Génération de rapports de conformité des correctifs .csv - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération de rapports de conformité des correctifs .csv

Vous pouvez utiliser la AWS Systems Manager console pour générer des rapports de conformité des correctifs qui sont enregistrés sous forme de fichier .csv dans un bucket Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer un rapport à la demande unique ou planifier la génération automatique des rapports.

Les rapports peuvent être générés pour un seul nœud géré ou pour tous les nœuds gérés de votre choix Compte AWS et Région AWS. Pour un seul nœud, un rapport contient des informations complètes, notamment les correctifs liés à IDs la non-conformité d'un nœud. Un rapport portant sur tous les nœuds gérés, quant à lui, ne contient que des informations sommaires ainsi que le nombre de correctifs liés aux nœuds non conformes.

Une fois le rapport généré, vous pouvez utiliser un outil tel QuickSight qu'Amazon pour importer et analyser les données. Amazon QuickSight est un service de business intelligence (BI) que vous pouvez utiliser pour explorer et interpréter des informations dans un environnement visuel interactif. Pour plus d'informations, consultez le guide de QuickSight l'utilisateur Amazon.

Note

Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que Critical ou High. Si l'état des correctifs d'un correctif approuvé est indiqué Missing, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

Vous pouvez également spécifier une rubrique Amazon Simple Notification Service (AmazonSNS) à utiliser pour envoyer des notifications lorsqu'un rapport est généré.

Rôles de service pour la génération de rapports de conformité des correctifs

La première fois que vous générez un rapport, Systems Manager crée un rôle responsable Automation nommé AWS-SystemsManager-PatchSummaryExportRole à utiliser pour le processus d'exportation vers S3.

Note

Si vous exportez des données de conformité vers un compartiment S3 chiffré, vous devez mettre à jour la politique de AWS KMS clé associée afin de fournir les autorisations nécessaires pourAWS-SystemsManager-PatchSummaryExportRole. Par exemple, ajoutez une autorisation similaire à celle-ci à la AWS KMS politique de votre compartiment S3 :

{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "role-arn" }

Remplacez role-arn avec le nom de ressource Amazon (ARN) du fichier créé dans votre compte, au formatarn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .

La première fois que vous générez un rapport selon un calendrier, Systems Manager crée un autre rôle de service nomméAWS-EventBridge-Start-SSMAutomationRole, ainsi que le rôle de service AWS-SystemsManager-PatchSummaryExportRole (s'il n'est pas déjà créé) à utiliser pour le processus d'exportation. AWS-EventBridge-Start-SSMAutomationRolepermet EventBridge à Amazon de démarrer une automatisation à l'aide du runbook AWS- ExportPatchReportTo S3.

Nous vous déconseillons de tenter de modifier ces politiques et ces rôles. Cela pourrait entraîner l'échec de la génération de rapports de conformité des correctifs. Pour de plus amples informations, veuillez consulter Résolution des problèmes liés à la génération de rapports de conformité des correctifs.

Qu'est-ce qu'un rapport de conformité des correctifs généré ?

Cette rubrique fournit des informations sur les types de contenu inclus dans les rapports de conformité des correctifs qui sont générés et téléchargés dans un compartiment S3 spécifié.

Un rapport généré pour un nœud géré individuel fournit à la fois des informations sommaires et détaillées.

Télécharger un exemple de rapport (pour un nœud individuel)

Les informations sommaires fournies pour un nœud géré individuel sont les suivantes :

  • Index

  • ID d’instance

  • Instance name

  • Adresse IP d'instance

  • Nom de la plateforme

  • Version de plateforme

  • SSM Agent version

  • Référentiel de correctifs

  • Groupe de correctifs

  • Statut de conformité

  • Sévérité de conformité

  • Nombre de correctifs de sévérité critique non conformes

  • Nombre de correctifs de sévérité élevée non conformes

  • Nombre de correctifs de sévérité moyenne non conformes

  • Nombre de correctifs de sévérité faible non conformes

  • Nombre de correctifs de sévérité informationnelle non conformes

  • Nombre de correctifs de sévérité non spécifiée non conformes

Les informations détaillées fournies pour un nœud géré individuel sont les suivantes :

  • Index

  • ID d’instance

  • Instance name

  • Nom du correctif

  • ID de la KB/ID du patch

  • État du correctif

  • Heure du dernier rapport

  • Niveau de conformité

  • Sévérité du correctif

  • Classification des correctifs

  • CVEID

  • Référentiel de correctifs

  • Journaux URL

  • Adresse IP d'instance

  • Nom de la plateforme

  • Version de plateforme

  • SSM Agent version

Note

Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que Critical ou High. Si l'état des correctifs d'un correctif approuvé est indiqué Missing, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

Un rapport généré pour tous les nœuds gérés ne fournit que des informations sommaires.

Télécharger un exemple de rapport (pour tous les nœuds gérés)

Les informations sommaires fournies pour tous les nœuds gérés sont les suivantes :

  • Index

  • ID d’instance

  • Instance name

  • Adresse IP d'instance

  • Nom de la plateforme

  • Version de plateforme

  • SSM Agent version

  • Référentiel de correctifs

  • Groupe de correctifs

  • Statut de conformité

  • Sévérité de conformité

  • Nombre de correctifs de sévérité critique non conformes

  • Nombre de correctifs de sévérité élevée non conformes

  • Nombre de correctifs de sévérité moyenne non conformes

  • Nombre de correctifs de sévérité faible non conformes

  • Nombre de correctifs de sévérité informationnelle non conformes

  • Nombre de correctifs de sévérité non spécifiée non conformes

Génération de rapports de conformité des correctifs pour un nœud géré individuel

Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à un nœud géré individuel dans votre Compte AWS. Le rapport relatif à un seul nœud géré fournit des informations détaillées sur chaque correctif non conforme, notamment les noms des correctifs etIDs.

Pour générer des rapports de conformité des correctifs pour un nœud géré individuel
  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Cliquez sur le bouton correspondant à la ligne du nœud géré pour lequel vous souhaitez générer un rapport, puis sélectionnez View detail (Afficher les détails).

  5. Dans la section Patch summary (Récapitulatif des correctifs), sélectionnez Export to S3 (Exporter vers S3).

  6. Pour Nom du rapport, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.

  7. Pour Fréquence de génération de rapports, sélectionnez l'une des options suivantes :

    • À la demande : pour créer un rapport unique. Passez à l'étape 9.

    • Planifiée : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 8.

  8. Pour Type de programme, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.

    Pour plus d'informations sur les expressions cron, consultez Référence : Expressions Cron et Rate pour Systems Manager.

  9. Pour Nom du compartiment, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.

    Important

    Si vous travaillez dans un Région AWS compartiment lancé après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette même région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique Activation d'une région dans la Référence générale d'Amazon Web Services.

  10. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, étendez la section du SNSsujet, puis choisissez un SNS sujet Amazon existant dans le SNSsujet Amazon Resource Name (ARN).

  11. Sélectionnez Submit (Envoyer).

Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter Affichage de l'historique de génération de rapports de conformité des correctifs.

Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter Affichage des calendriers de rapports de conformité des correctifs.

Génération de rapports de conformité des correctifs pour tous les nœuds gérés

Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à tous les nœuds gérés de votre Compte AWS. Le rapport portant sur tous les nœuds gérés désigne les nœuds qui ne sont pas conformes et le nombre de correctifs non conformes. Il ne fournit pas les noms ou autres identifiants des correctifs. Pour plus de détails, vous pouvez générer un rapport de conformité des correctifs portant sur un nœud géré individuel. Pour plus d'informations, consultez Génération de rapports de conformité des correctifs pour un nœud géré individuel plus haut dans cette rubrique.

Pour générer des rapports de conformité des correctifs pour tous les nœuds gérés
  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Sélectionnez Exporter vers S3. (Évitez de sélectionner un ID de nœud en premier).

  5. Pour Nom du rapport, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.

  6. Pour Fréquence de génération de rapports, sélectionnez l'une des options suivantes :

    • À la demande : pour créer un rapport unique. Passez à l'étape 8.

    • Planifiée : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 7.

  7. Pour Type de programme, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.

    Pour plus d'informations sur les expressions cron, consultez Référence : Expressions Cron et Rate pour Systems Manager.

  8. Pour Nom du compartiment, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.

    Important

    Si vous travaillez dans un Région AWS compartiment lancé après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette même région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique Activation d'une région dans la Référence générale d'Amazon Web Services.

  9. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, étendez la section du SNSsujet, puis choisissez un SNS sujet Amazon existant dans le SNSsujet Amazon Resource Name (ARN).

  10. Sélectionnez Submit (Envoyer).

Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter Affichage de l'historique de génération de rapports de conformité des correctifs.

Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter Affichage des calendriers de rapports de conformité des correctifs.

Affichage de l'historique de génération de rapports de conformité des correctifs

Utilisez les informations de cette rubrique pour vous aider à consulter les détails des rapports de conformité des correctifs générés dans votre Compte AWS.

Pour afficher l'historique de génération de rapports de conformité des correctifs
  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Sélectionnez Afficher toutes les exportations vers S3, puis sélectionnez l'onglet Historique des exportations.

Affichage des calendriers de rapports de conformité des correctifs

Utilisez les informations de cette rubrique pour vous aider à consulter les détails des calendriers de rapports de conformité des correctifs créés dans votre Compte AWS.

Pour afficher l'historique de génération de rapports de conformité des correctifs
  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Sélectionnez View all S3 exports (Afficher toutes les exportations S3), puis l'onglet Report schedule rules (Règles de planification de rapport).

Résolution des problèmes liés à la génération de rapports de conformité des correctifs

Utilisez les informations suivantes pour vous aider à résoudre les problèmes liés à la génération de rapports de conformité des correctifs dans Patch Manager, une capacité de AWS Systems Manager.

Un message signale que la politique AWS-SystemsManager-PatchManagerExportRolePolicy est corrompue

Problème : vous recevez un message d'erreur semblable au suivant, indiquant que la valeur AWS-SystemsManager-PatchManagerExportRolePolicy est corrompue :

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
  • Solution : utilisez Patch Manager console ou AWS CLI pour supprimer les rôles et politiques concernés avant de générer un nouveau rapport de conformité des correctifs.

    Pour supprimer la politique corrompue à l'aide de la console
    1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

    2. Effectuez l’une des actions suivantes :

      Rapports à la demande : si le problème s'est produit lors de la génération d'un rapport à la demande ponctuel, dans le panneau de navigation de gauche, sélectionnez Politiques, recherchez AWS-SystemsManager-PatchManagerExportRolePolicy, puis supprimez la politique. Ensuite, sélectionnez Rôles, recherchez AWS-SystemsManager-PatchSummaryExportRole, puis supprimez le rôle.

      Rapports planifiés : si le problème s'est produit lors de la génération d'un rapport planifié, dans le panneau de navigation de gauche, sélectionnez Politiques, recherchez AWS-EventBridge-Start-SSMAutomationRolePolicy et AWS-SystemsManager-PatchManagerExportRolePolicy une par une, et supprimez chaque politique. Ensuite, sélectionnez Rôles, recherchez AWS-EventBridge-Start-SSMAutomationRole et AWS-SystemsManager-PatchSummaryExportRole un par un, et supprimez chaque rôle.

    Pour supprimer la politique corrompue à l'aide du AWS CLI

    Remplacez le placeholder values avec votre identifiant de compte.

    • Si le problème s'est produit lors de la génération d'un rapport unique à la demande, exécutez les commandes suivantes :

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      Si le problème s'est produit lors de la génération d'un rapport selon une planification, exécutez les commandes suivantes :

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Après avoir effectué l'une des deux procédures, suivez les étapes pour générer ou planifier un nouveau rapport de conformité des correctifs.

La suppression des politiques ou des rôles de conformité des correctifs empêche la génération correcte des rapports planifiés.

Problème : la première fois que vous générez un rapport, Systems Manager crée un rôle de service et une politique à utiliser pour le processus d'exportation (AWS-SystemsManager-PatchSummaryExportRole et AWS-SystemsManager-PatchManagerExportRolePolicy). La première fois que vous générez un rapport planifié, Systems Manager crée un autre rôle de service et une autre politique (AWS-EventBridge-Start-SSMAutomationRole et AWS-EventBridge-Start-SSMAutomationRolePolicy). Ils permettent EventBridge à Amazon de démarrer une automatisation à l'aide du runbook AWS- ExportPatchReportTo S3.

Si vous supprimez l'une de ces politiques ou rôles, les connexions entre votre calendrier et le compartiment S3 et le SNS sujet Amazon que vous avez spécifiés risquent d'être perdues.

  • Solution : pour contourner ce problème, nous vous recommandons de supprimer le calendrier précédent et de créer un calendrier pour remplacer celui qui présentait des problèmes.