Integrasi Patch Manager dengan AWS Security Hub - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasi Patch Manager dengan AWS Security Hub

AWS Security Hubmenyediakan pandangan komprehensif kepada Anda tentang status keamanan Anda di AWS. Security Hub mengumpulkan data keamanan dari seluruh Akun AWS, Layanan AWS, dan produk mitra pihak ketiga yang didukung. Dengan Security Hub, Anda dapat memeriksa lingkungan Anda terkait standar industri dan praktik terbaik untuk keamanan. Security Hub membantu Anda menganalisis tren keamanan Anda dan mengidentifikasi masalah keamanan prioritas tertinggi.

Dengan menggunakan integrasi antara Patch Manager, kemampuan AWS Systems Manager, dan Security Hub, Anda dapat mengirim temuan tentang node yang tidak patuh Patch Manager ke Security Hub. Temuan adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub kemudian dapat menyertakan temuan terkait patch tersebut dalam analisis postur keamanan Anda.

Informasi dalam topik berikut berlaku tidak peduli metode atau jenis konfigurasi yang Anda gunakan untuk operasi patching Anda:

  • Kebijakan tambalan yang dikonfigurasi di Quick Setup

  • Opsi Manajemen Host yang dikonfigurasi di Quick Setup

  • Jendela pemeliharaan untuk menjalankan tambalan Scan atau Install tugas

  • Patch sesuai permintaan sekarang beroperasi

Bagaimana Patch Manager mengirimkan temuan ke Security Hub

Di Security Hub, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh mitra pihak ketiga. Layanan AWS Security Hub juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.

Patch Manager adalah salah satu kemampuan Systems Manager yang mengirimkan temuan ke Security Hub. Setelah Anda melakukan operasi patching dengan menjalankan SSM dokumen (AWS-RunPatchBaseline,, atauAWS-RunPatchBaselineWithHooks)AWS-RunPatchBaselineAssociation, informasi patching dikirim ke Inventaris atau Kepatuhan, kemampuan AWS Systems Manager, atau keduanya. Setelah Inventaris, Kepatuhan, atau keduanya menerima data, Patch Manager menerima pemberitahuan. Kemudian, Patch Manager mengevaluasi data untuk akurasi, format, dan kepatuhan. Jika semua kondisi terpenuhi, Patch Manager meneruskan data ke Security Hub.

Security Hub menyediakan alat untuk mengelola temuan dari seluruh sumber tersebut. Anda dapat melihat dan mem-filter daftar temuan dan melihat detail suatu temuan. Untuk informasi lebih lanjut, lihat Melihat temuan dalam Panduan Pengguna AWS Security Hub . Anda juga dapat melacak status penyelidikan temuan. Untuk informasi lebih lanjut, lihat Mengambil tindakan pada temuan dalam Panduan Pengguna AWS Security Hub .

Semua temuan di Security Hub menggunakan JSON format standar yang disebut AWS Security Finding Format (ASFF). ASFFTermasuk detail tentang sumber masalah, sumber daya yang terdampak, dan status temuan saat ini. Untuk informasi selengkapnya, lihat AWS Security Finding Format (ASFF) di Panduan AWS Security Hub Pengguna.

Tipe temuan yang Patch Manager mengutus

Patch Manager mengirimkan temuan ke Security Hub menggunakan AWS Security Finding Format (ASFF). DiASFF, Types bidang menyediakan jenis temuan. Temuan dari Patch Manager memiliki nilai berikut untukTypes:

  • Pemeriksaan Perangkat Lunak dan Konfigurasi/Pengelolaan Patch

Patch Manager mengirimkan satu temuan per node terkelola yang tidak patuh. Temuan ini dilaporkan dengan jenis sumber daya AwsEc2Instance sehingga temuan dapat dikorelasikan dengan integrasi Security Hub lainnya yang melaporkan jenis sumber daya AwsEc2Instance. Patch Manager hanya meneruskan temuan ke Security Hub jika operasi menemukan bahwa node terkelola tidak patuh. Temuan ini mencakup hasil Ringkasan Patch.

catatan

Setelah melaporkan node yang tidak sesuai ke Security Hub. Patch Manager tidak mengirim pembaruan ke Security Hub setelah node dibuat sesuai. Anda dapat menyelesaikan temuan secara manual di Security Hub setelah tambalan yang diperlukan diterapkan ke node terkelola.

Untuk informasi selengkapnya tentang definisi kepatuhan, lihat Nilai status kepatuhan tambalan. Untuk informasi selengkapnyaPatchSummary, lihat PatchSummarydi AWS Security Hub APIReferensi.

Latensi untuk mengirim temuan

Saat Patch Manager membuat temuan baru, biasanya dikirim ke Security Hub dalam beberapa detik hingga 2 jam. Kecepatan ini bergantung pada lalu lintas dalam Wilayah AWS yang sedang diproses pada saat itu.

Mencoba kembali saat Security Hub tidak tersedia

Jika ada pemadaman layanan, AWS Lambda fungsi dijalankan untuk menempatkan pesan kembali ke antrean utama setelah layanan berjalan lagi. Setelah pesan berada di antrean utama, coba lagi berjalan secara otomatis.

Jika Security Hub tidak tersedia, Patch Manager mencoba lagi mengirim temuan sampai mereka diterima.

Melihat temuan di Security Hub

Prosedur ini menjelaskan cara melihat temuan di Security Hub tentang node terkelola di armada Anda yang tidak sesuai dengan patch.

Untuk meninjau temuan Security Hub untuk kepatuhan patch
  1. Masuk ke AWS Management Console dan buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Di panel navigasi, pilih Temuan.

  3. Pilih kotak Tambahkan filter ( The Search icon ).

  4. Di menu, di bawah Filter, pilih Nama produk.

  5. Di kotak dialog yang terbuka, pilih ada di bidang pertama lalu masukkan Systems Manager Patch Manager di bidang kedua.

  6. Pilih Terapkan.

  7. Tambahkan filter tambahan yang Anda inginkan untuk membantu mempersempit hasil Anda.

  8. Dalam daftar hasil, pilih judul temuan yang Anda inginkan informasi lebih lanjut.

    Panel terbuka di sisi kanan layar dengan detail lebih lanjut tentang sumber daya, masalah yang ditemukan, dan perbaikan yang disarankan.

    penting

    Pada saat ini, Security Hub melaporkan jenis sumber daya dari semua node terkelola sebagaiEC2 Instance. Ini mencakup server on-premise dan mesin virtual (VMs) yang telah Anda daftarkan untuk digunakan dengan Systems Manager.

Klasifikasi tingkat keparahan

Daftar temuan untuk Systems Manager Patch Manager mencakup laporan tingkat keparahan temuan. Tingkat keparahan meliputi yang berikut, dari terendah ke tertinggi:

  • INFORMATIONAL- Tidak ada masalah yang ditemukan.

  • LOW— Masalah ini tidak memerlukan remediasi.

  • MEDIUMMasalah ini harus diatasi tetapi tidak mendesak.

  • HIGHMasalah ini harus diatasi sebagai prioritas.

  • CRITICAL— Masalah ini harus segera diperbaiki untuk menghindari eskalasi.

Tingkat keparahan ditentukan oleh paket noncompliant yang paling parah pada sebuah instance. Karena Anda dapat memiliki beberapa garis dasar tambalan dengan beberapa tingkat keparahan, tingkat keparahan tertinggi dilaporkan dari semua paket yang tidak sesuai. Misalnya, Anda memiliki dua paket yang tidak sesuai di mana tingkat keparahan paket A adalah “Kritis” dan tingkat keparahan paket B adalah “Rendah”. “Kritis” akan dilaporkan sebagai tingkat keparahan.

Perhatikan bahwa bidang keparahan berkorelasi langsung dengan Patch Manager Compliancelapangan. Ini adalah bidang yang Anda tetapkan tetapkan ke tambalan individual yang cocok dengan aturan. Karena Compliance bidang ini ditetapkan ke tambalan individual, itu tidak tercermin pada tingkat Ringkasan Patch.

Konten terkait

Temuan umum dari Patch Manager

Patch Manager mengirimkan temuan ke Security Hub menggunakan AWS Security Finding Format (ASFF).

Berikut ini adalah contoh temuan umum dari Patch Manager.

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2021-11-11T22:05:25Z", "UpdatedAt": "2021-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-2" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-0c10e65780EXAMPLE", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2021-11-11T22:05:06Z", "OperationEndTime": "2021-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }

Mengaktifkan dan mengonfigurasikan integrasi

Untuk menggunakan Patch Manager integrasi dengan Security Hub, Anda harus mengaktifkan Security Hub. Untuk informasi tentang cara mengaktifkan Security Hub, lihat Menyiapkan Security Hub di Panduan Pengguna AWS Security Hub .

Prosedur berikut menjelaskan cara mengintegrasikan Patch Manager dan Security Hub saat Security Hub sudah aktif tetapi Patch Manager integrasi dimatikan. Anda hanya perlu menyelesaikan prosedur ini jika integrasi dinonaktifkan secara manual.

Untuk menambahkan Patch Manager Integrasi Security Hub
  1. Di panel navigasi, pilih Patch Manager.

  2. Pilih tab Pengaturan.

    -atau-

    Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih Mulai dengan ikhtisar, lalu pilih tab Pengaturan.

  3. Di bawah bagian Ekspor ke Security Hub, di sebelah kanan Temuan kepatuhan patch tidak diekspor ke Security Hub, pilih Aktifkan.

Bagaimana cara menghentikan pengiriman temuan

Untuk berhenti mengirim temuan ke Security Hub, Anda dapat menggunakan konsol Security Hub atauAPI.

Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna AWS Security Hub :