Integración de Patch Manager con AWS Security Hub
AWS Security Hub proporciona una visión completa de su estado de seguridad en AWS. Security Hub recopila datos de seguridad de todas las Cuentas de AWS, los Servicios de AWS y los productos de socios terceros compatibles. Security Hub le permite comprobar su entorno con los estándares y las prácticas recomendadas del sector de la seguridad. Security Hub lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.
Gracias a la integración entre Patch Manager, una capacidad de AWS Systems Manager, y Security Hub, puede enviar los resultados sobre los nodos no conformes de Patch Manager a Security Hub. Un resultado consiste en el registro observable de una comprobación de seguridad o de una detección relacionada con la seguridad. Después, Security Hub puede incluir esos hallazgos relacionados con revisiones en su análisis sobre la posición de seguridad.
La información de los siguientes temas se aplica independientemente del método o el tipo de configuración que utilice para las operaciones de aplicación de revisiones:
-
Una política de revisiones configurada en Quick Setup
-
Una opción de administración de host configurada en Quick Setup
-
Una ventana de mantenimiento para ejecutar una revisión
Scan
o una tareaInstall
-
Una operación Patch Now (Aplicar revisión ahora) bajo demanda
Contenido
Cómo Patch Manager envía los resultados a Security Hub
En Security Hub, los problemas de seguridad se rastrean como resultados. Algunos resultados provienen de problemas detectados por otros Servicios de AWS o por socios terceros. Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Patch Manager es una de las capacidades de Systems Manager que envía los resultados a Security Hub. Después de realizar una operación de aplicación de revisiones mediante la ejecución de un documento de SSM (AWS-RunPatchBaseline
, AWS-RunPatchBaselineAssociation
o AWS-RunPatchBaselineWithHooks
), la información de revisión se envía a Inventory o Compliance, a capacidades de AWS Systems Manager, o a ambas. Después de que Inventory, Compliance o ambos hayan recibido los datos, Patch Manager recibe una notificación. A continuación, Patch Manager evalúa los datos para comprobar la precisión, el formato y la conformidad. Si se cumplen todas las condiciones, Patch Manager reenvía los datos a Security Hub.
Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Para obtener más información, consulte Visualización de resultados en la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener más información, consulte Adopción de medidas en función de los resultados en la Guía del usuario de AWS Security Hub.
Todos los resultados en Security Hub usan un formato JSON estándar denominado AWS Security Finding Format (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub.
Tipos de resultados que envía Patch Manager
Patch Manager envía los resultados a Security Hub mediante AWS Security Finding Format (ASFF). En ASFF, el campo Types
proporciona el tipo de resultado. Los resultados de Patch Manager tienen el siguiente valor para Types
:
-
Verificaciones de software y configuración/Administración de revisiones
Patch Manager envía una búsqueda por nodo administrado no conforme. El resultado se notifica con el tipo de recurso de AwsEc2Instance
para que los resultados puedan relacionarse con otras integraciones de Security Hub que notifican tipos de recursos de AwsEc2Instance
. Patch Manager solo envía un resultado a Security Hub si la operación detectó que el nodo administrado no era conforme. El resultado incluye los datos del resumen de revisiones.
nota
Tras informar de un nodo no conforme a Security Hub, Patch Manager no envía una actualización a Security Hub cuando el nodo cumple con las normas. Puede resolver manualmente los resultados en Security Hub una vez que se hayan aplicado las revisiones necesarias al nodo administrado.
Para obtener más información acerca de las definiciones de conformidad, consulte Valores de estado de conformidad de las revisiones. Para obtener más información acerca de PatchSummary
, consulte PatchSummary en la Referencia de la API de AWS Security Hub.
Latencia para el envío de resultados
Cuando Patch Manager crea un nuevo resultado, por lo general, se envía a Security Hub en un plazo de entre unos pocos segundos y 2 horas. La velocidad varía en función del tráfico de la Región de AWS que se esté procesando en ese momento.
Reintento cuando Security Hub no está disponible
Si hay una interrupción del servicio, se ejecuta una función de AWS Lambda para devolver los mensajes a la cola principal una vez que el servicio vuelve a funcionar. Una vez que los mensajes se encuentran en la cola principal, la acción de reintentar es automática.
Si Security Hub no está disponible, Patch Manager reintenta enviar los resultados hasta que se reciban.
Visualización de resultados de en Security Hub
Este procedimiento describe cómo ver en Security Hub los resultados sobre los nodos administrados de su flota no conformes con las revisiones.
Revision de los resultados de Security Hub con el objetivo de comprobar el cumplimiento de las revisiones
Inicie sesión en la AWS Management Console y abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/
. -
En el panel de navegación, seleccione Findings (Resultados).
-
Seleccione la casilla Agregar filtros ( ).
-
En el menú, en Filtros, seleccione Nombre del producto.
-
En el cuadro de diálogo que se abre, elija es en el primer campo y, a continuación, introduzca
Systems Manager Patch Manager
en el segundo campo. -
Seleccione Apply.
-
Agregue los filtros adicionales que desee para reducir los resultados.
-
En la lista de resultados, elija el título de un resultado sobre el que desee obtener más información.
Se abre un panel en la parte derecha de la pantalla con más detalles sobre el recurso, el problema descubierto y una solución recomendada.
importante
En este momento, Security Hub informa que el tipo de recurso de todos los nodos administrados es
EC2 Instance
. Esto incluye servidores en las instalaciones y las máquinas virtuales (VM) que haya registrado para utilizarlas con Systems Manager.
Clasificaciones de gravedad
La lista de resultados para Systems Manager Patch
Manager
, incluye un informe sobre la gravedad del resultado. Los niveles de gravedad incluyen los siguientes, de el más bajo al más alto:
-
INFORMATIVO: no se encontró ningún problema.
-
BAJO: el problema no requiere solución.
-
MEDIO: el problema debe abordarse, pero no es urgente.
-
ALTO: el problema debe abordarse con prioridad.
-
CRÍTICO: el problema debe solucionarse de inmediato para evitar una escalada.
La gravedad se determina según el paquete de incumplimiento más severo de una instancia. Como puede tener varios líneas de base de revisiones con varios niveles de gravedad, se indica el nivel de severidad más alto de todos los paquetes no conformes. Por ejemplo, supongamos que tiene dos paquetes no conformes en los que la gravedad del paquete A es “crítica” y la del paquete B es “baja”. La gravedad se indicará como “crítica”.
Tenga en cuenta que el campo de gravedad se correlaciona directamente con el campo Patch Manager Compliance
. Se trata de un campo que puede configurar para asignar a las revisiones individuales que coincidan con la regla. Como este campo Compliance
está asignado a revisiones individuales, no se refleja en el nivel de resumen de revisiones.
Contenido relacionado
-
Resultados en la Guía del usuario de AWS Security Hub
-
Cumplimiento de las revisiones multicuenta con Patch Manager y Security Hub
en el blog de administración y gobernanza de AWS
Resultado típico de Patch Manager
Patch Manager envía los resultados a Security Hub mediante AWS Security Finding Format (ASFF).
Aquí hay un ejemplo de un hallazgo típico de Patch Manager.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2021-11-11T22:05:25Z", "UpdatedAt": "2021-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-2" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-0c10e65780EXAMPLE", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2021-11-11T22:05:06Z", "OperationEndTime": "2021-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }
Activación y configuración de la integración
Para utilizar la integración de Patch Manager a Security Hub, debe activar Security Hub. Para obtener información acerca de cómo activar Security Hub, consulte la Configuración de Security Hub en la Guía del usuario de AWS Security Hub.
En el siguiente procedimiento, se describe cómo integrar Patch Manager y Security Hub cuando Security Hub ya está activo pero la integración de Patch Manager se encuentra desactivada. Solo es necesario completar este procedimiento si la integración se desactivó de forma manual.
Para agregar Patch Manager a la integración de Security Hub
En el panel de navegación, elija Patch Manager.
-
Elija la pestaña Settings.
-o bien-
Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione Comience por la información general, y luego la pestaña Configuración.
-
En la sección Export to Security Hub (Exportar a Security Hub), situada a la derecha de Patch compliance findings aren't being exported to Security Hub (Los resultados de conformidad de revisiones no se exportan a Security Hub), elija Enable (Habilitar).
Cómo dejar de enviar resultados
Para dejar de enviar resultados a Security Hub, puede usar la consola de Security Hub o la API.
Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS Security Hub:
-
Disabling and enabling the flow of findings from an integration (console) (Desactivación y habilitación del flujo de resultados desde una integración [consola])
-
Desactivación del flujo de hallazgos desde una integración (API de Security Hub, AWS CLI)