Generación de informes de conformidad de parches en formato .csv - AWS Systems Manager
¿Qué incluye un informe de conformidad de parches generado?Generación de informes de conformidad de revisiones para un único nodo administradoGeneración de informes de conformidad de revisiones para todos los nodos administradosVisualización del historial de informes de conformidad de parchesVisualización de la programación de generación de informes de conformidad de parchesSolución de problemas relacionados con la generación de informes de conformidad de parches

Generación de informes de conformidad de parches en formato .csv

Puede utilizar la consola de AWS Systems Manager para generar informes de conformidad de parches que se guardan como un archivo .csv en un bucket de Amazon Simple Storage Service (Amazon S3) de su elección. Puede generar un informe único bajo demanda o especificar una programación para generar los informes de forma automática.

Los informes se pueden generar para un único nodo administrado o para todos los nodos administrados de la selección de Cuenta de AWS y Región de AWS. En el caso de un único nodo, un informe presenta detalles completos, incluidos los ID de las revisiones relacionadas con un nodo que no es conforme. En el caso de un informe sobre todos los nodos administrados, solo se proporciona información de resumen y recuentos de las revisiones de los nodos no conformes.

Una vez generado un informe, puede utilizar una herramienta como Amazon QuickSight para importar y analizar los datos. Amazon QuickSight es un servicio de inteligencia empresarial (BI) que se puede utilizar para explorar e interpretar la información en un entorno visual interactivo. Para obtener más información, consulte la Guía del usuario de Amazon QuickSight.

nota

Cuando crea una línea de base de revisiones personalizada, puede especificar un nivel de gravedad de conformidad para las revisiones aprobadas por esa línea de base de revisiones, como Critical o High. Si se informa del estado de cualquier revisión aprobada como Missing, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que haya especificado.

También puede especificar un tema de Amazon Simple Notification Service (Amazon SNS) que se utilizará para enviar notificaciones cuando se genera un informe.

Roles de servicio para la generación de informes de conformidad de parches

La primera vez que se genera un informe, Systems Manager crea un rol de asunción de Automation denominado AWS-SystemsManager-PatchSummaryExportRole para utilizarlo en el proceso de exportación a S3.

nota

Si va a exportar datos de conformidad a un bucket de S3 cifrado, debe actualizar su política de claves de AWS KMS asociada para proporcionar los permisos necesarios para AWS-SystemsManager-PatchSummaryExportRole. Por ejemplo, agregue un permiso similar a este a la política AWS KMS del bucket de S3:

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}

Reemplace role-arn por el nombre de recurso de Amazon (ARN) del creado en su cuenta, en el formato arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Para obtener más información, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

La primera vez que se genera un informe en una programación, Systems Manager crea otro rol de servicio denominado AWS-EventBridge-Start-SSMAutomationRole, así como el rol de servicio AWS-SystemsManager-PatchSummaryExportRole (en caso de no haberse creado ya) para utilizarlo en el proceso de exportación. AWS-EventBridge-Start-SSMAutomationRole permite que Amazon EventBridge inicie una automatización mediante el manual de procedimientos AWS-ExportPatchReportToS3.

Se recomienda no intentar modificar estas políticas y roles. En caso de hacerlo, podría producirse un error al generar el informe de conformidad de parches. Para obtener más información, consulte Solución de problemas relacionados con la generación de informes de conformidad de parches.

¿Qué incluye un informe de conformidad de parches generado?

Este tema proporciona información acerca de los tipos de contenido incluidos en los informes de conformidad de parches que se generan y descargan en un bucket de S3 especificado.

Un informe generado para un único nodo administrado proporciona información de resumen y detallada.

Descargar un ejemplo de informe (único nodo)

La información de resumen de un único nodo administrado incluye lo siguiente:

  • Índice

  • ID de instancia

  • Nombre de instancia

  • IP de la instancia

  • nombre de la plataforma

  • Versión de la plataforma

  • Versión de SSM Agent

  • Línea de base de revisiones

  • grupo de parches

  • Compliance status (Estado de conformidad)

  • severidad de la conformidad

  • recuento de parches de severidad crítica no conformes

  • recuento de parches de severidad alta no conformes

  • recuento de parches de severidad media no conformes

  • recuento de parches de severidad baja no conformes

  • recuento de parches de severidad informativa no conformes

  • recuento de parches de severidad sin especificar no conformes

La información detallada de un único nodo administrado incluye lo siguiente:

  • Índice

  • ID de instancia

  • Nombre de instancia

  • nombre del parche

  • ID de KB o ID de parche

  • estado del parche

  • hora del último informe

  • nivel de conformidad

  • gravedad del parche

  • clasificación del parche

  • ID de CVE

  • Línea de base de revisiones

  • URL de registros

  • IP de la instancia

  • nombre de la plataforma

  • Versión de la plataforma

  • Versión de SSM Agent

nota

Cuando crea una línea de base de revisiones personalizada, puede especificar un nivel de gravedad de conformidad para las revisiones aprobadas por esa línea de base de revisiones, como Critical o High. Si se informa del estado de cualquier revisión aprobada como Missing, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que haya especificado.

Un informe generado para todos los nodos administrados proporciona únicamente información de resumen.

Descargar un informe de ejemplo (todos los nodos administrados)

La información de resumen de todos los nodos administrados incluye lo siguiente:

  • Índice

  • ID de instancia

  • Nombre de instancia

  • IP de la instancia

  • nombre de la plataforma

  • Versión de la plataforma

  • Versión de SSM Agent

  • Línea de base de revisiones

  • grupo de parches

  • Compliance status (Estado de conformidad)

  • severidad de la conformidad

  • recuento de parches de severidad crítica no conformes

  • recuento de parches de severidad alta no conformes

  • recuento de parches de severidad media no conformes

  • recuento de parches de severidad baja no conformes

  • recuento de parches de severidad informativa no conformes

  • recuento de parches de severidad sin especificar no conformes

Generación de informes de conformidad de revisiones para un único nodo administrado

Utilice el siguiente procedimiento para generar un informe de resumen de revisiones para un único nodo administrado en la Cuenta de AWS. El informe para un único nodo administrado proporciona detalles sobre cada revisión que no está en conformidad, incluidos los nombres e ID de las revisiones.

Para generar informes de conformidad de revisiones para un único nodo administrado

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Patch Manager.

  3. Elija la pestaña Compliance reporting (Informes de conformidad).

  4. Elija el botón de la fila del nodo administrado para el que desea generar un informe y, a continuación, elija View detail (Ver detalle).

  5. En la sección Patch summary (Resumen de revisiones), elija Export to S3 (Exportar a S3).

  6. En Report name (Nombre del informe), ingrese un nombre que le permita identificar el informe más adelante.

  7. En Reporting frequency (Frecuencia de la generación de informes), elija una de las siguientes opciones:

    • On demand (Bajo demanda): cree un informe único Vaya al paso 9.

    • On a schedule (Programación): especifique una programación periódica para la generación automática de informes. Continúe con el paso 8.

  8. En Schedule type (Tipo de programación), especifique una expresión rate, por ejemplo, cada 3 días, o proporcione una expresión cron que configure la frecuencia del informe.

    Para obtener más información acerca de las expresiones cron, consulte Referencia: expresiones cron y rate para Systems Manager.

  9. En Bucket name (Nombre del bucket), seleccione el nombre de un bucket de S3 en el que desee almacenar los archivos de informe .csv.

    importante

    Si trabaja en una Región de AWS que se lanzó después del 20 de marzo de 2019, deberá seleccionar un bucket de S3 en la misma región. Las regiones lanzadas después de esa fecha se desactivaron de forma predeterminada. Para obtener más información sobre estas regiones y una lista de ellas, consulte Enabling a Region en la Referencia general de Amazon Web Services.

  10. (Opcional) Para enviar notificaciones cuando se genere el informe, expanda la sección SNS topic (Tema de SNS) y, a continuación, elija un tema de Amazon SNS existente desde SNS topic Amazon Resource Name (ARN) (Nombre de recurso de Amazon (ARN) del tema de SNS).

  11. Seleccione Enviar.

Para obtener información acerca de cómo ver un historial de informes generados, consulte Visualización del historial de informes de conformidad de parches.

Para obtener información acerca de cómo ver los detalles de las programaciones de generación de informes que ha creado, consulte Visualización de la programación de generación de informes de conformidad de parches.

Generación de informes de conformidad de revisiones para todos los nodos administrados

Utilice el siguiente procedimiento para generar un informe de resumen de revisiones para todos los nodos administrados en la Cuenta de AWS. El informe de todos los nodos administrados muestra cuáles son los nodos y los números de las revisiones que no están en conformidad. No proporciona los nombres ni otros identificadores de los parches. Para obtener estos detalles adicionales, puede generar un informe de conformidad de revisiones para un único nodo administrado. Para obtener información, consulte la sección Generación de informes de conformidad de revisiones para un único nodo administrado que se ha expuesto anteriormente en este tema.

Para generar informes de conformidad de revisiones para todos los nodos administrados

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Patch Manager.

  3. Elija la pestaña Compliance reporting (Informes de conformidad).

  4. Elija Export to S3 (Exportar a S3). (No seleccione primero un ID de nodo).

  5. En Report name (Nombre del informe), ingrese un nombre que le permita identificar el informe más adelante.

  6. En Reporting frequency (Frecuencia de la generación de informes), elija una de las siguientes opciones:

    • On demand (Bajo demanda): cree un informe único Vaya al paso 8.

    • On a schedule (Programación): especifique una programación periódica para la generación automática de informes. Continúe en el paso 7.

  7. En Schedule type (Tipo de programación), especifique una expresión rate, por ejemplo, cada 3 días, o proporcione una expresión cron que configure la frecuencia del informe.

    Para obtener más información acerca de las expresiones cron, consulte Referencia: expresiones cron y rate para Systems Manager.

  8. En Bucket name (Nombre del bucket), seleccione el nombre de un bucket de S3 en el que desee almacenar los archivos de informe .csv.

    importante

    Si trabaja en una Región de AWS que se lanzó después del 20 de marzo de 2019, deberá seleccionar un bucket de S3 en la misma región. Las regiones lanzadas después de esa fecha se desactivaron de forma predeterminada. Para obtener más información sobre estas regiones y una lista de ellas, consulte Enabling a Region en la Referencia general de Amazon Web Services.

  9. (Opcional) Para enviar notificaciones cuando se genere el informe, expanda la sección SNS topic (Tema de SNS) y, a continuación, elija un tema de Amazon SNS existente desde SNS topic Amazon Resource Name (ARN) (Nombre de recurso de Amazon (ARN) del tema de SNS).

  10. Seleccione Enviar.

Para obtener información acerca de cómo ver un historial de informes generados, consulte Visualización del historial de informes de conformidad de parches.

Para obtener información acerca de cómo ver los detalles de las programaciones de generación de informes que ha creado, consulte Visualización de la programación de generación de informes de conformidad de parches.

Visualización del historial de informes de conformidad de parches

Utilice la información de este tema para que pueda ver los detalles acerca de los informes de conformidad de parches generados en su Cuenta de AWS.

Para ver el historial de informes de conformidad de parches

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Patch Manager.

  3. Elija la pestaña Compliance reporting (Informes de conformidad).

  4. Elija View all S3 exports (Ver todas las exportaciones de S3) y, a continuación, elija la pestaña Export history (Historial de exportación).

Visualización de la programación de generación de informes de conformidad de parches

Utilice la información de este tema para que pueda ver los detalles acerca de las programaciones de generación de informes de conformidad de parches que ha creado en su Cuenta de AWS.

Para ver el historial de informes de conformidad de parches

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Patch Manager.

  3. Elija la pestaña Compliance reporting (Informes de conformidad).

  4. Elija View all S3 exports (Ver todas las exportaciones de S3) y, a continuación, elija la pestaña Report scheduled rules (Informar reglas programadas).

Solución de problemas relacionados con la generación de informes de conformidad de parches

Utilice la siguiente información que lo ayudará a solucionar problemas con la generación de informes de conformidad de parches en Patch Manager, una capacidad de AWS Systems Manager.

Un mensaje notifica que la política AWS-SystemsManager-PatchManagerExportRolePolicy está dañada.

Problema: recibe un mensaje de error similar al siguiente, en el que se indica que AWS-SystemsManager-PatchManagerExportRolePolicy está dañado:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.

  • Solución: utilice la consola Patch Manager o la AWS CLI para eliminar los roles y las políticas afectadas antes de generar un nuevo informe de cumplimiento de las revisiones.

    Para eliminar la política dañada con la consola

    1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

    2. Realice una de las siguientes acciones siguientes:

      Informes bajo demanda: si el problema se produjo cuando se generaba un informe bajo demanda único, en el panel de navegación izquierdo, elija Policies (Políticas), busque AWS-SystemsManager-PatchManagerExportRolePolicy, y, a continuación, elimine la política. Luego, elija Roles (Roles), busque AWS-SystemsManager-PatchSummaryExportRole y, a continuación, elimine el rol.

      Informes programados: si el problema se produjo mientras generaba un informe en una programación, en el panel de navegación izquierdo, elija Políticas, busque una a la vez en AWS-EventBridge-Start-SSMAutomationRolePolicy y AWS-SystemsManager-PatchManagerExportRolePolicy y elimine cada política. Luego, elija Roles (Roles), busque uno a la vez en AWS-EventBridge-Start-SSMAutomationRole y AWS-SystemsManager-PatchSummaryExportRole y, a continuación, elimine cada rol.

    Para eliminar una política dañada con la AWS CLI

    Sustituya los valores de marcador por su ID de la cuenta.

    • Si el problema se produjo al generar un informe único bajo demanda, ejecute los siguientes comandos:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      Si el problema se produjo al generar un informe programado, ejecute los siguientes comandos:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Después de completar cualquiera de los procedimientos, siga los pasos para generar o programar un nuevo informe de conformidad de revisiones.

Después de eliminar roles o políticas de conformidad de parches, los informes programados no se generan correctamente

Problema: la primera vez que se genera un informe, Systems Manager crea un rol de servicio y una política para utilizarlos en el proceso de exportación (AWS-SystemsManager-PatchSummaryExportRole y AWS-SystemsManager-PatchManagerExportRolePolicy). La primera vez que se genera un informe en una programación, Systems Manager crea otro rol de servicio y una política (AWS-EventBridge-Start-SSMAutomationRole y AWS-EventBridge-Start-SSMAutomationRolePolicy). Estas permiten que Amazon EventBridge inicie una automatización mediante el manual de procedimientos AWS-ExportPatchReportToS3 .

Si elimina alguna de estas políticas o roles, es posible que se pierdan las conexiones entre su programación y el bucket de S3 y el tema de Amazon SNS especificados.

  • Solución: para resolver este problema, se recomienda eliminar la programación anterior y crear una nueva que reemplace a la que presentaba problemas.