Integration von Patch Manager in AWS Security Hub - AWS Systems Manager
So sendet Patch Manager Erkenntnisse an Security HubTypische Erkenntnis von Patch ManagerAktivieren und Konfigurieren der IntegrationSo beenden Sie das Senden von Ergebnissen

Integration von Patch Manager in AWS Security Hub

AWS Security Hub bietet einen umfassenden Überblick über Ihren Sicherheitsstatus innerhalb von AWS. Security Hub sammelt Sicherheitsdaten aus Ihren gesamten AWS-Konten, AWS-Services und unterstützten Produkten von Drittanbietern. Mit Security Hub können Sie sich Ihren Sicherheitsstatus ansehen und Ihre Umgebung anhand der Standards und bewährten Methoden der Sicherheitsbranche überprüfen. Security Hub hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit höchster Priorität zu identifizieren.

Indem Sie die Integration zwischen Patch Manager, einem Tool in AWS Systems Manager, und Security Hub verwenden, können Sie Erkenntnisse über nicht-konforme Knoten von Patch Manager an Security Hub senden. Ein Ergebnis ist der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub kann diese Patch-bezogenen Ergebnisse dann in die Analyse Ihres Sicherheitsstatus einbeziehen.

Die Informationen in den folgenden Themen gelten unabhängig davon, welche Methode oder Art der Konfiguration Sie für Ihre Patching-Vorgänge verwenden:

  • Eine in Quick Setup konfigurierte Patch-Richtlinie

  • Eine in Quick Setup konfigurierte Host-Management-Option

  • Ein Wartungsfenster zum Ausführen eines Patch-Scan oder einer Install-Aufgabe

  • Eine On-Demand Patch now-Operation (Jetzt patchen)

So sendet Patch Manager Erkenntnisse an Security Hub

Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen von Problemen, die von anderen AWS-Services oder von Drittanbietern entdeckt wurden. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.

Patch Manager ist eines der Systems-Manager-Tools, das Ergebnisse an den Security Hub sendet. Nachdem Sie einen Patching-Vorgang durchgeführt haben, indem Sie ein SSM-Dokument (AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation oder AWS-RunPatchBaselineWithHooks) ausgeführt haben, werden die Patching-Informationen an Inventory oder Compliance, Tools in AWS Systems Manager, oder beide gesendet. Nachdem Inventory, Compliance oder beide die Daten erhalten haben, erhält Patch Manager eine Benachrichtigung. Dann wertet Patch Manager die Daten auf Genauigkeit, Formatierung und Compliance aus. Wenn alle Bedingungen erfüllt sind, leitet Patch Manager die Daten an den Security Hub weiter.

Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub-Benutzerhandbuch. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub-Benutzerhandbuch.

Alle Funde in Security Hub verwenden ein Standard-JSON-Format, das so genannte AWS-Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen finden Sie unter AWS-Security Finding-Format (ASFF) im AWS Security Hub-Benutzerhandbuch.

Arten von Erkenntnissen, die Patch Manager sendet

Patch Manager sendet die Ergebnisse unter Verwendung des AWSSecurity Finding Format (ASFF) an Security Hub. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Die Ergebnisse von Patch Manager können den folgenden Wert für Types haben:

  • Software- und Konfigurationsprüfungen/Patchverwaltung

Patch Manager sendet ein Ergebnis pro nicht konformen verwalteten Knoten. Das Ergebnis wird mit dem Ressourcentyp AwsEc2Instance gemeldet, damit die Ergebnisse mit anderen Security-Hub-Integrationen korreliert werden können, die AwsEc2Instance-Ressourcentypen melden. Patch Manager leitet ein Ergebnis nur dann an den Security Hub weiter, wenn die Operation festgestellt hat, dass der verwaltete Knoten nicht konform ist. Das Ergebnis enthält die Ergebnisse der Patch-Zusammenfassung.

Anmerkung

Nach dem Melden eines nicht konformen Knotens an Security Hub. Patch Manager sendet kein Update an Security Hub, nachdem der Knoten konform gemacht wurde. Sie können die Ergebnisse in Security Hub manuell beheben, nachdem die erforderlichen Patches auf den verwalteten Knoten angewendet wurden.

Weitere Informationen zu Compliance-Definitionen finden Sie unter Statuswerte der Patch-Compliance. Weitere Informationen zu PatchSummary finden Sie unter PatchSummary in der AWS Security Hub-API-Referenz.

Latenz für das Senden von Erkenntnissen

Wenn Patch Manager ein neues Ergebnis erstellt, wird es normalerweise innerhalb von wenigen Sekunden bis 2 Stunden an den Security Hub gesendet. Die Geschwindigkeit hängt vom Verkehr zu diesem Zeitpunkt in der AWS-Region verarbeiteten Verkehr ab.

Wiederholen, wenn Security Hub nicht verfügbar ist

Wenn ein Serviceausfall vorliegt, wird eine AWS Lambda-Funktion ausgeführt, um die Nachrichten wieder in die Hauptwarteschlange zu setzen, wenn der Service wieder läuft. Nachdem sich die Nachrichten in der Hauptwarteschlange befinden, erfolgt die Wiederholung automatisch.

Wenn der Security Hub nicht verfügbar ist, versucht Patch Manager so lange erneut, die Ergebnisse zu senden, bis sie empfangen wurden.

Anzeigen von Ergebnissen im Security Hub

In diesem Verfahren wird beschrieben, wie Sie in Security Hub Erkenntnisse über verwaltete Knoten in Ihrer Flotte anzeigen können, bei denen die Patch-Konformität nicht gegeben ist.

Um die Ergebnisse von Security Hub auf Patch-Konformität zu überprüfen

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Security Hub-Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im Navigationsbereich Findings aus.

  3. Wählen Sie das Feld Filter hinzufügen ( The Search icon ).

  4. Wählen Sie im Menü unter Filter die Option Produktname aus.

  5. Wählen Sie in dem sich öffnenden Dialogfeld im ersten Feld die Option ist und geben Sie dann Systems Manager Patch Manager im zweiten Feld ein.

  6. Wählen Sie Anwenden aus.

  7. Fügen Sie weitere Filter hinzu, um Ihre Ergebnisse einzugrenzen.

  8. Wählen Sie in der Ergebnisliste den Titel eines Erkenntnisses aus, zu dem Sie weitere Informationen wünschen.

    Auf der rechten Seite des Bildschirms wird ein Bereich mit weiteren Informationen zur Ressource, dem erkannten Problem und einer empfohlenen Lösung geöffnet.

    Wichtig

    Derzeit meldet Security Hub den Ressourcentyp aller verwalteten Knoten als EC2 Instance. Dazu gehören On-Premises-Server und virtuelle Maschinen (VMs), die Sie für die Verwendung mit Systems Manager registriert haben.

Schweregradklassifizierungen

Die Liste der Erkenntnisse für Systems Manager Patch Manager enthält einen Bericht über den Schweregrad des Befundes. Zu den Schweregraden gehören die folgenden, vom niedrigsten zum höchsten:

  • INFORMATIV – Es wurde kein Problem gefunden.

  • NIEDRIG — Das Problem muss nicht behoben werden.

  • MITTEL – Das Problem muss angegangen werden, aber ist nicht dringend.

  • HOCH – Das Problem muss vorrangig behandelt werden.

  • KRITISCH – Das Problem muss sofort behoben werden, um eine Eskalation zu vermeiden.

Der Schweregrad wird durch das schwerwiegendste nicht konforme Paket auf einer Instance bestimmt. Da Sie mehrere Patch-Baselines mit verschiedenen Schweregraden haben können, wird der höchste Schweregrad von allen nicht konformen Paketen gemeldet. Nehmen wir zum Beispiel an, Sie haben zwei nicht konforme Pakete, wobei der Schweregrad von Paket A „Kritisch“ und der von Paket B „Gering“ ist. „Kritisch“ wird als Schweregrad angegeben werden.

Beachten Sie, dass das Schweregradfeld direkt mit dem Feld Patch Manager Compliance korreliert. Dies ist ein Feld, das Sie einzelnen Patches zuweisen, die der Regel entsprechen. Da dieses Compliance-Feld einzelnen Patches zugewiesen ist, wird es nicht auf der Ebene der Patch-Zusammenfassung wiedergegeben.

Verwandter Inhalt

Typische Erkenntnis von Patch Manager

Patch Manager sendet Ergebnisse unter Verwendung des AWSSecurity Finding Format (ASFF) an Security Hub.

Hier ist ein Beispiel für ein typisches Ergebnis von Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Aktivieren und Konfigurieren der Integration

Um die Patch Manager Integration mit Security Hub verwenden zu können, müssen Sie den Security Hub aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Einrichten von Security Hub im AWS Security Hub-Benutzerhandbuch.

Im folgenden Verfahren wird beschrieben, wie Sie Patch Manager und Security Hub integrieren, wenn Security Hub bereits aktiv ist, die Patch Manager-Integration aber deaktiviert ist. Sie müssen diesen Vorgang nur abschließen, wenn die Integration manuell deaktiviert wurde.

So fügen Sie Patch Manager der Security Hub-Integration hinzu

  1. Wählen Sie im Navigationsbereich Patch Manager aus.

  2. Wählen Sie die Registerkarte Einstellungen.

    –oder–

    Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie Mit einer Übersicht beginnen und dann die Registerkarte Einstellungen aus.

  3. Wählen Sie im Abschnitt Exportieren in Security Hub rechts neben Patch-Compliance-Ergebnisse werden nicht in den Security Hub exportiert Aktivieren aus.

So beenden Sie das Senden von Ergebnissen

Um keine Ergebnisse mehr an Security Hub zu senden, können Sie entweder die Security Hub-Konsole oder die API verwenden.

Weitere Informationen finden Sie in folgenden Themen im AWS Security Hub-Benutzerhandbuch: