Génération de rapports de conformité des correctifs .csv - AWS Systems Manager
Qu'est-ce qu'un rapport de conformité des correctifs généré ?Génération de rapports de conformité des correctifs pour un nœud géré individuelGénération de rapports de conformité des correctifs pour tous les nœuds gérésAffichage de l'historique de génération de rapports de conformité des correctifsAffichage des calendriers de rapports de conformité des correctifsRésolution des problèmes liés à la génération de rapports de conformité des correctifs

Génération de rapports de conformité des correctifs .csv

Vous pouvez utiliser la console AWS Systems Manager pour générer des rapports de conformité de correctifs, qui sont enregistrés sous la forme d'un fichier .csv à un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer un rapport à la demande unique ou planifier la génération automatique des rapports.

Les rapports peuvent être générés pour un nœud géré individuel ou pour tous les nœuds gérés des Compte AWS et Région AWS sélectionnés. Un rapport portant sur un nœud individuel contient des détails complets, notamment les ID des correctifs liés à un nœud non conforme. Un rapport portant sur tous les nœuds gérés, quant à lui, ne contient que des informations sommaires ainsi que le nombre de correctifs liés aux nœuds non conformes.

Une fois qu'un rapport est généré, vous pouvez utiliser un outil tel qu'Amazon QuickSight pour importer et analyser les données. Amazon QuickSight est un service de Business Intelligence (BI) utile pour explorer et interpréter des informations dans un environnement visuel interactif. Pour de plus amples informations, consultez le Guide de l'utilisateur Amazon QuickSight.

Note

Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que Critical ou High. Si l'état des correctifs d'un correctif approuvé est indiqué Missing, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

Vous pouvez aussi spécifier une rubrique Amazon Simple Notification Service (Amazon SNS) à utiliser pour envoyer des notifications lorsqu'un rapport est généré.

Rôles de service pour la génération de rapports de conformité des correctifs

La première fois que vous générez un rapport, Systems Manager crée un rôle responsable Automation nommé AWS-SystemsManager-PatchSummaryExportRole à utiliser pour le processus d'exportation vers S3.

Note

Si vous exportez des données de conformité vers un compartiment S3 chiffré, vous devez mettre à jour la stratégie de clé AWS KMS associée afin de fournir les autorisations nécessaires pour AWS-SystemsManager-PatchSummaryExportRole. Par exemple, ajoutez une autorisation similaire à celle-ci à la stratégie AWS KMS de votre compartiment S3 :

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}

Remplacez role-arn par l'Amazon Resource Name (ARN) créé dans votre compte, au format arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service.

La première fois que vous générez un rapport planifié, Systems Manager crée un autre rôle de service nommé AWS-EventBridge-Start-SSMAutomationRole, conjointement avec le rôle de service AWS-SystemsManager-PatchSummaryExportRole (s'il n'est pas déjà créé) à utiliser pour le processus d'exportation. AWS-EventBridge-Start-SSMAutomationRole permet à Amazon EventBridge de démarrer une automatisation à l'aide du runbook AWS-ExportPatchReportTos3.

Nous vous déconseillons de tenter de modifier ces politiques et ces rôles. Cela pourrait entraîner l'échec de la génération de rapports de conformité des correctifs. Pour en savoir plus, consultez Résolution des problèmes liés à la génération de rapports de conformité des correctifs.

Qu'est-ce qu'un rapport de conformité des correctifs généré ?

Cette rubrique fournit des informations sur les types de contenu inclus dans les rapports de conformité des correctifs qui sont générés et téléchargés dans un compartiment S3 spécifié.

Un rapport généré pour un nœud géré individuel fournit à la fois des informations sommaires et détaillées.

Télécharger un exemple de rapport (pour un nœud individuel)

Les informations sommaires fournies pour un nœud géré individuel sont les suivantes :

  • Index

  • ID d’instance

  • Instance name

  • Adresse IP d'instance

  • Nom de la plateforme

  • Version de plateforme

  • Version de SSM Agent

  • Référentiel de correctifs

  • Groupe de correctifs

  • Statut de conformité

  • Sévérité de conformité

  • Nombre de correctifs de sévérité critique non conformes

  • Nombre de correctifs de sévérité élevée non conformes

  • Nombre de correctifs de sévérité moyenne non conformes

  • Nombre de correctifs de sévérité faible non conformes

  • Nombre de correctifs de sévérité informationnelle non conformes

  • Nombre de correctifs de sévérité non spécifiée non conformes

Les informations détaillées fournies pour un nœud géré individuel sont les suivantes :

  • Index

  • ID d’instance

  • Instance name

  • Nom du correctif

  • ID de la KB/ID du patch

  • État du correctif

  • Heure du dernier rapport

  • Niveau de conformité

  • Sévérité du correctif

  • Classification des correctifs

  • ID CVE

  • Référentiel de correctifs

  • URL des journaux

  • Adresse IP d'instance

  • Nom de la plateforme

  • Version de plateforme

  • Version de SSM Agent

Note

Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que Critical ou High. Si l'état des correctifs d'un correctif approuvé est indiqué Missing, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

Un rapport généré pour tous les nœuds gérés ne fournit que des informations sommaires.

Télécharger un exemple de rapport (pour tous les nœuds gérés)

Les informations sommaires fournies pour tous les nœuds gérés sont les suivantes :

  • Index

  • ID d’instance

  • Instance name

  • Adresse IP d'instance

  • Nom de la plateforme

  • Version de plateforme

  • Version de SSM Agent

  • Référentiel de correctifs

  • Groupe de correctifs

  • Statut de conformité

  • Sévérité de conformité

  • Nombre de correctifs de sévérité critique non conformes

  • Nombre de correctifs de sévérité élevée non conformes

  • Nombre de correctifs de sévérité moyenne non conformes

  • Nombre de correctifs de sévérité faible non conformes

  • Nombre de correctifs de sévérité informationnelle non conformes

  • Nombre de correctifs de sévérité non spécifiée non conformes

Génération de rapports de conformité des correctifs pour un nœud géré individuel

Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à un nœud géré individuel dans votre Compte AWS. Le rapport généré pour un nœud géré individuel fournit des détails sur chaque correctif non conforme, notamment son nom et son ID.

Pour générer des rapports de conformité des correctifs pour un nœud géré individuel

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Cliquez sur le bouton correspondant à la ligne du nœud géré pour lequel vous souhaitez générer un rapport, puis sélectionnez View detail (Afficher les détails).

  5. Dans la section Patch summary (Récapitulatif des correctifs), sélectionnez Export to S3 (Exporter vers S3).

  6. Pour Nom du rapport, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.

  7. Pour Fréquence de génération de rapports, sélectionnez l'une des options suivantes :

    • À la demande : pour créer un rapport unique. Passez à l'étape 9.

    • Planifiée : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 8.

  8. Pour Type de programme, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.

    Pour plus d'informations sur les expressions cron, consultez Référence : Expressions Cron et Rate pour Systems Manager.

  9. Pour Nom du compartiment, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.

    Important

    Si vous travaillez dans une Région AWS lancée après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique Activation d'une région dans la Référence générale d'Amazon Web Services.

  10. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, développez la section SNS topic (Rubrique SNS), puis sélectionnez une rubrique Amazon SNS existante dans SNS topic Amazon Resource Name (ARN) (Amazon Resource Name (ARN) de rubrique SNS).

  11. Sélectionnez Submit (Envoyer).

Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter Affichage de l'historique de génération de rapports de conformité des correctifs.

Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter Affichage des calendriers de rapports de conformité des correctifs.

Génération de rapports de conformité des correctifs pour tous les nœuds gérés

Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à tous les nœuds gérés de votre Compte AWS. Le rapport portant sur tous les nœuds gérés désigne les nœuds qui ne sont pas conformes et le nombre de correctifs non conformes. Il ne fournit pas les noms ou autres identifiants des correctifs. Pour plus de détails, vous pouvez générer un rapport de conformité des correctifs portant sur un nœud géré individuel. Pour plus d'informations, consultez Génération de rapports de conformité des correctifs pour un nœud géré individuel plus haut dans cette rubrique.

Pour générer des rapports de conformité des correctifs pour tous les nœuds gérés

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Sélectionnez Exporter vers S3. (Évitez de sélectionner un ID de nœud en premier).

  5. Pour Nom du rapport, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.

  6. Pour Fréquence de génération de rapports, sélectionnez l'une des options suivantes :

    • À la demande : pour créer un rapport unique. Passez à l'étape 8.

    • Planifiée : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 7.

  7. Pour Type de programme, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.

    Pour plus d'informations sur les expressions cron, consultez Référence : Expressions Cron et Rate pour Systems Manager.

  8. Pour Nom du compartiment, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.

    Important

    Si vous travaillez dans une Région AWS lancée après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique Activation d'une région dans la Référence générale d'Amazon Web Services.

  9. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, développez la section SNS topic (Rubrique SNS), puis sélectionnez une rubrique Amazon SNS existante dans SNS topic Amazon Resource Name (ARN) (Amazon Resource Name (ARN) de rubrique SNS).

  10. Sélectionnez Submit (Envoyer).

Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter Affichage de l'historique de génération de rapports de conformité des correctifs.

Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter Affichage des calendriers de rapports de conformité des correctifs.

Affichage de l'historique de génération de rapports de conformité des correctifs

Utilisez les informations de cette rubrique pour afficher des détails sur les rapports de conformité des correctifs générés dans votre Compte AWS.

Pour afficher l'historique de génération de rapports de conformité des correctifs

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Sélectionnez Afficher toutes les exportations vers S3, puis sélectionnez l'onglet Historique des exportations.

Affichage des calendriers de rapports de conformité des correctifs

Utilisez les informations de cette rubrique pour afficher des détails sur les planifications de rapports de conformité des correctifs créés dans votre Compte AWS.

Pour afficher l'historique de génération de rapports de conformité des correctifs

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Patch Manager.

  3. Sélectionnez l'onglet Compliance reporting (Rapports de conformité).

  4. Sélectionnez View all S3 exports (Afficher toutes les exportations S3), puis l'onglet Report schedule rules (Règles de planification de rapport).

Résolution des problèmes liés à la génération de rapports de conformité des correctifs

Utilisez les informations suivantes pour résoudre les problèmes liés à la génération de rapports de conformité des correctifs dans Patch Manager, une fonctionnalité de AWS Systems Manager.

Un message signale que la politique AWS-SystemsManager-PatchManagerExportRolePolicy est corrompue

Problème : vous recevez un message d'erreur semblable au suivant, indiquant que la valeur AWS-SystemsManager-PatchManagerExportRolePolicy est corrompue :

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.

  • Solution : utilisez la console Patch Manager ou AWS CLI pour supprimer les rôles et les politiques concernés avant de générer un nouveau rapport de conformité des correctifs.

    Pour supprimer la politique corrompue à l'aide de la console

    1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

    2. Effectuez l'une des actions suivantes :

      Rapports à la demande : si le problème s'est produit lors de la génération d'un rapport à la demande ponctuel, dans le panneau de navigation de gauche, sélectionnez Politiques, recherchez AWS-SystemsManager-PatchManagerExportRolePolicy, puis supprimez la politique. Ensuite, sélectionnez Rôles, recherchez AWS-SystemsManager-PatchSummaryExportRole, puis supprimez le rôle.

      Rapports planifiés : si le problème s'est produit lors de la génération d'un rapport planifié, dans le panneau de navigation de gauche, sélectionnez Politiques, recherchez AWS-EventBridge-Start-SSMAutomationRolePolicy et AWS-SystemsManager-PatchManagerExportRolePolicy une par une, et supprimez chaque politique. Ensuite, sélectionnez Rôles, recherchez AWS-EventBridge-Start-SSMAutomationRole et AWS-SystemsManager-PatchSummaryExportRole un par un, et supprimez chaque rôle.

    Pour supprimer la politique corrompue en utilisant la AWS CLI

    Remplacez les valeurs de remplacements par l'identifiant de votre compte.

    • Si le problème s'est produit lors de la génération d'un rapport unique à la demande, exécutez les commandes suivantes :

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      Si le problème s'est produit lors de la génération d'un rapport selon une planification, exécutez les commandes suivantes :

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Après avoir effectué l'une des deux procédures, suivez les étapes pour générer ou planifier un nouveau rapport de conformité des correctifs.

La suppression des politiques ou des rôles de conformité des correctifs empêche la génération correcte des rapports planifiés.

Problème : la première fois que vous générez un rapport, Systems Manager crée un rôle de service et une politique à utiliser pour le processus d'exportation (AWS-SystemsManager-PatchSummaryExportRole et AWS-SystemsManager-PatchManagerExportRolePolicy). La première fois que vous générez un rapport planifié, Systems Manager crée un autre rôle de service et une autre politique (AWS-EventBridge-Start-SSMAutomationRole et AWS-EventBridge-Start-SSMAutomationRolePolicy). Cela permet à Amazon EventBridge de démarrer une automatisation à l'aide du runbookAWS-ExportPatchReportTos3.

Si vous supprimez l'une de ces politiques ou l'un de ces rôles, les connexions entre votre calendrier et votre compartiment S3 spécifié et la rubrique Amazon SNS peuvent être perdues.

  • Solution : pour contourner ce problème, nous vous recommandons de supprimer le calendrier précédent et de créer un calendrier pour remplacer celui qui présentait des problèmes.