Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Integration Patch Manager mit AWS Security Hub
AWS Security Hubbietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Security Hub sammelt Sicherheitsdaten von verschiedenen AWS-Konten und unterstützten Partnerprodukten von Drittanbietern. AWS-Services Mit Security Hub können Sie sich Ihren Sicherheitsstatus ansehen und Ihre Umgebung anhand der Standards und bewährten Methoden der Sicherheitsbranche überprüfen. Security Hub hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit höchster Priorität zu identifizieren.
Durch die Nutzung der Integration zwischen Patch Manager, ein Tool in AWS Systems Manager, und Security Hub, Sie können Erkenntnisse über nicht konforme Knoten senden von Patch Manager zum Security Hub. Ein Ergebnis ist der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub kann diese Patch-bezogenen Ergebnisse dann in die Analyse Ihres Sicherheitsstatus einbeziehen.
Die Informationen in den folgenden Themen gelten unabhängig davon, welche Methode oder Art der Konfiguration Sie für Ihre Patching-Vorgänge verwenden:
-
Eine Patch-Richtlinie, die konfiguriert ist in Quick Setup
-
Eine Hostverwaltungsoption, konfiguriert in Quick Setup
-
Ein Wartungsfenster zum Ausführen eines Patch-
Scanoder einerInstall-Aufgabe -
Ein On-Demand-Jetzt patchen-Vorgang
Inhalt
Wie Patch Manager sendet Ergebnisse an Security Hub
Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS-Services oder von Drittanbietern entdeckt wurden. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.
Patch Manager ist eines der Systems Manager Manager-Tools, das Ergebnisse an Security Hub sendet. Nachdem Sie einen Patch-Vorgang durchgeführt haben, indem Sie ein SSM-Dokument (AWS-RunPatchBaseline,AWS-RunPatchBaselineAssociation, oderAWS-RunPatchBaselineWithHooks) ausführen, werden die Patching-Informationen an Inventory oder Compliance, Tools in AWS Systems Manager oder an beide gesendet. Nachdem Inventory, Compliance oder beide die Daten erhalten haben, Patch Manager erhält eine Benachrichtigung. Dann Patch Manager bewertet die Daten auf Richtigkeit, Formatierung und Konformität. Wenn alle Bedingungen erfüllt sind, Patch Manager leitet die Daten an Security Hub weiter.
Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub -Benutzerhandbuch. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub -Benutzerhandbuch.
Alle Ergebnisse in Security Hub verwenden ein standardmäßiges JSON-Format, das AWS Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen finden Sie unter AWS -Security Finding-Format (ASFF) im AWS Security Hub -Benutzerhandbuch.
Arten von Ergebnissen, die Patch Manager sendet
Patch Manager sendet die Ergebnisse mithilfe des AWS Security Finding Formats (ASFF) an Security Hub. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Ergebnisse von Patch Manager haben den folgenden Wert fürTypes:
-
Software- und Konfigurationsprüfungen/Patchverwaltung
Patch Manager sendet einen Befund pro nicht konformem verwalteten Knoten. Das Ergebnis wird mit dem Ressourcentyp gemeldet, AwsEc2Instancesodass die Ergebnisse mit anderen Security Hub Hub-Integrationen, die AwsEc2Instance Ressourcentypen melden, korreliert werden können. Patch Manager leitet ein Ergebnis nur dann an Security Hub weiter, wenn bei dem Vorgang festgestellt wurde, dass der verwaltete Knoten nicht konform ist. Das Ergebnis enthält die Ergebnisse der Patch-Zusammenfassung.
Anmerkung
Nach dem Melden eines nicht konformen Knotens an Security Hub. Patch Manager sendet kein Update an Security Hub, nachdem der Knoten konform gemacht wurde. Sie können die Ergebnisse in Security Hub manuell beheben, nachdem die erforderlichen Patches auf den verwalteten Knoten angewendet wurden.
Weitere Informationen zu Compliance-Definitionen finden Sie unter Statuswerte der Patch-Compliance. Weitere Informationen zu PatchSummary finden Sie PatchSummaryin der AWS Security Hub API-Referenz.
Latenz für das Senden von Erkenntnissen
Wann Patch Manager erstellt ein neues Ergebnis, das normalerweise innerhalb weniger Sekunden bis 2 Stunden an Security Hub gesendet wird. Die Geschwindigkeit hängt vom Verkehr zu diesem Zeitpunkt in der AWS-Region verarbeiteten Verkehr ab.
Wiederholen, wenn Security Hub nicht verfügbar ist
Bei einem Dienstausfall wird eine AWS Lambda Funktion ausgeführt, mit der die Nachrichten wieder in die Hauptwarteschlange verschoben werden, nachdem der Dienst wieder ausgeführt wird. Nachdem sich die Nachrichten in der Hauptwarteschlange befinden, erfolgt die Wiederholung automatisch.
Wenn Security Hub nicht verfügbar ist, Patch Manager versucht erneut, die Ergebnisse zu senden, bis sie eingegangen sind.
Anzeigen von Ergebnissen im Security Hub
In diesem Verfahren wird beschrieben, wie Sie in Security Hub Erkenntnisse über verwaltete Knoten in Ihrer Flotte anzeigen können, bei denen die Patch-Konformität nicht gegeben ist.
Um die Ergebnisse von Security Hub auf Patch-Konformität zu überprüfen
Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/
. -
Wählen Sie im Navigationsbereich Findings aus.
-
Wählen Sie das Feld Filter hinzufügen (
). -
Wählen Sie im Menü unter Filter die Option Produktname aus.
-
Wählen Sie in dem sich öffnenden Dialogfeld im ersten Feld die Option ist und geben Sie dann
Systems Manager Patch Managerim zweiten Feld ein. -
Wählen Sie Anwenden aus.
-
Fügen Sie weitere Filter hinzu, um Ihre Ergebnisse einzugrenzen.
-
Wählen Sie in der Ergebnisliste den Titel eines Erkenntnisses aus, zu dem Sie weitere Informationen wünschen.
Auf der rechten Seite des Bildschirms wird ein Bereich mit weiteren Informationen zur Ressource, dem erkannten Problem und einer empfohlenen Lösung geöffnet.
Wichtig
Derzeit meldet Security Hub den Ressourcentyp aller verwalteten Knoten als
EC2 Instance. Dazu gehören lokale Server und virtuelle Maschinen (VMs), die Sie für die Verwendung mit Systems Manager registriert haben.
Schweregradklassifizierungen
Die Liste der Erkenntnisse für Systems Manager Patch
Manager enthält einen Bericht über den Schweregrad des Befundes. Zu den Schweregraden gehören die folgenden, vom niedrigsten zum höchsten:
-
INFORMATIV – Es wurde kein Problem gefunden.
-
NIEDRIG — Das Problem muss nicht behoben werden.
-
MITTEL – Das Problem muss angegangen werden, aber ist nicht dringend.
-
HOCH – Das Problem muss vorrangig behandelt werden.
-
KRITISCH – Das Problem muss sofort behoben werden, um eine Eskalation zu vermeiden.
Der Schweregrad wird durch das schwerwiegendste nicht konforme Paket auf einer Instance bestimmt. Da Sie mehrere Patch-Baselines mit verschiedenen Schweregraden haben können, wird der höchste Schweregrad von allen nicht konformen Paketen gemeldet. Nehmen wir zum Beispiel an, Sie haben zwei nicht konforme Pakete, wobei der Schweregrad von Paket A „Kritisch“ und der von Paket B „Gering“ ist. „Kritisch“ wird als Schweregrad angegeben werden.
Beachten Sie, dass das Schweregradfeld direkt korreliert mit Patch Manager ComplianceFeld. Dies ist ein Feld, das Sie einzelnen Patches zuweisen, die der Regel entsprechen. Da dieses Compliance-Feld einzelnen Patches zugewiesen ist, wird es nicht auf der Ebene der Patch-Zusammenfassung wiedergegeben.
Verwandter Inhalt
-
Erkenntnisse im AWS Security Hub -Benutzerhandbuch
-
Einhaltung von Patches für mehrere Konten Patch Manager und Security Hub
im AWS Management & Governance-Blog
Typischer Befund von Patch Manager
Patch Manager sendet Ergebnisse mithilfe des AWS Security Finding Formats (ASFF) an Security Hub.
Hier ist ein Beispiel für ein typisches Ergebnis von Patch Manager.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2021-11-11T22:05:25Z", "UpdatedAt": "2021-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-2" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-0c10e65780EXAMPLE", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2021-11-11T22:05:06Z", "OperationEndTime": "2021-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }
Aktivieren und Konfigurieren der Integration
Um das Patch Manager Für die Integration mit Security Hub müssen Sie Security Hub aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Einrichten von Security Hub im AWS Security Hub -Benutzerhandbuch.
Das folgende Verfahren beschreibt die Integration Patch Manager und Security Hub, wenn Security Hub bereits aktiv ist, aber Patch Manager Die Integration ist ausgeschaltet. Sie müssen diesen Vorgang nur abschließen, wenn die Integration manuell deaktiviert wurde.
Um hinzuzufügen Patch Manager zur Security Hub Hub-Integration
Wählen Sie im Navigationsbereich Patch Manager.
-
Wählen Sie die Registerkarte Einstellungen.
–oder–
Wenn Sie darauf zugreifen Patch Manager Wählen Sie zum ersten Mal in der aktuellen AWS-Region Version „Mit einer Übersicht beginnen“ und anschließend die Registerkarte „Einstellungen“.
-
Wählen Sie im Abschnitt Exportieren in Security Hub rechts neben Patch-Compliance-Ergebnisse werden nicht in den Security Hub exportiert Aktivieren aus.
So beenden Sie das Senden von Ergebnissen
Um keine Ergebnisse mehr an Security Hub zu senden, können Sie entweder die Security Hub-Konsole oder die API verwenden.
Weitere Informationen finden Sie in folgenden Themen im AWS Security Hub -Benutzerhandbuch:
