.
**Tipp**
Sie können eine Patch-Baseline konfigurieren, um zu steuern, ob Nebenversions-Upgrades für Linux installiert werden, z. B. RHEL 7.8. Nebenversionsupgrades können vom Patch Manager automatisch installiert werden, wenn das Update im entsprechenden Repository verfügbar ist.
Im Fall von Linux-Betriebssystemen werden Nebenversionsupgrades nicht konsistent klassifiziert. Sie können als Fehlerbehebungen oder Sicherheitsupdates klassifiziert (oder nicht klassifiziert) werden, selbst innerhalb derselben Kernel-Version. Im Folgenden werden einige Optionen aufgelistet, mit denen Sie steuern können, ob sie von einer Patch-Baseline installiert werden.
**Option 1**: Die umfassendste Genehmigungsregel, die sicherzustellt, dass Nebenversionsupgrades installiert werden, wenn verfügbar, besteht in der Angabe von **Classification (Klassifizierung)** als `All` (\$1) und der Auswahl der Option **Include nonsecurity updates (Auch andere Updates als Sicherheitsupdates einschließen)**.
**Option 2**: Um die Installation von Patches für eine Betriebssystemversion sicherzustellen, können Sie ein Platzhalterzeichen (\$1) verwenden, um das Kernel-Format im Abschnitt **Patch exceptions (Patch-Ausnahmen)** der Baseline anzugeben. Zum Beispiel ist das Kernel-Format für RHEL 7.\$1 `kernel-3.10.0-*.el7.x86_64`.
Geben Sie `kernel-3.10.0-*.el7.x86_64` in der Liste **Approved patches** (Genehmigte Patches) in Ihrer Patch-Baseline ein, um die Anwendung aller Patches einschließlich Nebenversionsupgrades auf Ihren von RHEL 7.\$1 verwalteten Knoten sicherzustellen. (Wenn Sie den genauen Paketnamen eines Nebenversionspatches kennen, können Sie diesen stattdessen eingeben.)
**Option 3**: Mithilfe des [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist)Parameters im `AWS-RunPatchBaseline` Dokument haben Sie die größtmögliche Kontrolle darüber, welche Patches auf Ihre verwalteten Knoten angewendet werden, einschließlich kleinerer Versions-Upgrades. Weitere Informationen finden Sie unter [SSM-Befehlsdokument zum Patchen: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
+ **Schweregrad**: Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. `Critical`. Die Standardauswahl ist `All`.
+ **Automatische Genehmigung**: Die Methode zum Auswählen von Patches für die automatische Genehmigung.
**Anmerkung**
Da es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für Ubuntu Server zuverlässig zu bestimmen, werden die Optionen für die automatische Genehmigung für dieses Betriebssystem nicht unterstützt.
+ **Approve patches after a specified number of days** (Patches nach einer bestimmten Anzahl von Tagen genehmigen): Die Anzahl der Tage, die der Patch Manager warten muss, nachdem ein Patch veröffentlicht oder zuletzt aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.
+ **Patches genehmigen, die bis zu einem bestimmten Datum veröffentlicht wurden**: Das Datum der Patch-Veröffentlichung, an dem der Patch Manager automatisch alle Patches anwendet, die bis zu diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 7. Juli 2023 angeben, werden Patches, die am oder nach dem 8. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.
+ (Optional) **Konformitätsbericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `Critical` oder `High`).
**Anmerkung**
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.
+ **Include non-security updates (Nicht sicherheitsrelevante Updates einbeziehen)**: Aktivieren Sie das Kontrollkästchen zum Installieren von nicht sicherheitsrelevanten Linux-Betriebssystem-Patches, die im Quell-Repository verfügbar gemacht wurden, zusätzlich zu den sicherheitsrelevanten Patches.
Weitere Informationen zum Arbeiten mit Genehmigungsregeln in einer benutzerdefinierten Patch-Baseline finden Sie unter [Benutzerdefinierte Baselines](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Wenn Sie zusätzlich zu den Patches, die Ihren Genehmigungsregeln entsprechen, alle Patches ausdrücklich genehmigen möchten, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
+ Geben Sie im Feld **Genehmigte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.
Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
+ (Optional) Weisen Sie in der Liste **Compliance-Stufe genehmigter Patches** den Patches in der Liste eine Compliance-Stufe zu.
+ Wenn genehmigte Patches, die Sie angeben, nicht sicherheitsbezogen sind, wählen Sie das Kästchen **Genehmigte Patches umfassen nicht sicherheitsrelevante Updates** aus, damit diese Patches ebenfalls auf Ihrem Linux-Betriebssystem installiert werden.
1. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
+ Geben Sie im Feld **Abgelehnte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.
Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
+ Wählen Sie in der Liste **Aktion für abgelehnte Patches** die Aktion aus, die Patch Manager für Patches in der Liste **Abgelehnte Patches** ausführen soll.
+ **Als Abhängigkeit zulassen**: Ein Paket in der Liste **Abgelehnte Patches** wird nur installiert, wenn es sich um eine Abhängigkeit eines anderen Pakets handelt. Es gilt als konform mit der Patch-Baseline und sein Status wird als gemeldet *InstalledOther*. Dies ist die Standardaktion, wenn keine Option ausgewählt ist.
+ **Blockieren**: Pakete in der Liste **Abgelehnte Patches** und Pakete, die diese als Abhängigkeiten enthalten, werden unter keinen Umständen von Patch Manager installiert. Wenn ein Paket installiert wurde, bevor es zur Liste der **abgelehnten Patches** hinzugefügt wurde, oder danach außerhalb von Patch Manager installiert wird, gilt es als nicht konform mit der Patch-Baseline und sein Status wird als *InstalledRejected* gemeldet.
**Anmerkung**
Patch Manager sucht rekursiv nach Patch-Abhängigkeiten.
1. **(Optional) Wenn Sie alternative Patch-Repositorys für verschiedene Versionen eines Betriebssystems angeben möchten, z. B. *AmazonLinux2016.03 und *AmazonLinux2017.09**, gehen Sie für jedes Produkt im Abschnitt Patch-Quellen wie folgt vor:**
+ Geben Sie in **Name (Name)** einen Namen ein, um Sie bei der Identifizierung der Quellkonfiguration zu unterstützen.
+ Wählen Sie unter **Product (Produkt)** die Version der Betriebssysteme aus, für die das Patch-Quell-Repository bestimmt ist, z. B. `RedhatEnterpriseLinux7.4`.
+ Geben Sie unter **Konfiguration** den Wert der zu verwendenden Repository-Konfiguration im entsprechenden Format ein:
------
#### [ Example for yum repositories ]
```
[main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
```
**Tipp**
Informationen zu anderen Optionen für Ihre Yum-Repository-Konfiguration finden Sie unter [dnf.conf (5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).
------
#### [ Examples for Ubuntu Server and Debian Server ]
`deb http://security.ubuntu.com/ubuntu jammy main`
`deb https://site.example.com/debian distribution component1 component2 component3`
Repository-Informationen für Ubuntu Server-Repositorys müssen in einer einzigen Zeile angegeben werden. Weitere Beispiele und Informationen finden Sie unter [jammy (5) sources.list.5.gz](https://manpages.ubuntu.com/manpages/jammy/man5/sources.list.5.html) auf der Website *Ubuntu Server Manuals* und unter [sources.list-Format](https://wiki.debian.org/SourcesList#sources.list_format) im *Debian-Wiki*.
------
Wählen Sie **Add another source** aus, um ein Quell-Repository für jede zusätzliche Betriebssystemversion anzugeben, bis maximal 20.
Weitere Informationen über alternative Quell-Patch-Repositorys finden Sie unter [So geben Sie ein alternatives Patch-Quell-Repository an (Linux)](patch-manager-alternative-source-repository.md).
1. (Optional) Wenden Sie unter **Tags verwalten** ein oder mehrere name/value Tag-Schlüsselpaare auf die Patch-Baseline an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, die Betriebssystemfamilie, auf die sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall könnten Sie Tags angeben, die den folgenden name/value Schlüsselpaaren ähneln:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Wählen Sie die Option **Patch-Baseline erstellen**.
# Erstellen einer benutzerdefinierten Patch-Baseline für macOS
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Patch-Baseline für macOS-verwaltete Knoten in Patch Manager zu erstellen, einem Tool in AWS Systems Manager.
Informationen zum Erstellen einer Patch-Baseline für Windows Server-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server](patch-manager-create-a-patch-baseline-for-windows.md). Informationen zum Erstellen einer Patch-Baseline für Linux-verwaltete Knoten finden Sie unter [So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux](patch-manager-create-a-patch-baseline-for-linux.md).
**Anmerkung**
macOSwird nicht in allen unterstützt AWS-Regionen. Weitere Informationen zur Amazon-EC2-Unterstützung für macOS finden Sie unter [Amazon-EC2-Mac-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) im *Amazon-EC2-Benutzerhandbuch*.
**So erstellen Sie eine benutzerdefinierte Patch-Baseline für macOS-verwaltete Knoten**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Patch-Baselines** und dann **Patch-Baseline erstellen** aus.
–oder–
Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen**, wechseln Sie zur Registerkarte **Patch-Baselines** und wählen Sie dann **Patch-Baseline** erstellen.
1. Geben Sie im Feld **Name** einen Namen für die neue Patch-Baseline ein, z. B. `MymacOSPatchBaseline`.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für diese Patch-Baseline ein.
1. Wählen Sie unter **Betriebssystem** die Option macOS aus.
1. Wenn Sie die Patch-Baseline direkt nach dem Erstellen als Standard für macOS verwenden möchten, aktivieren Sie das Kontrollkästchen **Set this patch baseline as the default patch baseline for macOS instances (Diese Patch-Baseline als Standard-Patch-Baseline für macOs-Instances festlegen)**.
**Anmerkung**
Diese Option ist nur verfügbar, wenn Sie vor der Veröffentlichung der [Patch-Richtlinien](patch-manager-policies.md) am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.
Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md).
1. Erstellen Sie im Abschnitt **Genehmigungsregeln für Betriebssysteme** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
+ **Produkte**: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. `BigSur11.3.1` oder `Ventura13.7`. Die Standardauswahl ist `All`.
+ **Klassifizierung**: Der oder die Paketmanager, auf den/die während des Patchvorgangs Pakete angewendet werden sollen. Sie können aus den folgenden Optionen auswählen:
+ softwareupdate
+ installer
+ brew
+ brew cask
Die Standardauswahl ist `All`.
+ (Optional) **Konformitätsbericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `Critical` oder `High`).
**Anmerkung**
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.
Weitere Informationen zum Arbeiten mit Genehmigungsregeln in einer benutzerdefinierten Patch-Baseline finden Sie unter [Benutzerdefinierte Baselines](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Wenn Sie zusätzlich zu den Patches, die Ihren Genehmigungsregeln entsprechen, alle Patches ausdrücklich genehmigen möchten, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
+ Geben Sie im Feld **Genehmigte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.
Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
+ (Optional) Weisen Sie in der Liste **Compliance-Stufe genehmigter Patches** den Patches in der Liste eine Compliance-Stufe zu.
1. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
+ Geben Sie im Feld **Abgelehnte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.
Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
+ Wählen Sie in der Liste **Aktion für abgelehnte Patches** die Aktion aus, die Patch Manager für Patches in der Liste **Abgelehnte Patches** ausführen soll.
+ **Als Abhängigkeit zulassen**: Ein Paket in der Liste **Abgelehnte Patches** wird nur installiert, wenn es sich um eine Abhängigkeit eines anderen Pakets handelt. Es gilt als konform mit der Patch-Baseline und sein Status wird als gemeldet *InstalledOther*. Dies ist die Standardaktion, wenn keine Option ausgewählt ist.
+ **Blockieren**: Pakete in der Liste **Abgelehnte Patches** und Pakete, die diese als Abhängigkeiten enthalten, werden unter keinen Umständen von Patch Manager installiert. Wenn ein Paket installiert wurde, bevor es zur Liste der **abgelehnten Patches** hinzugefügt wurde, oder danach außerhalb von Patch Manager installiert wird, gilt es als nicht konform mit der Patch-Baseline und sein Status wird als *InstalledRejected* gemeldet.
1. (Optional) Wenden **Sie unter Tags verwalten** ein oder mehrere name/value Tag-Schlüsselpaare auf die Patch-Baseline an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, den Paketmanager, auf den sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall könnten Sie Tags angeben, die den folgenden name/value Schlüsselpaaren ähneln:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=PackageManager,Value=softwareupdate`
+ `Key=Environment,Value=Production`
1. Wählen Sie die Option **Patch-Baseline erstellen**.
# Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Patch-Baseline für Windows-verwaltete Knoten in Patch Manager zu erstellen, einem Tool in AWS Systems Manager.
Informationen zum Erstellen einer Patch-Baseline für Linux-verwaltete Knoten finden Sie unter [So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux](patch-manager-create-a-patch-baseline-for-linux.md). Informationen zum Erstellen einer Patch-Baseline für macOS-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für macOS](patch-manager-create-a-patch-baseline-for-macos.md).
Ein Beispiel für das Erstellen einer Patch-Baseline, die auf die Installation von Windows Service Packs eingeschränkt ist, finden Sie unter [So erstellen Sie eine Patch-Baseline für die Installation von Windows Service Packs mithilfe der Konsole](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
**So erstellen Sie eine benutzerdefinierte Patch-Baseline (Windows)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Patch-Baselines** und dann **Patch-Baseline erstellen** aus.
–oder–
Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen**, wechseln Sie zur Registerkarte **Patch-Baselines** und wählen Sie dann **Patch-Baseline** erstellen.
1. Geben Sie im Feld **Name** einen Namen für die neue Patch-Baseline ein, z. B. `MyWindowsPatchBaseline`.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für diese Patch-Baseline ein.
1. Wählen Sie unter **Betriebssystem** die Option `Windows` aus.
1. Wählen Sie unter **Compliance-Status für verfügbare Sicherheitsupdates** den Status aus, den Sie Sicherheitspatches zuweisen möchten, die zwar verfügbar, aber nicht genehmigt sind, weil sie die in der Patch-Baseline angegebenen Installationskriterien (**Nicht konform** oder **Konform**) nicht erfüllen.
Beispielszenario: Sicherheitspatches, die Sie möglicherweise installieren möchten, können übersprungen werden, wenn Sie eine lange Wartezeit für die Installation nach der Veröffentlichung eines Patches angegeben haben. Wenn während der von Ihnen angegebenen Wartezeit ein Update für den Patch veröffentlicht wird, beginnt die Wartezeit für die Installation des Patches von vorne. Wenn die Wartezeit zu lang ist, können mehrere Versionen des Patches veröffentlicht, aber nie installiert werden.
1. Wenn Sie diese Patch-Baseline direkt nach dem Erstellen als Standard für Windows verwenden möchten, wählen Sie **Set this patch baseline as the default patch baseline for Windows Server instances (Diese Patch-Baseline als Standard-Patch-Baseline für Windows Server-Instances festlegen)** aus.
**Anmerkung**
Diese Option ist nur verfügbar, wenn Sie vor der Veröffentlichung der [Patch-Richtlinien](patch-manager-policies.md) am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.
Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md).
1. Erstellen Sie im Abschnitt **Approval Rules for operating-systems (Genehmigungsregeln für Betriebssysteme)** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
+ **Produkte**: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. `WindowsServer2012`. Die Standardauswahl ist `All`.
+ **Classification (Klassifizierung)**: Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. `CriticalUpdates`, `Drivers` und `Tools`. Die Standardauswahl ist `All`.
**Tipp**
Sie können Windows Service Pack-Installationen in die Genehmigungsregeln einschließen, indem Sie die `ServicePacks` einschließen oder `All` in der Liste **Classification (Klassifizierung)** auswählen. Ein Beispiel finden Sie unter [So erstellen Sie eine Patch-Baseline für die Installation von Windows Service Packs mithilfe der Konsole](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
+ **Schweregrad**: Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. `Critical`. Die Standardauswahl ist `All`.
+ **Automatische Genehmigung**: Die Methode zum Auswählen von Patches für die automatische Genehmigung.
+ **Patches nach einer bestimmten Anzahl von Tagen genehmigen**: Die Anzahl der Tage, die der Patch Manager warten muss, nachdem ein Patch veröffentlicht oder aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.
+ **Patches genehmigen, die bis zu einem bestimmten Datum veröffentlicht wurden**: Das Datum der Patch-Veröffentlichung, an dem der Patch Manager automatisch alle Patches anwendet, die bis zu diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 07. Juli 2023 angeben, werden Patches, die am oder nach dem 08. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.
+ (Optional) **Compliance-Bericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `High`).
**Anmerkung**
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.
1. (Optional) Erstellen Sie im Abschnitt **Approval Rules for applications (Genehmigungsregeln für Anwendungen)** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
**Anmerkung**
Anstatt Genehmigungsregeln anzugeben, können Sie Listen genehmigter und abgelehnter Patches als Patch-Ausnahmen angeben. Siehe Schritte 10 und 11.
+ **Product family (Produktfamilie)**: Die allgemeine Microsoft-Produktfamilie, für die Sie eine Regel festlegen möchten, z. B. `Office` oder `Exchange Server`.
+ **Produkte**: Die Version der Anwendung, auf die sich die Genehmigungsregel bezieht, z. B. `Office 2016` oder `Active Directory Rights Management Services Client 2.0 2016`. Die Standardauswahl ist `All`.
+ **Classification (Klassifikation)**: Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. `CriticalUpdates`. Die Standardauswahl ist `All`.
+ **Severity (Schweregrad)**: Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. `Critical`. Die Standardauswahl ist `All`.
+ **Automatische Genehmigung**: Die Methode zum Auswählen von Patches für die automatische Genehmigung.
+ **Patches nach einer bestimmten Anzahl von Tagen genehmigen**: Die Anzahl der Tage, die der Patch Manager warten muss, nachdem ein Patch veröffentlicht oder aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.
+ **Patches genehmigen, die bis zu einem bestimmten Datum veröffentlicht wurden**: Das Datum der Patch-Veröffentlichung, an dem der Patch Manager automatisch alle Patches anwendet, die bis zu diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 7. Juli 2023 angeben, werden Patches, die am oder nach dem 8. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.
+ (Optional) **Konformitätsbericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `Critical` oder `High`).
**Anmerkung**
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.
1. (Optional) Wenn Sie Patches explizit genehmigen möchten, anstatt Patches gemäß Genehmigungsregeln auszuwählen, gehen Sie im Abschnitt **Patch-Ausnahmen** folgendermaßen vor:
+ Geben Sie im Feld **Genehmigte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.
Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
+ (Optional) Weisen Sie in der Liste **Compliance-Stufe genehmigter Patches** den Patches in der Liste eine Compliance-Stufe zu.
1. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
+ Geben Sie im Feld **Abgelehnte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.
Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
+ Wählen Sie in der Liste **Aktion für abgelehnte Patches** die Aktion aus, die Patch Manager für Patches in der Liste **Abgelehnte Patches** ausführen soll.
+ **Als Abhängigkeit zulassen**: unterstützt das Konzept der Paketabhängigkeiten Windows Server nicht. Wenn ein Paket in der Liste der **abgelehnten Patches** enthalten ist und bereits auf dem Knoten installiert ist, wird sein Status als `INSTALLED_OTHER` gemeldet. Jedes Paket, das noch nicht auf dem Knoten installiert ist, wird übersprungen.
+ **Blockieren**: Pakete in der Liste der **abgelehnten Patches** werden von Patch Manager unter keinen Umständen installiert. Wenn ein Paket installiert wurde, bevor es zur Liste der **abgelehnten Patches** hinzugefügt wurde, oder danach außerhalb von Patch Manager installiert wird, gilt es als nicht konform mit der Patch-Baseline und sein Status wird als `INSTALLED_REJECTED` gemeldet.
Weitere Informationen zu Aktionen für abgelehnte Pakete finden Sie unter [Optionen für die Liste abgelehnter Patches in benutzerdefinierten Patch-Baselines](patch-manager-windows-and-linux-differences.md#rejected-patches-diff).
1. (Optional) Wenden **Sie unter Tags verwalten** ein oder mehrere name/value Tag-Schlüsselpaare auf die Patch-Baseline an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, die Betriebssystemfamilie, auf die sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall könnten Sie Tags angeben, die den folgenden name/value Schlüsselpaaren ähneln:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Wählen Sie die Option **Patch-Baseline erstellen**.
# Aktualisieren oder Löschen einer benutzerdefinierten Patch-Baseline
Sie können eine benutzerdefinierte Patch-Baseline, die Sie erstellt haben, in Patch Manager, einem Tool in AWS Systems Manager, aktualisieren oder löschen. Wenn Sie eine Patch-Baseline aktualisieren, können Sie deren Namen oder Beschreibung, die Genehmigungsregeln sowie die Ausnahmen für genehmigte und abgelehnte Patches ändern. Sie können auch die Tags aktualisieren, die auf die Patch-Baseline angewendet werden. Sie können den Betriebssystemtyp, für den eine Patch-Baseline erstellt wurde, nicht ändern, und Sie können keine Änderungen an einer vordefinierten Patch-Baseline vornehmen, die von bereitgestellt wird AWS.
## Aktualisieren oder Löschen einer Patch-Baseline
Gehen Sie wie folgt vor, um eine Patch-Baseline zu aktualisieren oder zu löschen.
**Wichtig**
Gehen Sie vorsichtig vor, wenn Sie eine benutzerdefinierte Patch-Baseline löschen, die möglicherweise von einer Patch-Richtlinienkonfiguration in Quick Setup verwendet wird.
Wenn Sie eine [Patch-Richtlinienkonfiguration](patch-manager-policies.md) in Quick Setup verwenden, werden Aktualisierungen, die Sie an benutzerdefinierten Patch-Baselines vornehmen, einmal pro Stunde mit Quick Setup synchronisiert.
Wenn eine benutzerdefinierte Patch-Baseline gelöscht wird, auf die in einer Patch-Richtlinie verwiesen wurde, wird auf der Seite mit den Quick Setup-**Konfigurationsdetails** ein Banner für Ihre Patch-Richtlinie angezeigt. Das Banner informiert Sie darüber, dass die Patch-Richtlinie auf eine nicht mehr vorhandene Patch-Baseline verweist und nachfolgende Patching-Vorgänge fehlschlagen werden. Kehren Sie in diesem Fall zur Seite Quick Setup-**Konfigurationen** zurück, wählen Sie die Patch Manager-Konfiguration aus und wählen Sie **Aktionen**, **Konfiguration bearbeiten**. Der Name der gelöschten Patch-Baseline wird hervorgehoben, und Sie müssen eine neue Patch-Baseline für das betroffene Betriebssystem auswählen.
**So aktualisieren oder löschen Sie eine Patch-Baseline**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Patch-Baseline aus, die Sie aktualisieren oder löschen möchten, und führen Sie dann einen der folgenden Schritte aus:
+ Um die Patch-Baseline aus Ihrem zu entfernen AWS-Konto, wählen Sie **Löschen**. Sie werden aufgefordert, Ihre Aktionen zu bestätigen.
+ Wenn Sie den Namen oder die Beschreibung, die Genehmigungsregeln oder Patch-Ausnahmen der Patch-Baseline ändern möchten, wählen Sie **Edit (Bearbeiten)** aus. Nehmen Sie auf der Seite **Edit patch baseline (Patch-Baseline bearbeiten)** die gewünschten Änderungen vor und klicken Sie dann auf **Save changes (Änderungen speichern)**.
+ Wenn Sie auf die Patch-Baseline angewendete Tags hinzufügen, ändern oder löschen möchten, klicken Sie auf die Registerkarte **Tags (Tags)** und dann auf **Edit tags (Tags bearbeiten)**. Nehmen Sie auf der Seite **Edit patch baseline tags (Patch-Baseline-Tags bearbeiten)** die gewünschten Änderungen vor und klicken Sie dann auf **Save changes (Änderungen speichern)**.
Weitere Informationen zu den Konfigurationsoptionen, die Sie ausführen können, finden Sie unter [Arbeiten mit benutzerdefinierten Patch-Baselines](patch-manager-manage-patch-baselines.md).
# Festlegen einer vorhandenen Patch-Baseline als Standard
**Wichtig**
Alle hier getroffenen Standardauswahlen für die Patch-Baseline gelten nicht für Patching-Vorgänge, die auf einer Patch-Richtlinie basieren. Patch-Richtlinien verwenden ihre eigenen Patch-Baseline-Spezifikationen. Weitere Informationen zu Patch-Richtlinien finden Sie unter [Patch-Richtlinienkonfigurationen in Quick Setup](patch-manager-policies.md).
Bereits beim Erstellen einer benutzerdefinierten Patch-Baseline in Patch Manager, einem Tool in AWS Systems Manager, können Sie die Baseline als Standard für den zugehörigen Betriebssystemtyp festlegen. Weitere Informationen finden Sie unter [Arbeiten mit benutzerdefinierten Patch-Baselines](patch-manager-manage-patch-baselines.md).
Sie können auch eine vorhandene Patch-Baseline als Standard für einen Betriebssystemtyp festlegen.
**Anmerkung**
Welche Schritte Sie ausführen, hängt davon ab, ob Sie vor oder nach der Veröffentlichung der Patch-Richtlinien am 22. Dezember 2022 auf Patch Manager zugegriffen haben. Wenn Sie Patch Manager vor diesem Datum verwendet haben, können Sie das Konsolenverfahren verwenden. Verwenden Sie andernfalls das AWS CLI Verfahren. Das Menü **Aktionen**, auf das im Konsolenverfahren verwiesen wird, wird in Regionen, in denen Patch Manager vor der Veröffentlichung der Patch-Richtlinien nicht verwendet wurde, nicht angezeigt.
**So legen Sie eine Patch-Baseline als Standard fest**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Patch-Baselines** aus.
1. Wählen Sie in der Liste der Patch-Baselines die Schaltfläche einer Patch-Baseline aus, die derzeit nicht als Standard für ein Betriebssystem festgelegt ist.
Die Spalte **Default baseline (Standard-Baseline)** gibt an, welche Baselines derzeit als Standardwerte festgelegt sind.
1. Wählen Sie im Menü **Actions (Aktionen)** die Option **Set default patch baseline (Standard-Patch-Baseline festlegen)** aus.
**Wichtig**
Das **Aktionsmenü** ist nicht verfügbar, wenn Sie nicht vor dem 22. Dezember 2022 mit Patch Manager in der aktuellen Version AWS-Konto und in der Region gearbeitet haben. Weitere Informationen finden Sie in der **Anmerkung** weiter oben in diesem Thema.
1. Wählen Sie im Bestätigungsdialogfeld **Set default (Als Standard festlegen)** aus.
**So legen Sie eine Patch-Baseline als Standard fest (AWS CLI)**
1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html)Befehl aus, um eine Liste der verfügbaren Patch-Baselines IDs und ihrer Amazon-Ressourcennamen () ARNs anzuzeigen.
```
aws ssm describe-patch-baselines
```
1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html) aus, um eine Baseline als Standard für das Betriebssystem festzulegen, mit dem sie verknüpft ist. *baseline-id-or-ARN*Ersetzen Sie ihn durch die ID der benutzerdefinierten Patch-Baseline oder der vordefinierten Baseline, die verwendet werden soll.
------
#### [ Linux & macOS ]
```
aws ssm register-default-patch-baseline \
--baseline-id baseline-id-or-ARN
```
Im Folgenden finden Sie ein Beispiel für die Festlegung einer benutzerdefinierten Baseline als Standard.
```
aws ssm register-default-patch-baseline \
--baseline-id pb-abc123cf9bEXAMPLE
```
Im Folgenden finden Sie ein Beispiel für die Einstellung einer vordefinierten Baseline, die AWS standardmäßig verwaltet wird.
```
aws ssm register-default-patch-baseline \
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-0574b43a65ea646e
```
------
#### [ Windows Server ]
```
aws ssm register-default-patch-baseline ^
--baseline-id baseline-id-or-ARN
```
Im Folgenden finden Sie ein Beispiel für die Festlegung einer benutzerdefinierten Baseline als Standard.
```
aws ssm register-default-patch-baseline ^
--baseline-id pb-abc123cf9bEXAMPLE
```
Im Folgenden finden Sie ein Beispiel für die Einstellung einer vordefinierten Baseline, die AWS standardmäßig verwaltet wird.
```
aws ssm register-default-patch-baseline ^
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-071da192df1226b63
```
------
# Anzeigen verfügbarer Patches
MitPatch Manager, einem Tool in AWS Systems Manager, können Sie alle verfügbaren Patches für ein bestimmtes Betriebssystem und optional eine bestimmte Betriebssystemversion anzeigen.
**Tipp**
Um eine Liste verfügbarer Patches zu generieren und diese in einer Datei zu speichern, können Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) verwenden und Ihre bevorzugte [Ausgabe](https://docs.aws.amazon.com/cli/latest/reference/ssm/cli-usage-output.html) angeben.
**Anzeigen verfügbarer Patches**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Patches** aus.
–oder–
Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen** und dann die Registerkarte **Patches** aus.
**Anmerkung**
Für Windows Server zeigt die Registerkarte **Patches** Updates an, die vom Windows Server Update Service (WSUS) verfügbar sind.
1. Für **Betriebssystem** wählen Sie das Betriebssystem aus, für das Sie verfügbare Patches anzeigen möchten, z. B. `Windows` oder `Amazon Linux`.
1. (Optional) Für **Product (Produkt)** wählen Sie eine Betriebssystemversion aus, z. B. `WindowsServer2019` oder `AmazonLinux2018.03`.
1. (Optional) Um Informationsspalten für Ihre Ergebnisse hinzuzufügen oder zu entfernen, wählen Sie die Konfigurationsschaltfläche (![\[The icon to view configuration settings.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/configure-button.png)) oben rechts in der Liste **Patches** aus. (Standardmäßig zeigt die Registerkarte **Patches** nur Spalten für einige der verfügbaren Patch-Metadaten an.)
Informationen zu den Arten von Metadaten, die Sie Ihrer Ansicht hinzufügen können, finden Sie unter [Patch](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Patch.html) in der *AWS Systems Manager -API-Referenz*.
# Erstellen und Verwalten von Patch-Gruppen
Wenn Sie in Ihrem Betrieb *keine* Patching-Richtlinien verwenden, können Sie Ihre Patching-Aufgaben organisieren, indem Sie verwaltete Knoten mithilfe von Tags zu Patch-Gruppen hinzufügen.
**Anmerkung**
Patch-Gruppen werden nicht in Patch-Vorgängen verwendet, die auf *Patch-Richtlinien* basieren. Weitere Informationen zur Arbeit mit Patch-Richtlinien finden Sie unter [Patch-Richtlinienkonfigurationen in Quick Setup](patch-manager-policies.md).
Die Patchgruppenfunktion wird in der Konsole für Konto-Regionen-Paare nicht unterstützt, die vor der Veröffentlichung der Patch-Richtlinienunterstützung am 22. Dezember 2022 noch keine Patchgruppen verwendet haben. Die Patchgruppenfunktion ist weiterhin für Konto-Regionen-Paare verfügbar, die vor diesem Datum mit der Verwendung von Patchgruppen begonnen haben.
Um Tags bei Patching-Operationen zu verwenden, müssen Sie den Tag-Schlüssel `Patch Group` oder `PatchGroup` auf Ihre verwalteten Knoten anwenden. Sie müssen auch den Namen, den Sie der Patch-Gruppe geben möchten, als Wert des Tags angeben. Sie können einen beliebigen Tag-Wert angeben, aber der Tag-Schlüssel muss `Patch Group` oder `PatchGroup` lauten.
`PatchGroup` (ohne Leerzeichen) ist erforderlich, wenn Sie [Tags in EC2-Instance-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS) zugelassen haben.
Nachdem Sie Ihre verwalteten Knoten mithilfe von Tags gruppiert haben, fügen Sie den Patch-Gruppenwert einer Patch-Baseline hinzu. Mit der Registrierung der Patch-Gruppe für eine Patch-Baseline können Sie sicherstellen, dass beim Einspielen von Patches die richtigen Patches installiert werden. Weitere Informationen zu Patch-Gruppen finden Sie unter [Patch-Gruppen](patch-manager-patch-groups.md).
Führen Sie die Aufgaben in diesem Thema aus, um Ihre verwalteten Knoten für das Patching vorzubereiten, indem Sie Tags mit Ihren Knoten und der Patch-Baseline verwenden. Aufgabe 1 ist nur erforderlich, wenn Sie Amazon-EC2-Instances patchen. Aufgabe 2 ist nur erforderlich, wenn Sie Nicht-EC2-Instances in einer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) patchen. Aufgabe 3 ist für alle verwalteten Knoten erforderlich.
**Tipp**
Sie können verwalteten Knoten auch Tags hinzufügen, indem Sie den AWS CLI Befehl `[https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)` oder den Systems Manager API-Vorgang ssm-agent-minimum-s `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)` 3-permissions-required verwenden.
**Topics**
+ [Aufgabe 1: Hinzufügen von EC2-Instances zu einer Patch-Gruppe mithilfe von Tags](#sysman-patch-group-tagging-ec2)
+ [Aufgabe 2: Hinzufügen von verwalteten Knoten zu einer Patch-Gruppe mithilfe von Tags](#sysman-patch-group-tagging-managed)
+ [Aufgabe 3: Hinzufügen einer Patch-Gruppe zu einer Patch-Baseline](#sysman-patch-group-patchbaseline)
## Aufgabe 1: Hinzufügen von EC2-Instances zu einer Patch-Gruppe mithilfe von Tags
Sie können EC2-Instances über die Systems-Manager-Konsole oder die Amazon-EC2-Konsole Tags hinzufügen. Diese Aufgabe ist nur erforderlich, wenn Sie Amazon-EC2-Instances patchen.
**Wichtig**
Sie können das `Patch Group`-Tag (mit einem Leerzeichen) nicht auf eine Amazon-EC2-Instance anwenden, wenn die Option **Allow tags in instance metadata** (Tags in Instance-Metadaten zulassen) auf der Instance aktiviert ist. Durch das Zulassen von Tags in Instance-Metadaten wird verhindert, dass Tag-Schlüsselnamen Leerzeichen enthalten. Wenn Sie [Tags in EC2-Instance-Metadaten zugelassen haben](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), müssen Sie den Tag-Schlüssel `PatchGroup` (ohne Leerzeichen) verwenden.
**Option 1: So fügen Sie EC2-Instances zu einer Patch-Gruppe hinzu (Systems-Manager-Konsole)**
1. Öffnen Sie die Konsole unter. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.
1. Wählen Sie in der Liste **Verwaltete Knoten** die ID einer verwalteten EC2-Instance, die Sie für das Patching konfigurieren möchten. Knoten-IDs für EC2-Instances beginnen mit `i-`.
**Anmerkung**
Wenn Sie die Amazon EC2 EC2-Konsole und verwenden AWS CLI, ist es möglich, `Key = PatchGroup` Or-Tags auf Instances anzuwenden`Key = Patch Group`, die noch nicht für die Verwendung mit Systems Manager konfiguriert sind.
Wenn ein verwalteter Knoten, den Sie erwarten, nicht aufgeführt ist, finden Sie weitere Informationen unter [Problembehandlung bei der Verfügbarkeit verwalteter Knoten](fleet-manager-troubleshooting-managed-nodes.md) Tipps zur Fehlerbehebung.
1. Wählen Sie die Registerkarte **Tags** und dann **Bearbeiten** aus.
1. Geben Sie in der linken Spalte **Patch Group** oder **PatchGroup** ein. Wenn Sie [Tags in EC2-Instance-Metadaten zugelassen haben](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), müssen Sie `PatchGroup` (ohne Leerzeichen) verwenden.
1. Geben Sie in der rechten Spalte einen Tag-Wert ein, der als Name für die Patch-Gruppe dienen soll.
1. Wählen Sie **Speichern**.
1. Wiederholen Sie dieses Verfahren, um andere EC2-Instances zur selben Patch-Gruppe hinzuzufügen.
**Option 2: So fügen Sie EC2-Instances einer Patch-Gruppe hinzu (Amazon EC2-Konsole)**
1. Öffnen Sie im Navigationsbereich die [Amazon EC2-Konsole](https://console.aws.amazon.com/ec2/) und wählen Sie die Option **Instances** aus.
1. Wählen Sie in der Liste der Instances eine Instance aus, die Sie für das Einspielen von Patches konfigurieren möchten.
1. Wählen Sie im Menü **Aktionen** die Option **Instance-Einstellungen**, **Tags verwalten** aus.
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie für **Key** (Schlüssel) **Patch Group** oder **PatchGroup** ein. Wenn Sie [Tags in EC2-Instance-Metadaten zugelassen haben](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), müssen Sie `PatchGroup` (ohne Leerzeichen) verwenden.
1. Geben Sie für **Wert** einen Wert ein, der als Name für die Patch-Gruppe dienen soll.
1. Wählen Sie **Speichern**.
1. Wiederholen Sie dieses Verfahren, um andere Instances zur selben Patch-Gruppe hinzuzufügen.
## Aufgabe 2: Hinzufügen von verwalteten Knoten zu einer Patch-Gruppe mithilfe von Tags
Folgen Sie den Schritten in diesem Thema, um Tags zu AWS IoT Greengrass Kerngeräten und verwalteten Knoten (mi-\$1) ohne EC2-Hybrid-Aktivierung hinzuzufügen. Diese Aufgabe ist nur erforderlich, wenn Sie Nicht-EC2 Instances in einer Hybrid- und Multi-Cloud-Umgebung patchen.
**Anmerkung**
Sie können über die Amazon-EC2-Konsole keine Tags für Nicht-EC2-verwaltete Knoten hinzufügen.
**So fügen Sie Nicht-EC2-verwaltete Knoten einer Patch-Gruppe hinzu (Systems-Manager-Konsole)**
1. Öffnen Sie die Konsole unter. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Fleet Manager** aus.
1. Wählen Sie in der Liste der **verwalteten Knoten** einen verwalteten Knoten, für den Sie das Patching konfigurieren möchten.
**Anmerkung**
Wenn ein verwalteter Knoten, den Sie erwarten, nicht aufgeführt ist, finden Sie weitere Informationen unter [Problembehandlung bei der Verfügbarkeit verwalteter Knoten](fleet-manager-troubleshooting-managed-nodes.md) Tipps zur Fehlerbehebung.
1. Wählen Sie die Registerkarte **Tags** und dann **Bearbeiten** aus.
1. Geben Sie in der linken Spalte **Patch Group** oder **PatchGroup** ein. Wenn Sie [Tags in EC2-Instance-Metadaten zugelassen haben](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), müssen Sie `PatchGroup` (ohne Leerzeichen) verwenden.
1. Geben Sie in der rechten Spalte einen Tag-Wert ein, der als Name für die Patch-Gruppe dienen soll.
1. Wählen Sie **Speichern**.
1. Wiederholen Sie dieses Verfahren, um andere verwaltete Knoten zur selben Patch-Gruppe hinzuzufügen.
## Aufgabe 3: Hinzufügen einer Patch-Gruppe zu einer Patch-Baseline
Um Ihren verwalteten Knoten eine bestimmte Patch-Baseline zuzuordnen, müssen Sie den Patch-Gruppenwert der Patch-Baseline hinzufügen. Mit der Registrierung der Patch-Gruppe für eine Patch-Baseline können Sie sicherstellen, dass beim Einspielen von Patches die richtigen Patches installiert werden. Diese Aufgabe ist unabhängig davon erforderlich, ob Sie EC2-Instances, verwaltete Nicht-EC2-Knoten oder beides patchen.
Weitere Informationen zu Patch-Gruppen finden Sie unter [Patch-Gruppen](patch-manager-patch-groups.md).
**Anmerkung**
Welche Schritte Sie ausführen, hängt davon ab, ob Sie vor oder nach der Veröffentlichung der [Patch-Richtlinien](patch-manager-policies.md) am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.
**So fügen Sie eine Patch-Gruppe einer Patch-Baseline hinzu (Systems-Manager-Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wenn Sie auf Patch Manager zum ersten Mal in der aktuellen AWS-Region zugreifen und sich die Patch Manager-Startseite öffnet, wählen Sie **Mit einer Übersicht beginnen**.
1. Wählen Sie die Registerkarte **Patch-Baselines** und wählen Sie dann in der Liste **Patch-Baselines** den Namen der Patch-Baseline, die Sie für Ihre Patch-Gruppe konfigurieren möchten.
Wenn Sie erst nach der Veröffentlichung der Patch-Richtlinien auf Patch Manager zugegriffen haben, müssen Sie eine von Ihnen erstellte benutzerdefinierte Baseline wählen.
1. Wenn die Detailseite der **Baseline-ID** ein Menü **Aktionen** enthält, gehen Sie wie folgt vor:
+ Wählen Sie **Actions (Aktionen)** und dann **Modify patch groups (Patch-Gruppen modifizieren)** aus.
+ Geben Sie den *Tag-Wert*, den Sie Ihren verwalteten Knoten in [Aufgabe 2: Hinzufügen von verwalteten Knoten zu einer Patch-Gruppe mithilfe von Tags](#sysman-patch-group-tagging-managed) hinzugefügt haben, und wählen Sie dann **Hinzufügen**.
Wenn die Detailseite der **Baseline-ID** *kein* Menü **Aktionen** enthält, können Patch-Gruppen in der Konsole nicht konfiguriert werden. Sie können stattdessen eine der folgenden Aktionen ausführen:
+ (Empfohlen) Richten Sie eine Patch-Richtlinie in Quick Setup, einem Tool in AWS Systems Manager, ein, um eine Patch-Baseline einer oder mehreren EC2-Instances zuzuordnen.
Weitere Informationen finden Sie unter [Verwenden von Quick Setup-Patch-Richtlinien](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) und [Automatisieren des unternehmensweiten Patchen mithilfe einer Quick Setup-Patch-Richtlinie](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html).
+ Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html)Befehl in AWS Command Line Interface (AWS CLI), um eine Patchgruppe zu konfigurieren.
# Integrieren Patch Manager mit AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in. AWS Security Hub CSPM sammelt Sicherheitsdaten von allen AWS-Konten und unterstützten Produkten von Drittanbietern. AWS-Services Mit Security Hub CSPM können Sie Ihre Umgebung anhand von Branchenstandards und Best Practices überprüfen. Security Hub CSPM hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.
Mithilfe der Integration zwischenPatch Manager, einem Tool in AWS Systems Manager und Security Hub CSPM können Sie Erkenntnisse über nicht konforme Knoten von Patch Manager an Security Hub CSPM senden. Ein Ergebnis ist der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub CSPM kann diese patch-bezogenen Ergebnisse dann in die Analyse Ihres Sicherheitsstatus einbeziehen.
Die Informationen in den folgenden Themen gelten unabhängig davon, welche Methode oder Art der Konfiguration Sie für Ihre Patching-Vorgänge verwenden:
+ Eine in Quick Setup konfigurierte Patch-Richtlinie
+ Eine in Quick Setup konfigurierte Host-Management-Option
+ Ein Wartungsfenster zum Ausführen eines Patch-`Scan` oder einer `Install`-Aufgabe
+ Ein On-Demand-**Jetzt patchen**-Vorgang
**Contents**
+ [So sendet Patch Manager Erkenntnisse an Security Hub CSPM](#securityhub-integration-sending-findings)
+ [Arten von Erkenntnissen, die Patch Manager sendet](#securityhub-integration-finding-types)
+ [Latenz für das Senden von Erkenntnissen](#securityhub-integration-finding-latency)
+ [Wiederholung, wenn Security Hub CSPM nicht verfügbar ist](#securityhub-integration-retry-send)
+ [Ergebnisse in Security Hub CSPM anzeigen](#securityhub-integration-view-findings)
+ [Typische Erkenntnis von Patch Manager](#securityhub-integration-finding-example)
+ [Aktivieren und Konfigurieren der Integration](#securityhub-integration-enable)
+ [So beenden Sie das Senden von Ergebnissen](#securityhub-integration-disable)
## So sendet Patch Manager Erkenntnisse an Security Hub CSPM
In Security Hub CSPM werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS-Services oder von Drittanbietern entdeckt wurden. Security Hub CSPM verfügt außerdem über eine Reihe von Regeln, anhand derer Sicherheitsprobleme erkannt und Ergebnisse generiert werden.
Patch Managerist eines der Systems Manager Manager-Tools, das Ergebnisse an Security Hub CSPM sendet. Nachdem Sie einen Patchvorgang durchgeführt haben, indem Sie ein SSM-Dokument (`AWS-RunPatchBaseline`,, oder`AWS-RunPatchBaselineWithHooks`) ausführen`AWS-RunPatchBaselineAssociation`, werden die Patching-Informationen an Inventory oder Compliance, Tools in oder an beide gesendet. AWS Systems Manager Nachdem Inventory, Compliance oder beide die Daten erhalten haben, erhält Patch Manager eine Benachrichtigung. Dann wertet Patch Manager die Daten auf Genauigkeit, Formatierung und Compliance aus. Wenn alle Bedingungen erfüllt sind, werden die Daten an Security Hub CSPM Patch Manager weitergeleitet.
Security Hub CSPM bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Weitere Informationen finden Sie unter [Anzeigen der Erkenntnisse](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) im *AWS Security Hub -Benutzerhandbuch*. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Weitere Informationen finden Sie unter [Ergreifen von Maßnahmen zu Erkenntnissen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) im *AWS Security Hub -Benutzerhandbuch*.
Alle Ergebnisse in Security Hub CSPM verwenden ein standardmäßiges JSON-Format, das AWS Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen finden Sie unter [AWS -Security Finding-Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) im *AWS Security Hub -Benutzerhandbuch*.
### Arten von Erkenntnissen, die Patch Manager sendet
Patch Managersendet die Ergebnisse mithilfe des Security [Finding Formats (ASFF) an AWS Security](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) Hub CSPM. In ASFF gibt das `Types`-Feld die Art der Erkenntnis an. Die Ergebnisse von Patch Manager können den folgenden Wert für `Types` haben:
+ Software- und Konfigurationsmanagement Checks/Patch
Patch Manager sendet ein Ergebnis pro nicht konformen verwalteten Knoten. Das Ergebnis wird mit dem Ressourcentyp gemeldet, [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance)sodass die Ergebnisse mit anderen Security Hub CSPM-Integrationen, die Ressourcentypen melden, korreliert werden können. `AwsEc2Instance` Patch Managerleitet ein Ergebnis nur dann an Security Hub CSPM weiter, wenn bei dem Vorgang festgestellt wurde, dass der verwaltete Knoten nicht konform ist. Das Ergebnis enthält die Ergebnisse der Patch-Zusammenfassung.
**Anmerkung**
Nach der Meldung eines nicht konformen Knotens an Security Hub CSPM. Patch Managersendet kein Update an Security Hub CSPM, nachdem der Knoten konform gemacht wurde. Sie können die Ergebnisse in Security Hub CSPM manuell beheben, nachdem die erforderlichen Patches auf den verwalteten Knoten angewendet wurden.
Weitere Informationen zu Compliance-Definitionen finden Sie unter [Statuswerte der Patch-Compliance](patch-manager-compliance-states.md). Weitere Informationen zu `PatchSummary` finden Sie [PatchSummary](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html)in der *AWS Security Hub API-Referenz*.
### Latenz für das Senden von Erkenntnissen
Wenn ein neues Ergebnis Patch Manager erstellt wird, wird es normalerweise innerhalb weniger Sekunden bis 2 Stunden an Security Hub CSPM gesendet. Die Geschwindigkeit hängt vom Verkehr zu diesem Zeitpunkt in der AWS-Region verarbeiteten Verkehr ab.
### Wiederholung, wenn Security Hub CSPM nicht verfügbar ist
Bei einem Dienstausfall wird eine AWS Lambda Funktion ausgeführt, mit der die Nachrichten wieder in die Hauptwarteschlange verschoben werden, nachdem der Dienst wieder ausgeführt wird. Nachdem sich die Nachrichten in der Hauptwarteschlange befinden, erfolgt die Wiederholung automatisch.
Wenn Security Hub CSPM nicht verfügbar ist, Patch Manager versucht es erneut, die Ergebnisse zu senden, bis sie empfangen werden.
### Ergebnisse in Security Hub CSPM anzeigen
In diesem Verfahren wird beschrieben, wie Sie in Security Hub CSPM Ergebnisse zu verwalteten Knoten in Ihrer Flotte einsehen können, die nicht mehr patch-konform sind.
**Um die CSPM-Ergebnisse von Security Hub auf Patch-Konformität zu überprüfen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Security Hub CSPM Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Wählen Sie im Navigationsbereich **Findings** aus.
1. Wählen Sie das Feld **Filter hinzufügen** (![\[The Search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)).
1. Wählen Sie im Menü unter **Filter** die Option **Produktname** aus.
1. Wählen Sie in dem sich öffnenden Dialogfeld im ersten Feld die Option **ist** und geben Sie dann **Systems Manager Patch Manager** im zweiten Feld ein.
1. Wählen Sie **Anwenden** aus.
1. Fügen Sie weitere Filter hinzu, um Ihre Ergebnisse einzugrenzen.
1. Wählen Sie in der Ergebnisliste den Titel eines Erkenntnisses aus, zu dem Sie weitere Informationen wünschen.
Auf der rechten Seite des Bildschirms wird ein Bereich mit weiteren Informationen zur Ressource, dem erkannten Problem und einer empfohlenen Lösung geöffnet.
**Wichtig**
Derzeit meldet Security Hub CSPM den Ressourcentyp aller verwalteten Knoten als. `EC2 Instance` Dazu gehören lokale Server und virtuelle Maschinen (VMs), die Sie für die Verwendung mit Systems Manager registriert haben.
**Schweregradklassifizierungen**
Die Liste der Erkenntnisse für **Systems Manager Patch Manager** enthält einen Bericht über den Schweregrad des Befundes. Zu den **Schweregraden** gehören die folgenden, vom niedrigsten zum höchsten:
+ **INFORMATIV** – Es wurde kein Problem gefunden.
+ **NIEDRIG** — Das Problem muss nicht behoben werden.
+ **MITTEL** – Das Problem muss angegangen werden, aber ist nicht dringend.
+ **HOCH** – Das Problem muss vorrangig behandelt werden.
+ **KRITISCH** – Das Problem muss sofort behoben werden, um eine Eskalation zu vermeiden.
Der Schweregrad wird durch das schwerwiegendste nicht konforme Paket auf einer Instance bestimmt. Da Sie mehrere Patch-Baselines mit verschiedenen Schweregraden haben können, wird der höchste Schweregrad von allen nicht konformen Paketen gemeldet. Nehmen wir zum Beispiel an, Sie haben zwei nicht konforme Pakete, wobei der Schweregrad von Paket A „Kritisch“ und der von Paket B „Gering“ ist. „Kritisch“ wird als Schweregrad angegeben werden.
Beachten Sie, dass das Schweregradfeld direkt mit dem Feld Patch Manager `Compliance` korreliert. Dies ist ein Feld, das Sie einzelnen Patches zuweisen, die der Regel entsprechen. Da dieses `Compliance`-Feld einzelnen Patches zugewiesen ist, wird es nicht auf der Ebene der Patch-Zusammenfassung wiedergegeben.
**Verwandter Inhalt**
+ [Erkenntnisse](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) im *AWS Security Hub -Benutzerhandbuch*
+ [Multi-Account Patch-Compliance mit Patch Manager und Security Hub](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) im *AWS -Management & Governance Blog*
## Typische Erkenntnis von Patch Manager
Patch Managersendet Ergebnisse mithilfe des Security [Finding Formats (ASFF) an AWS Security](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) Hub CSPM.
Hier ist ein Beispiel für ein typisches Ergebnis von Patch Manager.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
"GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"AwsAccountId": "111122223333",
"Types": [
"Software & Configuration Checks/Patch Management/Compliance"
],
"CreatedAt": "2021-11-11T22:05:25Z",
"UpdatedAt": "2021-11-11T22:05:25Z",
"Severity": {
"Label": "INFORMATIONAL",
"Normalized": 0
},
"Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
"Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
"Remediation": {
"Recommendation": {
"Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
"Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
}
},
"SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
"ProductFields": {
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"aws/securityhub/ProductName": "Systems Manager Patch Manager",
"aws/securityhub/CompanyName": "AWS"
},
"Resources": [
{
"Type": "AwsEc2Instance",
"Id": "i-02573cafcfEXAMPLE",
"Partition": "aws",
"Region": "us-east-2"
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"PatchSummary": {
"Id": "pb-0c10e65780EXAMPLE",
"InstalledCount": 45,
"MissingCount": 2,
"FailedCount": 0,
"InstalledOtherCount": 396,
"InstalledRejectedCount": 0,
"InstalledPendingReboot": 0,
"OperationStartTime": "2021-11-11T22:05:06Z",
"OperationEndTime": "2021-11-11T22:05:25Z",
"RebootOption": "NoReboot",
"Operation": "SCAN"
}
}
```
## Aktivieren und Konfigurieren der Integration
Um die Patch Manager Integration mit Security Hub CSPM zu verwenden, müssen Sie Security Hub CSPM aktivieren. *Informationen zum Aktivieren von Security Hub CSPM finden Sie unter [Security Hub CSPM einrichten im Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).AWS Security Hub *
Das folgende Verfahren beschreibt, wie Security Hub CSPM integriert Patch Manager wird, wenn Security Hub CSPM bereits aktiv, aber die Patch Manager Integration ausgeschaltet ist. Sie müssen diesen Vorgang nur abschließen, wenn die Integration manuell deaktiviert wurde.
**Um die CSPM-Integration Patch Manager zur Security Hub hinzuzufügen**
1. Wählen Sie im Navigationsbereich **Patch Manager** aus.
1. Wählen Sie die Registerkarte **Einstellungen**.
–oder–
Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen** und dann die Registerkarte **Einstellungen** aus.
1. **Wählen Sie im Abschnitt **Export to Security Hub CSPM** rechts neben Die **Ergebnisse der Patch-Konformität werden nicht nach Security Hub exportiert die** Option Aktivieren aus.**
## So beenden Sie das Senden von Ergebnissen
Um anzugeben, dass keine Erkenntnisse mehr an Security Hub CSPM gesendet werden, können Sie entweder die Konsole von Security Hub CSPM oder die API verwenden.
Weitere Informationen finden Sie in folgenden Themen im *AWS Security Hub -Benutzerhandbuch*:
+ [Deaktivieren und Aktivieren des Flows von Ergebnissen aus einer Integration (Konsole)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Deaktivierung des Flusses von Erkenntnissen aus einer Integration (Security Hub CSPM API,) AWS CLI](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)