• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo delle risorse di Patch Manager e della conformità tramite la console
Per utilizzare Patch Manager uno strumento AWS Systems Manager, completare le seguenti operazioni. Tali attività sono descritte in maggiore dettaglio più avanti in questa sezione.
1. Verifica che la patch di base AWS predefinita per ogni tipo di sistema operativo che utilizzi soddisfi le tue esigenze. In caso contrario, creare una baseline delle patch che definisca un set di patch standard per quel tipo di nodo gestito e impostarla come di default.
1. Organizzare i nodi gestiti in gruppi di patch utilizzando i tag Amazon Elastic Compute Cloud (Amazon EC2) (facoltativo, ma consigliato).
1. Esegui una delle seguenti operazioni:
+ (Consigliato) Configura una policy di patch in Quick Setup, uno strumento di Systems Manager, che consente di installare le patch mancanti in base alla pianificazione di un'intera organizzazione, un sottoinsieme di unità organizzative o di un singolo Account AWS. Per ulteriori informazioni, consulta [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md).
+ Crea una finestra di manutenzione che utilizza il documento di Systems Manager (documento SSM) `AWS-RunPatchBaseline` in un tipo di attività Run Command. Per ulteriori informazioni, consulta [Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console](maintenance-window-tutorial-patching.md).
+ Esegui manualmente `AWS-RunPatchBaseline` in un'operazione Run Command. Per ulteriori informazioni, consulta [Esecuzione di comandi dalla console](running-commands-console.md).
+ Applicare manualmente le patch ai nodi utilizzando la funzionalità on demand **Applica subito una patch**. Per ulteriori informazioni, consulta [Patching dei nodi gestiti on demand](patch-manager-patch-now-on-demand.md).
1. Monitorare l'applicazione di patch per verificare la conformità e analizzare gli errori.
**Topics**
+ [Creazione di una policy di patch](patch-manager-create-a-patch-policy.md)
+ [Visualizzazione dei riepiloghi del pannello di controllo delle patch](patch-manager-view-dashboard-summaries.md)
+ [Utilizzo dei report sulla conformità delle patch](patch-manager-compliance-reports.md)
+ [Patching dei nodi gestiti on demand](patch-manager-patch-now-on-demand.md)
+ [Apertura con le baseline delle patch](patch-manager-create-a-patch-baseline.md)
+ [Visualizzazione delle patch disponibili](patch-manager-view-available-patches.md)
+ [Creazione e gestione di gruppi di patch](patch-manager-tag-a-patch-group.md)
+ [Integrazione con Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md)
# Creazione di una policy di patch
Una policy di patch è una configurazione che imposti tramite Quick Setup, uno strumento di AWS Systems Manager. Le policy di patch offrono un controllo più ampio e centralizzato sulle operazioni di applicazione di patch rispetto ad altri metodi precedenti. Una policy di patch definisce la pianificazione e la linea di base da utilizzare quando si applicano automaticamente le patch ai nodi e alle applicazioni.
Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Configurazioni delle policy di patch in Quick Setup](patch-manager-policies.md)
+ [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md)
# Visualizzazione dei riepiloghi del pannello di controllo delle patch
La scheda **Dashboard** (Pannello di controllo) in Patch Manager ti consente di visualizzare un riepilogo nella console che è possibile utilizzare per monitorare le operazioni di applicazione di patch in una visualizzazione che raccoglie tutte le informazioni. Patch Manager è uno strumento di AWS Systems Manager. Sulla scheda **Dashboard** (Pannello di controllo) è possibile visualizzare le informazioni seguenti:
+ Uno snapshot del numero di nodi gestiti conformi e non conformi alle regole di applicazione di patch.
+ Uno snapshot dell'età dei risultati della conformità delle patch per i tuoi nodi gestiti.
+ Conteggio collegato del numero di nodi gestiti non conformi presenti per ciascuno dei motivi più comuni di non conformità.
+ Elenco collegato delle operazioni di applicazione di patch più recenti.
+ Elenco collegato delle attività ricorrenti di applicazione patch impostate.
**Visualizzazione dei riepiloghi del pannello di controllo delle patch**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Seleziona la scheda **Pannello di controllo**.
1. Scorrere fino alla sezione contenente i dati di riepilogo da visualizzare:
+ **Amazon EC2 instance management** (Gestione delle istanze Amazon EC2)
+ **Compliance summary** (Riepilogo della conformità)
+ **Noncompliance counts** (Conteggi delle non conformità)
+ **Compliance reports** (Report di conformità)
+ **Operazioni non basate su policy di patch**
+ **Operazioni ricorrenti non basate su policy di patch**
# Utilizzo dei report sulla conformità delle patch
Utilizza le informazioni nei seguenti argomenti per generare e utilizzare report di conformità delle patch in Patch Manager, uno strumento di AWS Systems Manager.
Le informazioni contenute negli argomenti seguenti sono valide indipendentemente dal metodo o dal tipo di configurazione utilizzato per le operazioni di applicazione di patch:
+ Una policy di patch configurata in Quick Setup
+ Un'opzione di gestione host configurata in Quick Setup
+ Una finestra di manutenzione per eseguire un'attività `Scan` o `Install` di patch
+ Un'operazione **Applica subito una patch** on demand
**Importante**
I report sulla conformità delle patch sono point-in-time istantanee generate solo da operazioni di patching riuscite. Ogni report contiene un orario di acquisizione che identifica quando è stato calcolato lo stato di conformità.
Se disponi di più tipi di operazioni per la scansione delle istanze al fine di verificarne la conformità delle patch, tieni presente che ogni scansione sovrascrive i dati di conformità delle patch delle scansioni precedenti. Di conseguenza, potresti ottenere risultati imprevisti nei dati di conformità delle patch. Per ulteriori informazioni, consulta [Identificazione dell'esecuzione che ha creato i dati di conformità delle patch](patch-manager-compliance-data-overwrites.md).
Per verificare la baseline delle patch utilizzata per generare le informazioni di conformità più recenti, accedi alla scheda **Report di conformità** in Patch Manager, individua la riga relativa al nodo gestito per il quale desideri ottenere informazioni, quindi scegli l'ID di base nella colonna **ID di base utilizzato**.
**Topics**
+ [Visualizzazione dei risultati di conformità delle patch](patch-manager-view-compliance-results.md)
+ [Generazione di report sulla conformità delle patch csv](patch-manager-store-compliance-results-in-s3.md)
+ [Correzione dei nodi gestiti non conformi con Patch Manager](patch-manager-noncompliant-nodes.md)
+ [Identificazione dell'esecuzione che ha creato i dati di conformità delle patch](patch-manager-compliance-data-overwrites.md)
# Visualizzazione dei risultati di conformità delle patch
Utilizza queste procedure per visualizzare le informazioni sulla conformità delle patch relative ai nodi gestiti.
Questa procedura si applica alle operazioni delle patch che utilizzano il documento `AWS-RunPatchBaseline`. Per informazioni sulla visualizzazione delle informazioni di conformità di patch per le relative operazioni che utilizzano il documento `AWS-RunPatchBaselineAssociation`, consulta [Identificazione di nodi gestiti non conformi](patch-manager-find-noncompliant-nodes.md).
**Nota**
Le operazioni di scansione delle patch Quick Setup e Explorer l'utilizzo del `AWS-RunPatchBaselineAssociation` documento. Quick Setupe Explorer sono entrambi strumenti in AWS Systems Manager.
**Identificare la soluzione di patch per un problema CVE specifico (Linux)**
Per molti sistemi operativi basati su Linux, i risultati della conformità delle patch indicano quali problemi di Bulletin Common Vulnerabilities and Exposure (CVE) vengono risolti con quali patch. Queste informazioni consentono di determinare con quale urgenza è necessario installare una patch mancante o non riuscita.
I dettagli di CVE sono inclusi per le versioni supportate dei seguenti tipi di sistema operativo:
+ AlmaLinux
+ Amazon Linux 2
+ Amazon Linux 2023
+ Oracle Linux
+ Red Hat Enterprise Linux (RHEL)
+ Rocky Linux
**Nota**
Per impostazione predefinita, CentOS Stream non fornisce informazioni CVE sugli aggiornamenti. È possibile, tuttavia, consentire questo supporto utilizzando repository di terze parti, come il repository Extra Packages for Enterprise Linux (EPEL) pubblicato da Fedora. Per informazioni, consulta [EPEL](https://fedoraproject.org/wiki/EPEL) sul Wiki di Fedora.
Attualmente, i valori dell'ID CVE vengono riportati solo per le patch con stato `Missing` o `Failed`.
Puoi anche aggiungere CVE IDs agli elenchi delle patch approvate o rifiutate nelle tue linee di base delle patch, a seconda della situazione e dei tuoi obiettivi di patch.
Per informazioni sull'utilizzo di elenchi di patch approvate e rifiutate, consulta i seguenti argomenti:
+ [Utilizzo delle baseline delle patch personalizzate](patch-manager-manage-patch-baselines.md)
+ [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md)
+ [Funzionamento delle regole delle baseline delle patch nei sistemi Linux](patch-manager-linux-rules.md)
+ [Come vengono installate le patch](patch-manager-installing-patches.md)
**Nota**
In alcuni casi, Microsoft rilascia patch per applicazioni che non specificano una data e un'ora aggiornate. In questi casi, una data e un'ora aggiornate di `01/01/1970` viene fornito per impostazione predefinita.
## Visualizzazione dei risultati della conformità delle patch
Utilizza le seguenti procedure per visualizzare i risultati di conformità delle patch nella console AWS Systems Manager .
**Nota**
Per informazioni sulla generazione dei report di conformità alle patch che vengono scaricati in un bucket Amazon Simple Storage Service (Amazon S3), consulta [Generazione di report sulla conformità delle patch csv](patch-manager-store-compliance-results-in-s3.md).
**Visualizzazione dei risultati della conformità delle patch**
1. Scegli una delle seguenti operazioni.
**Opzione 1** (consigliata): naviga da Patch Manager, uno strumento di AWS Systems Manager:
+ Nel pannello di navigazione, scegli **Patch Manager**.
+ Seleziona la scheda **Report di conformità**.
+ Nell'area **Dettagli sull'applicazione di patch**, scegli l'ID del nodo gestito per il quale desideri esaminare i risultati di conformità delle patch. Nodi che sono `stopped` o `terminated` non verranno visualizzati qui.
+ Vai nell'area **Dettagli** e, nell'elenco **Proprietà**, scegli **Patch**.
**Opzione 2**: naviga da Conformità, uno strumento di AWS Systems Manager:
+ Nel riquadro di navigazione, seleziona **Conformità**.
+ Per **Riepilogo risorse di conformità**, scegli un numero nella colonna per i tipi di risorse patch che si desidera esaminare, ad esempio **Risorse non conformi**.
+ Sotto, nell'elenco **Risorsa**, scegli l'ID del nodo gestito per il quale desideri esaminare i risultati di conformità delle patch.
+ Vai nell'area **Dettagli** e, nell'elenco **Proprietà**, scegli **Patch**.
**Opzione 3**: naviga da Fleet Manager, uno strumento di AWS Systems Manager.
+ Nel pannello di navigazione, scegli **Fleet Manager**.
+ Nell'area **Istanze gestite**, scegli l'ID del nodo gestito per il quale desideri esaminare i risultati di conformità delle patch.
+ Vai nell'area **Dettagli** e, nell'elenco **Proprietà**, scegli **Patch**.
1. (Facoltativo) Nella casella di ricerca (![\[The Search icon\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/search-icon.png)), scegli tra i filtri disponibili.
Ad esempio, per Red Hat Enterprise Linux(RHEL), scegli tra le seguenti opzioni:
+ Name
+ Classificazione
+ Stato
+ Gravità
Per Windows Server, scegli tra le seguenti opzioni:
+ KB
+ Classificazione
+ Stato
+ Gravità
1. Scegli uno dei valori disponibili per il tipo di filtro scelto. Ad esempio, se hai scelto **Stato**, ora scegli uno stato di conformità come **InstalledPendingReboot****Fallito** o **Mancante**.
**Nota**
Attualmente, i valori dell'ID CVE vengono riportati solo per le patch con stato `Missing` o `Failed`.
1. A seconda dello stato di conformità del nodo gestito, è possibile scegliere l'azione da intraprendere per porre rimedio a eventuali nodi non conformi.
Ad esempio, è possibile scegliere di applicare immediatamente patch ai nodi gestiti non conformi. Per informazioni su come applicare patch su nodi gestiti on demand, consulta [Patching dei nodi gestiti on demand](patch-manager-patch-now-on-demand.md).
Per informazioni sui dati di conformità delle patch, consulta [Valori dello stato di conformità delle patch](patch-manager-compliance-states.md).
# Generazione di report sulla conformità delle patch csv
Puoi utilizzare la AWS Systems Manager console per generare report di conformità delle patch che vengono salvati come file.csv in un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare un singolo report su richiesta o specificare una pianificazione per la generazione automatica dei report.
I report possono essere generati per un singolo nodo gestito o per tutti i nodi gestiti nell'area selezionata. Account AWS Regione AWS Per un singolo nodo, un report contiene dettagli completi, incluse le patch relative alla non conformità IDs di un nodo. Per un report su tutti i nodi gestiti, vengono fornite solo le informazioni di riepilogo e i conteggi delle patch dei nodi non conformi.
Dopo aver generato un report, puoi utilizzare uno strumento come Amazon Quick per importare e analizzare i dati. Quick è un servizio di business intelligence (BI) che puoi utilizzare per esplorare e interpretare le informazioni in un ambiente visivo interattivo. Per ulteriori informazioni, consulta la [Amazon Quick User Guide](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).
**Nota**
Quando si crea una baseline delle patch personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella baseline delle patch, ad esempio `Critical` o `High`. Se lo stato delle patch approvate viene riportato come `Missing`, la gravità di conformità complessiva riportata dalla baseline delle patch corrisponde al livello di gravità specificato.
È possibile anche specificare un argomento Amazon Simple Notification Service (Amazon SNS) da utilizzare per l'invio delle notifiche quando viene generato un report.
**Ruoli del servizio per la generazione di report sulla conformità delle patch**
La prima volta che generi un report, Systems Manager crea un ruolo di Automation denominato `AWS-SystemsManager-PatchSummaryExportRole` da utilizzare per il processo di esportazione a S3.
**Nota**
Se stai esportando dati di conformità in un bucket S3 crittografato, devi aggiornare la policy relativa alle AWS KMS chiavi associata per fornire le autorizzazioni necessarie per. `AWS-SystemsManager-PatchSummaryExportRole` Ad esempio, aggiungi un'autorizzazione simile a questa alla politica del tuo bucket S3: AWS KMS
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "role-arn"
}
```
Sostituisci *role-arn* con l'Amazon Resource Name (ARN) del file creato nel tuo account, nel formato. `arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`
Per ulteriori informazioni, consulta [Policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
La prima volta che si genera un rapporto in base a una pianificazione, Systems Manager crea un altro ruolo di servizio denominato`AWS-EventBridge-Start-SSMAutomationRole`, insieme al ruolo di servizio `AWS-SystemsManager-PatchSummaryExportRole` (se non è già stato creato) da utilizzare per il processo di esportazione. `AWS-EventBridge-Start-SSMAutomationRole`consente EventBridge ad Amazon di avviare un'automazione utilizzando il runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Si consiglia di non tentare di modificare questi criteri e ruoli. In questo modo, la generazione del report sulla conformità delle patch potrebbe non riuscire. Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch](#patch-compliance-reports-troubleshooting).
**Topics**
+ [Cosa c'è in un report sulla conformità delle patch generato?](#patch-compliance-reports-to-s3-examples)
+ [Generazione di report sulla conformità delle patch per un singolo nodo](#patch-compliance-reports-to-s3-one-instance)
+ [Generazione di report sulla conformità delle patch per tutti i nodi gestiti](#patch-compliance-reports-to-s3-all-instances)
+ [Visualizzazione della cronologia dei rapporti sulla conformità delle patch](#patch-compliance-reporting-history)
+ [Visualizzazione delle pianificazioni di report sulla conformità delle patch](#patch-compliance-reporting-schedules)
+ [Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch](#patch-compliance-reports-troubleshooting)
## Cosa c'è in un report sulla conformità delle patch generato?
In questo argomento vengono fornite informazioni sui tipi di contenuto inclusi nei report di conformità delle patch generati e scaricati in un bucket S3 specificato.
### Formato report per un singolo nodo gestito
Un report generato per un singolo nodo gestito fornisce informazioni di riepilogo e dettagliate.
[Scaricare un report di esempio (singolo nodo)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)
Le informazioni di riepilogo per un singolo nodo gestito includono quanto segue:
+ Indice
+ ID istanza
+ Instance name (Nome dell'istanza)
+ IP istanza
+ Nome piattaforma
+ Versione della piattaforma
+ Versione SSM Agent
+ baseline delle patch
+ Gruppo di patch
+ Compliance status (Stato di conformità)
+ Gravità di conformità
+ Conteggio delle patch di gravità critica non conforme
+ Conteggio delle patch a gravità elevata non conforme
+ Conteggio delle patch di gravità media non conforme
+ Conteggio delle patch a bassa gravità non conforme
+ Conteggio delle patch di gravità delle informazioni non conforme
+ Conteggio delle patch di gravità non conforme non specificato
Le informazioni dettagliate per un singolo nodo gestito includono quanto segue:
+ Indice
+ ID istanza
+ Instance name (Nome dell'istanza)
+ Nome patch
+ ID KB ID/Patch
+ Stato della patch
+ Ora dell'ultimo report
+ Livelli di conformità
+ Gravità della patch
+ Classificazione di patch
+ ID CVE
+ baseline delle patch
+ URL di log
+ IP istanza
+ Nome piattaforma
+ Versione della piattaforma
+ Versione SSM Agent
**Nota**
Quando si crea una baseline delle patch personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella baseline delle patch, ad esempio `Critical` o `High`. Se lo stato delle patch approvate viene riportato come `Missing`, la gravità di conformità complessiva riportata dalla baseline delle patch corrisponde al livello di gravità specificato.
### Formato report per tutti i nodi gestiti
Un report generato per tutti i nodi gestiti fornisce solo informazioni di riepilogo.
[Scarica un report di esempio (tutti i nodi gestiti)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)
Le informazioni di riepilogo per tutti i nodi gestiti includono:
+ Indice
+ ID istanza
+ Instance name (Nome dell'istanza)
+ IP istanza
+ Nome piattaforma
+ Versione della piattaforma
+ Versione SSM Agent
+ baseline delle patch
+ Gruppo di patch
+ Compliance status (Stato di conformità)
+ Gravità di conformità
+ Conteggio delle patch di gravità critica non conforme
+ Conteggio delle patch a gravità elevata non conforme
+ Conteggio delle patch di gravità media non conforme
+ Conteggio delle patch a bassa gravità non conforme
+ Conteggio delle patch di gravità delle informazioni non conforme
+ Conteggio delle patch di gravità non conforme non specificato
## Generazione di report sulla conformità delle patch per un singolo nodo
Utilizzare la procedura seguente per generare un report di riepilogo delle patch per un singolo nodo nel tuo Account AWS. Il rapporto per un singolo nodo gestito fornisce dettagli su ogni patch non conforme, inclusi i nomi delle patch e IDs.
**Per generare report sulla conformità delle patch per un singolo nodo gestito**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Seleziona la scheda **Report di conformità**.
1. Scegli il pulsante relativo alla riga del nodo gestito per il quale generare un report e quindi fai clic su **Visualizza i dettagli**.
1. Sulla sezione **Pagina di riepilogo patch**, scegli **Esporta in S3**.
1. Per **Nome del report**, immetti un nome per semplificare l'identificazione del report in un secondo momento.
1. Per **Frequenza di report**, scegli una delle opzioni seguenti:
+ **Su richiesta**: consente di creare un report una tantum. Passa alla fase 9.
+ **In una programmazione**: specifica una pianificazione ricorrente per la generazione automatica dei report. Prosegui alla fase 8.
1. Per **Tipo di pianificazione**, specifica un'espressione della frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.
Per informazioni sulle espressioni Cron, consulta [Riferimento: espressioni Cron e della frequenza per Systems Manager](reference-cron-and-rate-expressions.md).
1. Per **Nome bucket**, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.
**Importante**
Se lavori in un Regione AWS bucket lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta [Abilitazione di una regione](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in nella *Riferimenti generali di Amazon Web Services*.
1. (Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione **Argomenti SNS** e scegli un Argomento Amazon SNS esistente da **SNS topic Amazon Resource Name (ARN)**.
1. Seleziona **Invia**.
Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta [Visualizzazione della cronologia dei rapporti sulla conformità delle patch](#patch-compliance-reporting-history).
Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta [Visualizzazione delle pianificazioni di report sulla conformità delle patch](#patch-compliance-reporting-schedules).
## Generazione di report sulla conformità delle patch per tutti i nodi gestiti
Utilizza la procedura seguente per generare un report di riepilogo delle patch per tutti i nodi gestiti in Account AWS. Il report per tutti i nodi gestiti indica quali nodi non sono conformi e il numero di patch non conformi. Non fornisce i nomi o altri identificatori delle patch. Per questi dettagli aggiuntivi, è possibile generare un report sulla conformità delle patch per un singolo nodo gestito. Per ulteriori informazioni, consulta la sezione [Generazione di report sulla conformità delle patch per un singolo nodo](#patch-compliance-reports-to-s3-one-instance) riportata in precedenza in questo argomento.
**Per generare report sulla conformità delle patch per tutti i nodi gestiti**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Seleziona la scheda **Report di conformità**.
1. Scegli **Esportazione in S3**. (Non selezionare prima un ID nodo.)
1. Per **Nome del report**, immetti un nome per semplificare l'identificazione del report in un secondo momento.
1. Per **Frequenza di report**, scegli una delle opzioni seguenti:
+ **On demand** - Consente di creare un report una tantum. Passare alla fase 8.
+ **In un programma** - Specifica una pianificazione ricorrente per la generazione automatica dei report. Continuare con la fase 7.
1. Per **Tipo di pianificazione**, specifica un'espressione di frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.
Per informazioni sulle espressioni Cron, consulta [Riferimento: espressioni Cron e della frequenza per Systems Manager](reference-cron-and-rate-expressions.md).
1. Per **Nome bucket**, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.
**Importante**
Se lavori in un Regione AWS bucket lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta [Abilitazione di una regione](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in nella *Riferimenti generali di Amazon Web Services*.
1. (Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione **Argomenti SNS** e scegli un Argomento Amazon SNS esistente da **SNS topic Amazon Resource Name (ARN)**.
1. Seleziona **Invia**.
Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta [Visualizzazione della cronologia dei rapporti sulla conformità delle patch](#patch-compliance-reporting-history).
Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta [Visualizzazione delle pianificazioni di report sulla conformità delle patch](#patch-compliance-reporting-schedules).
## Visualizzazione della cronologia dei rapporti sulla conformità delle patch
Utilizza le informazioni contenute in questo argomento per visualizzare i dettagli sui report di conformità delle patch generati nel tuo. Account AWS
**Visualizzazione della cronologia dei rapporti sulla conformità delle patch**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Seleziona la scheda **Report di conformità**.
1. Scegliere **Visualizza tutte le esportazioni di S3** e quindi selezionare la scheda **Cronologia dell'esportazione**.
## Visualizzazione delle pianificazioni di report sulla conformità delle patch
Utilizza le informazioni contenute in questo argomento per visualizzare i dettagli sulle pianificazioni di segnalazione della conformità delle patch create nel tuo Account AWS.
**Visualizzazione della cronologia dei rapporti sulla conformità delle patch**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Seleziona la scheda **Report di conformità**.
1. Sceglie **Visualizza tutte le esportazioni di S3** e quindi selezionare la casella **Regole di report pianificati**.
## Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch
Utilizza le informazioni seguenti per risolvere i problemi relativi alla generazione del report di conformità patch in Patch Manager, uno strumento di AWS Systems Manager.
**Topics**
+ [Un messaggio segnala che la policy `AWS-SystemsManager-PatchManagerExportRolePolicy` è danneggiata](#patch-compliance-reports-troubleshooting-1)
+ [Dopo aver eliminato i ruoli o i criteri di conformità delle patch, i report pianificati non vengono generati correttamente](#patch-compliance-reports-troubleshooting-2)
### Un messaggio segnala che la policy `AWS-SystemsManager-PatchManagerExportRolePolicy` è danneggiata
**Problema**: viene visualizzato un messaggio di errore simile al seguente, indicando che `AWS-SystemsManager-PatchManagerExportRolePolicy` è danneggiato:
```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any
role that uses it, then try again. Systems Manager recreates the roles and policies
you have deleted.
```
+ **Soluzione**: utilizza la Patch Manager console o elimina AWS CLI i ruoli e le politiche interessati prima di generare un nuovo rapporto di conformità delle patch.
**Per eliminare la policy danneggiata utilizzando la console**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Esegui una delle seguenti operazioni:
**Report on demand** - Se il problema si è verificato durante la generazione di un report su richiesta una tantum, nella navigazione a sinistra selezionare **Policy**, cercare `AWS-SystemsManager-PatchManagerExportRolePolicy`, quindi eliminare la policy. Quindi, selezionare **Ruoli**, cercare `AWS-SystemsManager-PatchSummaryExportRole` ed eliminare il ruolo.
**Report pianificati** - Se il problema si è verificato durante la generazione di un report in base a una pianificazione, nella navigazione a sinistra seleziona **Policy**, cerca uno alla volta per `AWS-EventBridge-Start-SSMAutomationRolePolicy` e `AWS-SystemsManager-PatchManagerExportRolePolicy` ed elimina ogni policy. Quindi, selezionare **Ruoli**, cerca uno alla volta per `AWS-EventBridge-Start-SSMAutomationRole` e `AWS-SystemsManager-PatchSummaryExportRole` ed eliminare ogni ruolo.
**Per eliminare la politica danneggiata, utilizzare il AWS CLI**
*placeholder values*Sostituiscila con l'ID del tuo account.
+ Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
```
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Dopo aver completato una delle due procedure, segui i passaggi per generare o pianificare un nuovo report sulla conformità delle patch.
### Dopo aver eliminato i ruoli o i criteri di conformità delle patch, i report pianificati non vengono generati correttamente
**Problema**: la prima volta che si genera un report, Systems Manager crea un ruolo di servizio e una policy da utilizzare per il processo di esportazione (`AWS-SystemsManager-PatchSummaryExportRole` e `AWS-SystemsManager-PatchManagerExportRolePolicy`). La prima volta che si genera un report in base a una pianificazione, Systems Manager crea un altro ruolo di servizio e una policy (`AWS-EventBridge-Start-SSMAutomationRole` e `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Questi consentono EventBridge ad Amazon di avviare un'automazione utilizzando il runbook [AWS- ExportPatchReportTo S3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Se elimini una di queste policy o di questi ruoli, le connessioni tra la pianificazione e il bucket S3 specificato e l'argomento Amazon SNS potrebbero andare perdute.
+ **Soluzione**: per risolvere questo problema, si consiglia di eliminare la pianificazione precedente e di creare una nuova pianificazione per sostituire quella che si verificava problemi.
# Correzione dei nodi gestiti non conformi con Patch Manager
Negli argomenti di questa sezione vengono fornite panoramiche su come identificare i nodi gestiti che non rispettano la conformità delle patch e su come rendere conformi i nodi.
**Topics**
+ [Identificazione di nodi gestiti non conformi](patch-manager-find-noncompliant-nodes.md)
+ [Valori dello stato di conformità delle patch](patch-manager-compliance-states.md)
+ [Applicazione di patch a nodi gestiti non conformi](patch-manager-compliance-remediation.md)
# Identificazione di nodi gestiti non conformi
Out-of-compliance i nodi gestiti vengono identificati quando uno dei due AWS Systems Manager documenti (documenti SSM) viene eseguito. Questi documenti SSM fanno riferimento alla baseline delle patch idonea per ogni nodo gestito in Patch Manager, uno strumento di AWS Systems Manager. Essi valutano quindi lo stato della patch del nodo gestito e quindi rendono disponibili i risultati di conformità.
Esistono due documenti SSM utilizzati per identificare o aggiornare nodi gestiti non conformi: `AWS-RunPatchBaseline` e `AWS-RunPatchBaselineAssociation`. Ognuno di essi è utilizzato da processi diversi e i risultati di conformità sono disponibili attraverso diversi canali. La tabella seguente illustra le differenze tra questi documenti.
**Nota**
I dati sulla conformità delle patch Patch Manager possono essere inviati a AWS Security Hub CSPM. Security Hub CSPM offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione di patch del parco istanze. Per ulteriori informazioni, consulta [Integrazione con Patch Manager AWS Security Hub CSPM](patch-manager-security-hub-integration.md).
| | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` |
| --- | --- | --- |
| Processi che utilizzano il documento | **Patch on demand** - È possibile eseguire la scansione o applicare patch sui nodi gestiti su richiesta utilizzando l'opzione **Applica patch ora**. Per informazioni, consulta [Patching dei nodi gestiti on demand](patch-manager-patch-now-on-demand.md). **Policy di patch per Quick Setup di Systems Manager**: è possibile creare una configurazione di applicazione di patch in Quick Setup, uno strumento di AWS Systems Manager, per eseguire la scansione o l'installazione delle patch mancanti in base a pianificazioni separate per un'intera organizzazione, un sottoinsieme di unità organizzative o un singolo Account AWS. Per informazioni, consulta [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md). **Esegui un comando**: è possibile eseguire manualmente `AWS-RunPatchBaseline` in un'operazione di Run Command, uno strumento di AWS Systems Manager. Per informazioni, consulta [Esecuzione di comandi dalla console](running-commands-console.md). **Maintenance window (Finestra di manutenzione)** - È possibile creare una finestra di manutenzione che utilizza il documento SSM `AWS-RunPatchBaseline` in un tipo di attivitàRun Command. Per informazioni, consulta [Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console](maintenance-window-tutorial-patching.md). | **Gestione host per Quick Setup di Systems Manager**: è possibile abilitare un'opzione di configurazione della gestione host in Quick Setup per eseguire ogni giorno la scansione delle istanze gestite e verificare la conformità delle patch. Per informazioni, consulta [Configura la gestione host Amazon EC2 tramite Quick Setup](quick-setup-host-management.md). **Systems Manager [Explorer](Explorer.md)**: se lo consentiteExplorer, lo strumento esegue regolarmente la scansione delle istanze gestite per verificare la conformità delle patch e riporta i risultati nella Explorer dashboard. AWS Systems Manager |
| Formato dei dati dei risultati della scansione delle patch | Dopo l'esecuzione di `AWS-RunPatchBaseline`, Patch Manager invia un oggetto `AWS:PatchSummary` a Inventario, uno strumento di AWS Systems Manager. Questo report viene generato solo dopo aver eseguito correttamente le operazioni di applicazione delle patch e include un orario di acquisizione che identifica quando è stato calcolato lo stato di conformità. | Dopo l'esecuzione di `AWS-RunPatchBaselineAssociation`, Patch Manager invia un oggetto `AWS:ComplianceItem` a Systems Manager Inventory |
| Visualizzazione di report di conformità delle patch nella console | È possibile visualizzare le informazioni sulla conformità delle patch per i processi che utilizzano `AWS-RunPatchBaseline` in [Conformità della configurazione di Systems Manager](systems-manager-compliance.md) e [Utilizzo dei nodi gestiti](fleet-manager-managed-nodes.md). Per ulteriori informazioni, consulta [Visualizzazione dei risultati di conformità delle patch](patch-manager-view-compliance-results.md). | Quando si utilizza Quick Setup per eseguire la scansione delle istanze gestite per verificare la conformità delle patch, è possibile visualizzare il report di conformità in [Systems ManagerFleet Manager](fleet-manager.md). Nella console Fleet Manager, scegli l'ID del nodo gestito. Nel menu **Generale**, scegli **Conformità alla configurazione**. Quando si utilizza Explorer per eseguire la scansione delle istanze gestite per verificare la conformità delle patch, è possibile visualizzare il report di conformità sia in Explorerche [Systems ManagerOpsCenter](OpsCenter.md). |
| AWS CLI comandi per la visualizzazione dei risultati di conformità delle patch | Per i processi che utilizzano`AWS-RunPatchBaseline`, è possibile utilizzare i seguenti AWS CLI comandi per visualizzare informazioni di riepilogo sulle patch su un nodo gestito. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) | Per i processi che utilizzano`AWS-RunPatchBaselineAssociation`, è possibile utilizzare il AWS CLI comando seguente per visualizzare informazioni di riepilogo sulle patch su un'istanza. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) |
| Informazioni sull'applicazione di patch | Per i processi che utilizzano `AWS-RunPatchBaseline`, si specifica se si desidera che l'operazione esegua solo un'operazione `Scan` o un'operazione `Scan and install`. Se il tuo obiettivo è identificare i nodi gestiti non conformi e non correggerli, esegui solo un'operazione `Scan`. | I processi Quick Setup e Explorer, che utilizzano AWS-RunPatchBaselineAssociation, eseguono solo un'operazione Scan. |
| Ulteriori informazioni | [Documento di comando SSM per l'applicazione di patch: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) | [Documento di comando SSM per l'applicazione di patch: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md) |
Per informazioni sui vari stati di conformità delle patch che potrebbero essere riportati, consulta [Valori dello stato di conformità delle patch](patch-manager-compliance-states.md)
Per informazioni sulla correzione dei nodi gestiti che non rispettano la conformità delle patch, consulta [Applicazione di patch a nodi gestiti non conformi](patch-manager-compliance-remediation.md).
# Valori dello stato di conformità delle patch
Le informazioni sulle patch per un nodo gestito includono un rapporto sullo stato di ogni singola patch.
**Suggerimento**
Se desideri assegnare uno stato di conformità della patch specifico a un nodo gestito, puoi utilizzare il comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) AWS Command Line Interface (AWS CLI) o l'operazione [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API. L'assegnazione dello stato di conformità non è supportata nella console.
Utilizza le informazioni riportate nelle tabelle seguenti per riuscire a identificare i motivi per cui un nodo gestito potrebbe non essere conforme alle patch.
## Valori di conformità delle patch per Debian Server e Ubuntu Server
Per Debian Server e Ubuntu Server, le regole per la classificazione dei pacchetti nei vari stati di conformità sono descritte nella seguente tabella.
**Nota**
Tieni presente quanto segue, quando valuti i valori dello stato `INSTALLED`, `INSTALLED_OTHER` e `MISSING`: se non selezioni la casella di controllo **Includi aggiornamenti non di sicurezza** durante la creazione o l'aggiornamento di una baseline delle patch, le versioni patch candidate sono limitate alle patch nei seguenti repository:
Ubuntu Server 16.04 LTS: `xenial-security`
Ubuntu Server 18.04 LTS: `bionic-security`
Ubuntu Server 20.04 LTS: `focal-security`
Ubuntu Server 22.04 LTS (`jammy-security`)
Ubuntu Server 24.04 LTS (`noble-security`)
Ubuntu Server 25.04 (`plucky-security`)
`debian-security` (Debian Server)
Quando si seleziona l'opzione **Includi aggiornamenti non correlati alla sicurezza**, vengono considerate anche le patch di altri repository.
| Stato della patch | Description | Compliance status (Stato di conformità) |
| --- | --- | --- |
| **`INSTALLED`** | La patch non è inclusa nella baseline delle patch, ma è installata nel nodo gestito. Potrebbe essere stato installato manualmente da un individuo o automaticamente da Patch Manager quando il documento `AWS-RunPatchBaseline` è stato eseguito sul nodo gestito. | Conforme |
| **`INSTALLED_OTHER`** | La patch non è inclusa nella baseline, o non è approvata da essa ma è installata nel nodo gestito. La patch potrebbe essere stata installata manualmente, il pacchetto potrebbe essere una dipendenza obbligatoria di un'altra patch approvata oppure la patch potrebbe essere stata inclusa in un' InstallOverrideList operazione. Se non indichi `Block` come ** azione **Patch rifiutate, `INSTALLED_OTHER` include anche patch installate ma rifiutate. | Conforme |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` significa una delle due cose: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/patch-manager-compliance-states.html) In nessun caso ciò significa che una patch con questo stato *richieda* un riavvio, ma solo che il nodo non è stato riavviato dopo l'installazione della patch. | Non conforme |
| **`INSTALLED_REJECTED`** | La patch è installata nel nodo gestito, ma è specificata in un elenco di **Patch rifiutate**. Questo in genere significa che la patch è stata installata prima di essere aggiunta a un elenco di patch rifiutate. | Non conforme: |
| **`MISSING`** | La patch è approvata nella baseline, ma non è installata nel nodo gestito. Se configuri l'attività del documento `AWS-RunPatchBaseline` per l'analisi anziché per l'installazione, il sistema riporta questo stato per le patch individuate durante l'analisi ma non installate. | Non conforme |
| **`FAILED`** | La patch è approvata nella baseline, ma non è stato possibile installarla. Per risolvere questa situazione, esamina l'output del comando per ottenere informazioni utili per comprendere il problema. | Non conforme |
## Valori di conformità delle patch per altri sistemi operativi
Per tutti i sistemi operativi oltre a Debian Server e Ubuntu Server, le regole per la classificazione dei pacchetti nei vari stati di conformità sono descritte nella tabella seguente.
| Stato della patch | Description | Valore di conformità |
| --- | --- | --- |
| **`INSTALLED`** | La patch non è inclusa nella baseline delle patch, ma è installata nel nodo gestito. Potrebbe essere stato installato manualmente da un individuo o automaticamente da Patch Manager quando il documento `AWS-RunPatchBaseline` è stato eseguito sul nodo. | Conforme |
| **`INSTALLED_OTHER`**¹ | La patch non è inclusa nella baseline, ma è installata nel nodo. I possibili motivi sono due: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/patch-manager-compliance-states.html) | Conforme |
| **`INSTALLED_REJECTED`** | La patch è installata nel nodo gestito, ma è specificata in un elenco di Patch rifiutate. Questo in genere significa che la patch è stata installata prima di essere aggiunta a un elenco di patch rifiutate. | Non conforme: |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` significa una delle due cose: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/patch-manager-compliance-states.html) In nessun caso ciò significa che una patch con questo stato *richieda* un riavvio, ma solo che il nodo non è stato riavviato dopo l'installazione della patch. | Non conforme |
| **`MISSING`** | La patch è approvata nella baseline, ma non è installata nel nodo gestito. Se configuri l'attività del documento `AWS-RunPatchBaseline` per l'analisi anziché per l'installazione, il sistema riporta questo stato per le patch individuate durante l'analisi ma non installate. | Non conforme |
| **`FAILED`** | La patch è approvata nella baseline, ma non è stato possibile installarla. Per risolvere questa situazione, esamina l'output del comando per ottenere informazioni utili per comprendere il problema. | Non conforme |
| **`NOT_APPLICABLE`**¹ | *Questo stato di conformità viene segnalato solo per i sistemi operativi Windows Server.* La patch è approvata nella baseline, ma la funzionalità o il servizio da cui viene utilizzata non è installato nel nodo gestito. Ad esempio, una patch per un servizio server Web, come Internet Information Services (IIS), mostrerà `NOT_APPLICABLE` se è stata approvata nella baseline, ma il servizio Web non è installato nel nodo gestito. Una patch ha anche la possibilità di essere contrassegnata con `NOT_APPLICABLE` se è stata sostituita da un aggiornamento successivo. Ciò significa che è installato l'aggiornamento più recente e che l'aggiornamento `NOT_APPLICABLE` non è più richiesto. | Non applicabile |
| AVAILABLE\$1SECURITY\$1UPDATES | *Questo stato di conformità viene segnalato solo per i sistemi operativi Windows Server.* Una patch di aggiornamento di sicurezza disponibile, non approvata dalla baseline delle patch, può avere un valore di conformità di `Compliant` o `Non-Compliant`, come definito in una baseline di patch personalizzata. Quando si crea o si aggiorna una baseline delle patch, si sceglie lo stato da assegnare alle patch di sicurezza, disponibili ma non approvate, perché non soddisfano i criteri di installazione specificati nella baseline delle patch. Ad esempio, le patch di sicurezza che si desidera installare possono essere ignorate se è stato specificato un lungo periodo di attesa dopo il rilascio di una patch prima dell'installazione. Se un aggiornamento della patch viene rilasciato durante il periodo di attesa specificato, il periodo di attesa per l'installazione della patch ricomincia da capo. Se il periodo di attesa è troppo lungo, è possibile che più versioni della patch vengano rilasciate e mai installate. Per quanto riguarda il conteggio riepilogativo delle patch, quando una patch viene segnalata come `AvailableSecurityUpdate`, verrà sempre inclusa in `AvailableSecurityUpdateCount`. Se la baseline è configurata per riportare queste patch come `NonCompliant`, viene inclusa anche in `SecurityNonCompliantCount`. Se la baseline è configurata per riportare queste patch come `Compliant`, viene inclusa anche in `SecurityNonCompliantCount`. Queste patch vengono sempre segnalate con una gravità non specificata e non sono mai incluse nel `CriticalNonCompliantCount`. | Conforme o non conforme, a seconda dell'opzione selezionata per gli aggiornamenti di sicurezza disponibili. Utilizzando la console per creare o aggiornare una baseline delle patch, è possibile specificare questa opzione nel campo **Stato di conformità degli aggiornamenti di sicurezza disponibili**. Utilizzando il comando AWS CLI per eseguire il [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html)comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html)or, si specifica questa opzione nel `available-security-updates-compliance-status` parametro. |
¹ Per le patch con lo stato `INSTALLED_OTHER` e `NOT_APPLICABLE`, Patch Manager omette alcuni dati dai risultati delle query in base al comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html), ad esempio i valori per `Classification` e `Severity`. Questo aiuta a prevenire il superamento del limite di dati per i singoli nodi in Inventario, uno strumento di AWS Systems Manager. Per visualizzare tutti i dettagli della patch, è possibile utilizzare il comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html).
# Applicazione di patch a nodi gestiti non conformi
Molti degli stessi AWS Systems Manager strumenti e processi che è possibile utilizzare per verificare la conformità delle patch dei nodi gestiti possono essere utilizzati per rendere i nodi conformi alle regole di patch attualmente applicabili. Per rendere i nodi gestiti conformi alle patchPatch Manager, uno strumento deve eseguire un'`Scan and install`operazione. AWS Systems Manager(Se il tuo obiettivo è solo identificare i nodi gestiti non conformi ma non correggerli, esegui piuttosto un'operazione di `Scan`. Per ulteriori informazioni, consulta [Identificazione di nodi gestiti non conformi](patch-manager-find-noncompliant-nodes.md)).
**Installa le patch utilizzando Systems Manager**
È possibile scegliere tra diversi strumenti per eseguire un'operazione `Scan and install`:
+ (Consigliato) Configura una policy di patch in Quick Setup, uno strumento di Systems Manager, che consente di installare le patch mancanti in base alla pianificazione di un'intera organizzazione, un sottoinsieme di unità organizzative o di un singolo Account AWS. Per ulteriori informazioni, consulta [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md).
+ Crea una finestra di manutenzione che utilizza il documento di Systems Manager (documento SSM) `AWS-RunPatchBaseline` in un tipo di attività Run Command. Per informazioni, consulta [Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console](maintenance-window-tutorial-patching.md).
+ Esegui manualmente `AWS-RunPatchBaseline` in un'operazioneRun Command. Per informazioni, consulta [Esecuzione di comandi dalla console](running-commands-console.md).
+ Installa le patch su richiesta utilizzando l'opzione **Applica patch ora**. Per informazioni, consulta [Patching dei nodi gestiti on demand](patch-manager-patch-now-on-demand.md).
# Identificazione dell'esecuzione che ha creato i dati di conformità delle patch
I dati sulla conformità delle patch rappresentano un' point-in-timeistantanea dell'ultima operazione di patching riuscita. Ogni rapporto di conformità include sia un ID di esecuzione che un orario di acquisizione che consentono di identificare l'operazione che ha creato i dati di conformità e quando sono stati generati.
Quando si dispone di più tipi di operazioni per la scansione delle istanze al fine di verificarne la conformità alle patch, ogni analisi sovrascrive i dati di conformità delle patch delle scansioni precedenti. Di conseguenza, potresti ottenere risultati imprevisti nei dati di conformità delle patch.
Supponiamo ad esempio di creare una policy di patch che analizzi la conformità delle patch ogni giorno alle 2 del mattino ora locale. Tale policy di patch utilizza una baseline delle patch destinata alle patch con gravità `Critical`, `Important` e `Moderate`. Tale baseline delle patch indica inoltre alcune patch specificamente rifiutate.
Supponiamo inoltre che tu abbia già configurato una finestra di manutenzione, che non è possibile eliminare o disattivare per analizzare lo stesso set di nodi gestiti ogni giorno alle 16:00 ora locale. L'attività di quella finestra di manutenzione utilizza una baseline delle patch diversa, che si rivolge solo alle patch con severità `Critical` e non esclude alcuna patch specifica.
Quando la finestra di manutenzione esegue la seconda scansione, i dati di conformità delle patch della prima scansione vengono eliminati e sostituiti con quelli della seconda scansione.
Pertanto, consigliamo di utilizzare un solo metodo automatizzato per la scansione e l'installazione nelle operazioni di applicazione di patch. Se stai configurando le policy di patch, dovresti eliminare o disattivare altri metodi di scansione per verificarne la conformità. Per ulteriori informazioni, consulta i seguenti argomenti:
+ Per annullare un'attività di applicazione di patch da una finestra di manutenzione, consulta [Aggiornamento o annullamento della registrazione delle attività di una finestra di manutenzione utilizzando la console](sysman-maintenance-update.md#sysman-maintenance-update-tasks)
+ Per eliminare un'associazione State Manager, consulta [Eliminazione di associazioni](systems-manager-state-manager-delete-association.md).
Per disattivare le scansioni giornaliere di conformità delle patch in una configurazione di gestione host, segui questi passaggi in Quick Setup:
1. Nel pannello di navigazione, scegli **Quick Setup**.
1. Seleziona la configurazione di gestione host da aggiornare.
1. Scegli **Actions, Edit configuration** (Operazioni, Modifica configurazione).
1. Deseleziona la casella di controllo **Scan instances for missing patches daily** (Scansiona le istanze per le patch mancanti ogni giorno).
1. Scegliere **Aggiorna**.
**Nota**
L'utilizzo dell'opzione **Patch now** (Applica subito una patch) per verificare la conformità di un nodo gestito comporta anche una sovrascrittura dei dati di conformità delle patch.
# Patching dei nodi gestiti on demand
Tramite l'utilizzo di **Applica patch ora** in Patch Manager, uno strumento di AWS Systems Manager, è possibile eseguire operazioni di patch su richiesta dalla console di Systems Manager. Ciò significa che non è necessario creare una pianificazione per aggiornare lo stato di conformità dei tuoi nodi gestiti o per installare patch su nodi non conformi. Inoltre, non è necessario passare dalla console Systems Manager alla console di Systems Manager Patch Manager e Maintenance Windows viceversa per impostare o modificare una finestra di patching pianificata. AWS Systems Manager
**Applica patch ora ** è particolarmente utile quando è necessario applicare aggiornamenti zero-day o installare altre patch fondamentali nei nodi gestiti il prima possibile.
**Nota**
L'applicazione di patch su richiesta è supportata per una singola Account AWSRegione AWS coppia alla volta. Non può essere utilizzata per l'applicazione di patch basate su *policy di patch*. Ti consigliamo di mantenere la conformità tra tutti i nodi gestiti tramite le policy di patch. Per ulteriori informazioni sull'utilizzo delle policy di patch, consulta [Configurazioni delle policy di patch in Quick Setup](patch-manager-policies.md).
**Topics**
+ [Come funziona “Applica patch ora”](#patch-on-demand-how-it-works)
+ [Esecuzione di “Applica patch ora”](#run-patch-now)
## Come funziona “Applica patch ora”
Per eseguire **Applica patch ora**, si specificano solo due impostazioni richieste:
+ Se eseguire la scansione solo per le patch mancanti o per eseguire la scansione di *e*, installare patch sui nodi gestiti
+ Su quali nodi gestiti eseguire l'operazione
Quando viene eseguita l'operazione **Patch now**, determina quale base patch utilizzare nello stesso modo in cui viene selezionata per altre operazioni di patch. Se un nodo gestito è associato a un gruppo di patch, viene utilizzata la baseline delle patch specificata per quel gruppo. Se il nodo gestito non è associato a un gruppo di patch, l'operazione utilizza la baseline delle patch attualmente impostata come di default per il tipo di sistema operativo del nodo gestito. Può trattarsi di una baseline predefinita o di una baseline personalizzata impostata come predefinita. Per ulteriori informazioni sulla selezione della baseline delle patch, consulta [Gruppi di patch](patch-manager-patch-groups.md).
Le opzioni che è possibile specificare per **Applica subito patch** includono la scelta di quando o se riavviare i nodi gestiti dopo l'applicazione di patch, la specificazione di un bucket Amazon Simple Storage Service (Amazon S3) per memorizzare i dati di log relativi a operazione di applicazione di patch ed esecuzione dei documenti di Systems Manager (documenti SSM) come hook del ciclo di vita durante l'applicazione di patch.
### Soglie di concorrenza e di errore per “Applica patch ora”
Per **Applica patch ora**, le opzioni di concorrenza e soglia di errore sono gestite da Patch Manager. Non è necessario specificare su quanti nodi gestiti applicare la patch contemporaneamente, né quanti errori sono consentiti prima che l'operazione abbia esito negativo. Patch Manager applica le impostazioni di soglia di concorrenza e di errore descritte nelle tabelle seguenti quando si esegue la patch su richiesta.
**Importante**
Le seguenti soglie si applicano solo a operazioni `Scan and install`. Per le operazioni `Scan`,Patch Manager tenta di scansionare contemporaneamente fino a 1.000 nodi e continuare la scansione fino a quando non ha riscontrato fino a 1.000 errori.
**Concurrency: operazioni di installazione**
| Numero totale di nodi gestiti nell'operazione **Patch now** | Numero di nodi gestiti sottoposti a scansione o a cui vengono applicate patch contemporaneamente |
| --- | --- |
| Meno di 25 | 1 |
| 25-100 | 5% |
| da 101 a 1.000 | 8% |
| Oltre 1.000 | 10% |
**Soglia di errore: operazioni di installazione**
| Numero totale di nodi gestiti nell'operazione **Patch now** | Numero di errori consentiti prima che l'operazione non vada a buon fine |
| --- | --- |
| Meno di 25 | 1 |
| 25-100 | 5 |
| Da 101 a 1.000 | 10 |
| Oltre 1.000 | 10 |
### Utilizzo degli hook del ciclo di vita “Applica patch ora”
**Applica patch ora** offre la possibilità di eseguire documenti di comando SSM come hook del ciclo di vita durante un'operazione di applicazione di patch `Install`. È possibile utilizzare questi hook per attività quali l'arresto delle applicazioni prima dell'applicazione di patch o dell'esecuzione dei controlli di integrità delle applicazioni dopo l'applicazione di patch o in seguito a un riavvio.
Per ulteriori informazioni sull'utilizzo di Hook del ciclo di vita, consulta [Documento di comando SSM per l'applicazione di patch: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md).
Nella tabella seguente sono elencati hook del ciclo di vita disponibili per ognuna delle tre opzioni di riavvio di **Applica patch ora**, oltre agli usi di esempio per ciascun hook.
**Hook del ciclo di vita e usi di esempio**
| Opzione di riavvio | Hook: prima dell'installazione | Hook: dopo l'installazione | Hook: in uscita | Hook: dopo il riavvio pianificato |
| --- | --- | --- | --- | --- |
| Riavvia se necessario | Eseguire un documento di SSM prima di iniziare l'applicazione di patch. Esempio di utilizzo: arrestare le applicazioni in modo sicuro prima dell'inizio del processo di applicazione di patch. | Eseguire un documento SSM al termine dell'operazione di applicazione di patch e prima del riavvio nodo gestito. Esempio di utilizzo: eseguire operazioni come l'installazione di applicazioni di terze parti prima di un potenziale riavvio. | Esegui un documento SSM dopo il completamento dell'operazione di applicazione di patch e il riavvio delle istanze. Esempio di utilizzo: assicurarsi che le applicazioni siano in esecuzione come previsto dopo l'applicazione di patch. | Non disponibile |
| Non riavviare le istanze | Come sopra. | Eseguire un documento SSM al termine dell'operazione di applicazione di patch. Esempio di utilizzo: assicurarsi che le applicazioni siano in esecuzione come previsto dopo l'applicazione di patch. | *Non disponibile* | *Non disponibile* |
| Pianificare un tempo di riavvio | Come sopra. | Stessa cosa per Non riavviare le istanze. | Non disponibile | Esegui un documento SSM immediatamente dopo il completamento di un riavvio pianificato. Esempio di utilizzo: assicurarsi che le applicazioni siano in esecuzione come previsto dopo il riavvio. |
## Esecuzione di “Applica patch ora”
Utilizza la procedura seguente per applicare patch ai tuoi nodi gestiti on demand.
**Per eseguire “Applica patch ora”**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Scegli **Applica patch ora**.
1. Per **Operazione di applicazione di patch**, scegli una delle opzioni seguenti:
+ **Scan**: Patch Manager trova quali patch mancano dai tuoi nodi gestiti ma non le installa. È possibile visualizzare i risultati nel pannello di controllo **Conformità** o in altri strumenti utilizzati per la visualizzazione della conformità delle patch.
+ **Scansione e installazione**: Patch Manager trova quali patch mancano ai tuoi nodi gestiti e le installa.
1. Utilizza questa fase solo se è stato scelto**Scansione e installazione** nella fase precedente. Per **Regions (Regioni)**, scegli una delle seguenti opzioni:
+ **Riavvia se necessario**: Dopo l'installazione, Patch Manager riavvia i nodi gestiti solo se necessario per completare un'installazione di patch.
+ **Non riavviare le mie istanze**: Dopo l'installazione, Patch Manager non riavvia i nodi gestiti. È possibile riavviare manualmente i nodi gestiti quando si sceglie o si gestiscono i riavvii al di fuori di Patch Manager.
+ **Pianificare un tempo di riavvio**: specificare la data, l'ora e il fuso orario UTC per Patch Manager per riavviare i nodi gestiti. Dopo aver eseguito l'operazione **Applica patch ora**, il riavvio pianificato viene elencato come associazione in State Manager con il nome `AWS-PatchRebootAssociation`.
**Importante**
Se si annulla l'operazione di patching principale dopo che è stata avviata, l'`AWS-PatchRebootAssociation`associazione in NON State Manager viene annullata automaticamente. Per evitare riavvii imprevisti, è necessario eliminare manualmente `AWS-PatchRebootAssociation` FROM State Manager se non si desidera più che si verifichi il riavvio pianificato. In caso contrario, potrebbero verificarsi riavvii non pianificati del sistema che potrebbero influire sui carichi di lavoro di produzione. È possibile trovare questa associazione nella console Systems Manager sotto **State Manager**> **Associazioni**.
1. Per **Instances to patch (Istanze a cui applicare le patch)**, scegliere una delle seguenti opzioni:
+ **Patch tutte le istanze**: Patch Manager esegue l'operazione specificata su tutti i nodi gestiti della versione corrente Regione AWS. Account AWS
+ **Applica patch solo alle istanze di destinazione specificate**: è possibile specificare i nodi gestiti da assegnare nel passaggio successivo.
1. Utilizzare questa fase solo se è stato scelto **Applica patch solo alle istanze di destinazione specificate** nella fase precedente. Nella sezione **Selezione target**, identificare i nodi gestiti in cui si desidera eseguire questa operazione specificando i tag, selezionando i nodi gestiti manualmente o specificando un gruppo di risorse.
**Nota**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
Se scegli come target un gruppo di risorse, tieni presente che i gruppi di risorse basati su uno AWS CloudFormation stack devono comunque essere etichettati con il tag predefinito`aws:cloudformation:stack-id`. Se è stato rimosso, Patch Manager potrebbe non essere in grado di determinare quali nodi gestiti appartengono al gruppo di risorse.
1. (Facoltativo) Per **Archiviazione di log di applicazione di patch**, se si desidera creare e salvare i log da questa operazione di applicazione di patch, selezionare il bucket S3 per la memorizzazione dei log.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova in un altro bucket Account AWS, assicurati che il profilo di istanza o il ruolo del servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. (Facoltativo) Se si desidera eseguire documenti SSM come hook del ciclo di vita durante punti specifici dell'operazione di applicazione di patch, eseguire le operazioni seguenti:
+ Scegliere **Usa hook del ciclo di vita**.
+ Per ogni hook disponibile, selezionare il documento SSM da eseguire nel punto specificato dell'operazione:
+ Prima dell'installazione
+ Dopo l'installazione
+ All'uscita
+ Dopo il riavvio pianificato
**Nota**
Il documento predefinito, `AWS-Noop`, non esegue alcuna operazione.
1. Scegli **Applica patch ora**.
Viene aperta la pagina **Resoconto di esecuzione dell'associazione**. La patch ora utilizza le associazioni in State Manager, uno strumento di AWS Systems Manager, per le sue operazioni). Nell'area **Riepilogo dell'operazione** è possibile monitorare lo stato della scansione o dell'applicazione di patch nei nodi gestiti specificati.
# Apertura con le baseline delle patch
Una baseline delle patch in Patch Manager, uno strumento di AWS Systems Manager, definisce le patch approvate da installare nei nodi gestiti. È possibile specificare singolarmente le patch approvate o rifiutate. È possibile anche creare regole di approvazione automatica per specificare che determinati tipi di aggiornamenti (ad esempio, quelli critici) devono essere approvati automaticamente. L'elenco dei rifiutati ha la priorità sulle regole e sull'elenco di quelli approvati. Per utilizzare un elenco di patch approvate per installare pacchetti specifici, è necessario, innanzitutto, rimuovere tutte le regole di approvazione automatica. Quando identifichi esplicitamente una patch come rifiutata, non verrà approvata né installata, anche se corrisponde a tutti i criteri specificati in una regola di approvazione automatica. Inoltre, verrà installata una patch in un nodo gestito solo se è valida per il software del nodo, anche se tale patch è stata comunque approvata per il nodo gestito.
**Topics**
+ [Visualizzazione delle linee di base delle patch AWS predefinite](patch-manager-view-predefined-patch-baselines.md)
+ [Utilizzo delle baseline delle patch personalizzate](patch-manager-manage-patch-baselines.md)
+ [Impostare una baseline delle patch esistente come predefinita](patch-manager-default-patch-baseline.md)
**Ulteriori informazioni**
+ [Patch di base](patch-manager-patch-baselines.md)
# Visualizzazione delle linee di base delle patch AWS predefinite
Patch Manager, uno strumento di AWS Systems Manager, include una linea di base di patch predefinita per ogni sistema operativo supportato da. Patch Manager È possibile utilizzare queste baseline delle patch predefinite, che non possono essere personalizzate, oppure crearne una personale. La procedura seguente descrive come visualizzare una baseline delle patch predefinita per vedere se soddisfa le proprie esigenze. Per ulteriori informazioni sulle baseline delle patch, consulta [Baseline delle patch predefinite e personalizzate](patch-manager-predefined-and-custom-patch-baselines.md).
**Per visualizzare le linee di base delle patch AWS predefinite**
1. Aprire la console all'indirizzo. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Nell'elenco delle baseline delle patch scegliere l'ID di una delle baseline delle patch predefinite.
oppure
Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli **Inizia con una panoramica**, scegli la scheda **Baseline delle patch**, quindi scegli l'ID di baseline delle patch predefinite.
**Nota**
Per Windows Server, vengono fornite tre baseline delle patch predefinite. Le baseline delle patch `AWS-DefaultPatchBaseline` e `AWS-WindowsPredefinedPatchBaseline-OS` supportano solo gli aggiornamenti del sistema operativo Windows stesso. `AWS-DefaultPatchBaseline`Viene utilizzato come baseline delle patch di default per nodi gestiti Windows Server a meno che non si specifichi una baseline delle patch diversa. Le impostazioni di configurazione in queste due baseline delle patch sono le stesse. Il più recente dei due, `AWS-WindowsPredefinedPatchBaseline-OS`, è stato creato per distinguerlo dalla terza baseline delle patch predefinita per Windows Server. Quella baseline delle patch, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, può essere utilizzata per applicare patch sia nel sistema operativo Windows Server che nelle applicazioni supportate rilasciate da Microsoft.
Per ulteriori informazioni, consulta [Impostare una baseline delle patch esistente come predefinita](patch-manager-default-patch-baseline.md).
1. Nella sezione **Regole di approvazione**, rivedi la configurazione della baseline delle patch.
1. Se la configurazione è accettabile per i tuoi nodi gestiti, è possibile passare direttamente alla procedura [Creazione e gestione di gruppi di patch](patch-manager-tag-a-patch-group.md).
oppure
Per creare una baseline delle patch predefinita personale, proseguire con l'argomento [Utilizzo delle baseline delle patch personalizzate](patch-manager-manage-patch-baselines.md).
# Utilizzo delle baseline delle patch personalizzate
Patch Manager, uno strumento in AWS Systems Manager, include una patch di base predefinita per ogni sistema operativo supportato da. Patch Manager È possibile utilizzare queste baseline delle patch predefinite, che non possono essere personalizzate, oppure crearne una personale.
Le seguenti procedure descrivono come creare, aggiornare e cancellare le proprie baseline delle patch personalizzate. Per ulteriori informazioni sulle baseline delle patch, consulta [Baseline delle patch predefinite e personalizzate](patch-manager-predefined-and-custom-patch-baselines.md).
**Topics**
+ [Creazione di una baseline delle patch personalizzata per Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Creazione di una baseline delle patch personalizzata per macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Creazione di una baseline delle patch personalizzata per Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Aggiornamento o eliminazione di una baseline delle patch personalizzata](patch-manager-update-or-delete-a-patch-baseline.md)
# Creazione di una baseline delle patch personalizzata per Linux
Utilizza la procedura seguente per creare una baseline delle patch personalizzata per i nodi gestiti da Linux in Patch Manager, uno strumento di AWS Systems Manager.
Per informazioni sulla creazione di una baseline delle patch per i nodi gestiti macOS, vedi [Creazione di una baseline delle patch personalizzata per macOS](patch-manager-create-a-patch-baseline-for-macos.md). Per informazioni sulla creazione di una baseline delle patch per i nodi gestiti di Windows, consulta [Creazione di una baseline delle patch personalizzata per Windows Server](patch-manager-create-a-patch-baseline-for-windows.md).
**Per creare una baseline delle patch personalizzata per i nodi gestiti da Linux**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Scegli la scheda **Baseline delle patch** e quindi **Crea baseline delle patch**.
oppure
Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli **Inizia da una panoramica**, scegli la scheda **baseline delle patch** e quindi **Crea una baseline delle patch**.
1. Nel campo **Nome** inserisci il nome della nuova baseline delle patch, ad esempio `MyRHELPatchBaseline`.
1. (Facoltativo) Per **Descrizione**, inserisci una descrizione per questa baseline delle patch.
1. Per **Sistema operativo**, scegli un sistema operativo, ad esempio `Red Hat Enterprise Linux`.
1. Se desideri iniziare a utilizzare questa patch di base come predefinita per il sistema operativo selezionato non appena la crei, seleziona la casella accanto a **Imposta questa patch baseline come patch baseline predefinita per le istanze**. *operating system name*
**Nota**
Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta a Patch Manager prima del rilascio delle [policy di patch](patch-manager-policies.md) del 22 dicembre 2022.
Per informazioni sull'impostazione di una baseline delle patch esistente come predefinita, consulta [Impostare una baseline delle patch esistente come predefinita](patch-manager-default-patch-baseline.md).
1. Nella sezione **Regole di approvazione per sistema operativo** utilizza i campi per creare una o più regole di approvazione automatica.
+ **Prodotti**: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio `RedhatEnterpriseLinux7.4`. L'opzione predefinita è `All`.
+ **Classificazione**: il tipo di patch a cui si applica la regola di approvazione, ad esempio `Security` o `Enhancement`. L'opzione predefinita è `All`.
**Suggerimento**
È possibile configurare una baseline delle patch per controllare se sono installati aggiornamenti di versione secondaria per Linux, ad esempio RHEL 7.8. Aggiornamenti di versione secondari possono essere installati in automatico da Patch Manager a condizione che l'aggiornamento sia disponibile nel repository appropriato.
Per i sistemi operativi Linux, gli aggiornamenti delle versioni secondari non sono classificati in modo coerente. Possono essere classificati come correzioni di bug o aggiornamenti di sicurezza, o non classificati, anche all'interno della stessa versione del kernel. Ecco alcune opzioni per controllare se una baseline delle patch ne esegue l'installazione.
**Opzione 1**: la regola di approvazione più ampia per garantire l'installazione di aggiornamenti di versioni secondarie quando disponibili consiste nello specificare il campo **Classificazione** come `All` (\$1) e scegliere l'opzione **Includi aggiornamenti non relativi alla sicurezza**.
**Opzione 2**: per garantire che siano installate patch per una versione del sistema operativo, è possibile utilizzare un carattere jolly (\$1) per specificare il formato del kernel nella sezione **Eccezioni patch** della baseline delle patch. Ad esempio, il formato del kernel per RHEL 7.\$1 è `kernel-3.10.0-*.el7.x86_64`.
Immettere `kernel-3.10.0-*.el7.x86_64` nell'elenco **Approved patches (Patch approvate)** nella baseline delle patch per assicurarsi che tutte le patch, inclusi gli aggiornamenti delle versioni secondarie, vengano applicate ai nodi gestiti RHEL 7.\$1. (Se conosci il nome esatto del pacchetto di una patch di versione secondaria, è possibile inserirlo quello invece.)
**Opzione 3**: puoi avere il massimo controllo su quali patch vengono applicate ai nodi gestiti, inclusi gli aggiornamenti di versione minori, utilizzando il parametro nel documento. [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist)`AWS-RunPatchBaseline` Per ulteriori informazioni, consulta [Documento di comando SSM per l'applicazione di patch: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
+ **Gravità**: il valore di gravità delle patch a cui si applica la regola, ad esempio `Critical`. L'opzione predefinita è `All`.
+ **Approvazione automatico**: il metodo per selezionare le patch per l'approvazione automatica.
**Nota**
Poiché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Ubuntu Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.
+ **Approva le patch dopo un determinato numero di giorni**: il numero di giorni in cui Patch Manager Patch Manager deve attendere dopo il rilascio o l'ultimo aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.
+ **Approva le patch rilasciate fino a una data specifica**: la data di rilascio delle patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate prima di tale data (inclusa). Ad esempio, se specifichi il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.
+ (Facoltativo) **Report di conformità**: il livello di gravità da assegnare alle patch approvate dalla baseline, ad esempio `Critical` o `High`.
**Nota**
Se specifichi un livello di report di conformità e lo stato delle patch approvate viene riportato come `Missing`, la gravità di conformità complessiva riportata dalla baseline delle patch corrisponde al livello di gravità specificato.
+ **Includi aggiornamenti non relativi alla sicurezza**: seleziona la casella per installare le patch del sistema operativo Linux non relative alla sicurezza disponibili nel repository di origine, oltre a quelle relative alla sicurezza.
Per ulteriori informazioni sulle operazioni con le regole di approvazione in una baseline delle patch personalizzata, consulta [Baseline personalizzate](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Per approvare esplicitamente qualsiasi patch oltre a quelle che soddisfano le regole di approvazione, procedere come segue nella sezione **Eccezioni patch**:
+ In **Patch approvate**, inserisci un elenco separato da virgole delle patch che desideri approvare.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md).
+ (Facoltativo) In **Livello di conformità patch approvate**, assegna un livello di conformità alle patch dell'elenco.
+ Se qualche patch approvata e specificata non è correlata alla sicurezza, seleziona la casella di controllo **Includi aggiornamenti non critici** per installare anche queste patch sul sistema operativo Linux.
1. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione **Eccezioni patch**:
+ In **Patch rifiutate**, inserisci un elenco separato da virgole delle patch che desideri rifiutare.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md).
+ In **Operazione patch rifiutate**, seleziona l'operazione che Patch Manager effettuerà sulle patch incluse nell'elenco **Patch rifiutate**.
+ **Consenti come dipendenza**: un pacchetto dell'elenco **Patch rifiutate** viene installato solo se è incluso automaticamente in un altro pacchetto. È considerato conforme alla linea di base della patch e il suo stato è riportato come. *InstalledOther* Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.
+ **Blocca**: i pacchetti dell'elenco **Patch rifiutate** e quelli che le includono come dipendenze non verranno installati da Patch Manager in alcun caso. Se un pacchetto è stato installato prima di essere stato aggiunto all'elenco **Patch rifiutate**, oppure è stato successivamente installato fuori da Patch Manager, viene considerato non conforme alla baseline delle patch e il relativo stato è *InstalledRejected*.
**Nota**
Patch Manager cerca le dipendenze delle patch in modo ricorsivo.
1. **(Facoltativo) Se desideri specificare repository di patch alternativi per diverse versioni di un sistema operativo, ad esempio *AmazonLinux2016.03 e *AmazonLinux2017.09**, procedi come segue per ogni prodotto nella sezione Fonti delle patch:**
+ In **Nome**, inserisci un nome per semplificare l'identificazione della configurazione di origine.
+ In **Prodotto**, seleziona la versione dei sistemi operativi a cui è destinato il repository di origine delle patch, ad esempio `RedhatEnterpriseLinux7.4`.
+ In **Configurazione**, immetti il valore della configurazione del repository da utilizzare nel formato appropriato:
------
#### [ Example for yum repositories ]
```
[main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
```
**Suggerimento**
Per informazioni sulle altre opzioni disponibili per la configurazione del repository yum, consulta [dnf.conf(5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).
------
#### [ Examples for Ubuntu Server and Debian Server ]
`deb http://security.ubuntu.com/ubuntu jammy main`
`deb https://site.example.com/debian distribution component1 component2 component3`
Le informazioni sui repository per quelli di Ubuntu Server devono essere specificate in un'unica riga. Per ulteriori esempi e informazioni, consulta [jammy (5) sources.list.5.gz](https://manpages.ubuntu.com/manpages/jammy/man5/sources.list.5.html) sul sito web dei *Manuali di Ubuntu Server* e [il formato sources.list](https://wiki.debian.org/SourcesList#sources.list_format) sulla *Wiki Debian*.
------
Sceglie **Aggiungi un'altra origine** per specificare un repository di origine per ciascuna versione aggiuntiva del sistema operativo, fino a un massimo di 20.
Per ulteriori informazioni sui repository di patch di origine alternativi, consulta [Come specificare un repository alternativo di origine delle patch (Linux)](patch-manager-alternative-source-repository.md).
1. (Facoltativo) Per **Gestisci tag**, applica una o più name/value coppie di chiavi di tag alla baseline della patch.
I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una baseline delle patch per identificare il livello di gravità delle patch che specifica, la famiglia del sistema operativo a cui si applica e il tipo di ambiente. In questo caso, è possibile specificare tag simili alle seguenti name/value coppie di chiavi:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Scegli **Crea una baseline delle patch**.
# Creazione di una baseline delle patch personalizzata per macOS
Utilizza la procedura seguente per creare una baseline delle patch personalizzata per i nodi gestiti da macOS in Patch Manager, uno strumento di AWS Systems Manager.
Per informazioni sulla creazione di una baseline delle patch per i nodi gestiti Windows Server, vedi [Creazione di una baseline delle patch personalizzata per Windows Server](patch-manager-create-a-patch-baseline-for-windows.md). Per informazioni sulla creazione di una baseline delle patch per i nodi gestiti Linux, vedi [Creazione di una baseline delle patch personalizzata per Linux](patch-manager-create-a-patch-baseline-for-linux.md).
**Nota**
macOSnon è supportato in tutto Regioni AWS. Per ulteriori informazioni sul supporto di Amazon EC2 per macOS, consulta [Istanze Amazon EC2 Mac](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) nella *Guida per l'utente di Amazon EC2*.
**Creazione di una baseline delle patch personalizzata per i nodi gestiti macOS**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Scegli la scheda **Baseline delle patch** e quindi **Crea baseline delle patch**.
oppure
Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli **Inizia da una panoramica**, scegli la scheda **baseline delle patch** e quindi **Crea una baseline delle patch**.
1. Nel campo **Nome** inserisci il nome della nuova baseline delle patch, ad esempio `MymacOSPatchBaseline`.
1. (Facoltativo) Per **Descrizione**, inserisci una descrizione per questa baseline delle patch.
1. Per **Sistema operativo**, seleziona macOS.
1. Se desideri cominciare a utilizzare subito la baseline delle patch appena creata come impostazione predefinita per macOS, seleziona la casella vicino a **Rendi predefinita questa baseline delle patch per le istanze di macOS**.
**Nota**
Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta a Patch Manager prima del rilascio delle [policy di patch](patch-manager-policies.md) del 22 dicembre 2022.
Per informazioni sull'impostazione di una baseline delle patch esistente come predefinita, consulta [Impostare una baseline delle patch esistente come predefinita](patch-manager-default-patch-baseline.md).
1. Nella sezione **Regole di approvazione per sistema operativo** utilizza i campi per creare una o più regole di approvazione automatica.
+ **Prodotti**: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio `BigSur11.3.1` o `Ventura13.7`. L'opzione predefinita è `All`.
+ **Classificazione**: Il gestore di pacchetti o i gestori di pacchetti a cui si desidera applicare i pacchetti durante il processo di applicazione delle patch. È possibile scegliere tra le seguenti opzioni:
+ softwareupdate
+ Installer (Programma di installazione)
+ Brew
+ Brew cask
L'opzione predefinita è `All`.
+ (Facoltativo) **Report di conformità**: il livello di gravità da assegnare alle patch approvate dalla baseline, ad esempio `Critical` o `High`.
**Nota**
Quando si specifica un livello di report di conformità e lo stato delle patch approvate viene riportato come `Missing`, la gravità di conformità complessiva riportata dalla baseline delle patch corrisponde al livello di gravità specificato.
Per ulteriori informazioni sulle operazioni con le regole di approvazione in una baseline delle patch personalizzata, consulta [Baseline personalizzate](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Per approvare esplicitamente qualsiasi patch oltre a quelle che soddisfano le regole di approvazione, procedere come segue nella sezione **Eccezioni patch**:
+ In **Patch approvate**, inserisci un elenco separato da virgole delle patch che desideri approvare.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md).
+ (Facoltativo) In **Livello di conformità patch approvate**, assegna un livello di conformità alle patch dell'elenco.
1. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione **Eccezioni patch**:
+ In **Patch rifiutate**, inserisci un elenco separato da virgole delle patch che desideri rifiutare.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md).
+ In **Operazione patch rifiutate**, seleziona l'operazione che Patch Manager effettuerà sulle patch incluse nell'elenco **Patch rifiutate**.
+ **Consenti come dipendenza**: un pacchetto dell'elenco **Patch rifiutate** viene installato solo se è incluso automaticamente in un altro pacchetto. È considerato conforme alla linea di base della patch e il suo stato è riportato come. *InstalledOther* Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.
+ **Blocca**: i pacchetti dell'elenco **Patch rifiutate** e quelli che le includono come dipendenze non verranno installati da Patch Manager in alcun caso. Se un pacchetto è stato installato prima di essere stato aggiunto all'elenco **Patch rifiutate**, oppure è stato successivamente installato fuori da Patch Manager, viene considerato non conforme alla baseline delle patch e il relativo stato è *InstalledRejected*.
1. (Facoltativo) Per **Gestisci tag**, applica una o più name/value coppie di chiavi di tag alla linea di base della patch.
I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una baseline delle patch per identificare il livello di gravità delle patch che specifica, il gestore di pacchetti a cui si applica e il tipo di ambiente. In questo caso, è possibile specificare tag simili alle seguenti name/value coppie di chiavi:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=PackageManager,Value=softwareupdate`
+ `Key=Environment,Value=Production`
1. Scegli **Crea una baseline delle patch**.
# Creazione di una baseline delle patch personalizzata per Windows Server
Utilizza la procedura seguente per creare una baseline delle patch personalizzata per i nodi gestiti di Windows in Patch Manager, uno strumento di AWS Systems Manager.
Per informazioni sulla creazione di una baseline delle patch per i nodi gestiti Linux, vedi [Creazione di una baseline delle patch personalizzata per Linux](patch-manager-create-a-patch-baseline-for-linux.md). Per informazioni sulla creazione di baseline delle patch per i nodi gestiti da macOS, vedi [Creazione di una baseline delle patch personalizzata per macOS](patch-manager-create-a-patch-baseline-for-macos.md).
Per un esempio di creazione di una baseline delle patch limitata solo all'installazione di Windows Service Pack, consulta [Tutorial: creare una baseline delle patch per l'installazione di Windows Service Pack tramite la console](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
**Creazione di una baseline delle patch personalizzata (Windows)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Scegli la scheda **Baseline delle patch** e quindi **Crea baseline delle patch**.
oppure
Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli **Inizia da una panoramica**, scegli la scheda **baseline delle patch** e quindi **Crea una baseline delle patch**.
1. Nel campo **Nome** inserisci il nome della nuova baseline delle patch, ad esempio `MyWindowsPatchBaseline`.
1. (Facoltativo) Per **Descrizione**, inserisci una descrizione per questa baseline delle patch.
1. Per **Sistema operativo**, seleziona `Windows`.
1. Per lo **stato di conformità degli aggiornamenti di sicurezza disponibili**, scegli lo stato che desideri assegnare alle patch di sicurezza, disponibili, ma non approvate, perché non soddisfano i criteri di installazione specificati nella baseline delle patch, **Non conforme** o **Conforme**.
Scenario di esempio: le patch di sicurezza che potresti voler installare possono essere ignorate, se hai specificato un lungo periodo di attesa dopo il rilascio di una patch prima dell'installazione. Se un aggiornamento della patch viene rilasciato durante il periodo di attesa specificato, il periodo di attesa per l'installazione della patch ricomincia da capo. Se il periodo di attesa è troppo lungo, è possibile che più versioni della patch vengano rilasciate, ma non installate mai.
1. Se desideri iniziare a utilizzare subito questa baseline delle patch appena creata come impostazione predefinita per Windows, seleziona **Rendi predefinita questa baseline delle patch per le istanze di Windows Server**.
**Nota**
Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta a Patch Manager prima del rilascio delle [policy di patch](patch-manager-policies.md) del 22 dicembre 2022.
Per informazioni sull'impostazione di una baseline delle patch esistente come predefinita, consulta [Impostare una baseline delle patch esistente come predefinita](patch-manager-default-patch-baseline.md).
1. Nella sezione **Regole di approvazione per i sistemi operativi**, utilizza i campi per creare una o più regole di approvazione automatica.
+ **Prodotti**: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio `WindowsServer2012`. L'opzione predefinita è `All`.
+ **Classificazione**: il tipo di patch a cui si applica la regola di approvazione, ad esempio `CriticalUpdates`, `Drivers` e `Tools`. L'opzione predefinita è `All`.
**Suggerimento**
È possibile includere le installazioni di Windows Service Pack nelle regole di approvazione includendo `ServicePacks` o scegliendo `All` nell'elenco **Classificazione**. Per vedere un esempio, consulta [Tutorial: creare una baseline delle patch per l'installazione di Windows Service Pack tramite la console](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
+ **Gravità**: il valore di gravità delle patch a cui si applica la regola, ad esempio `Critical`. L'opzione predefinita è `All`.
+ **Approvazione automatico**: il metodo per selezionare le patch per l'approvazione automatica.
+ **Approva le patch dopo un determinato numero di giorni**: il numero di giorni in cui Patch Manager Patch Manager deve attendere dopo il rilascio o l'aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.
+ **Approva le patch rilasciate fino a una data specifica**: la data di rilascio delle patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate prima di tale data (inclusa). Ad esempio, se si specifica il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.
+ (Facoltativo) **Report di conformità**: il livello di gravità da assegnare alle patch approvate dalla baseline, ad esempio `High`.
**Nota**
Se specifichi un livello di report di conformità e lo stato delle patch approvate viene riportato come `Missing`, la gravità di conformità complessiva riportata dalla baseline delle patch corrisponde al livello di gravità specificato.
1. (Facoltativo) Nella sezione **Regole di approvazione per le applicazioni**, utilizza i campi per creare una o più regole di approvazione automatica.
**Nota**
Anziché specificare le regole di approvazione, è possibile specificare elenchi di patch approvate e rifiutate come eccezioni di patch. Vedere i passaggi 10 e 11.
+ **Famiglia di prodotti**: la famiglia di prodotti Microsoft generale per cui si desidera specificare una regola, ad esempio `Office` o `Exchange Server`.
+ **Prodotti**: la versione dell'applicazione a cui si applica la regola di approvazione, ad esempio `Office 2016` o `Active Directory Rights Management Services Client 2.0 2016`. L'opzione predefinita è `All`.
+ **Classificazione**: il tipo di patch a cui si applica la regola di approvazione, ad esempio `CriticalUpdates`. L'opzione predefinita è `All`.
+ **Gravità**: il valore di gravità delle patch a cui si applica la regola, ad esempio `Critical`. L'opzione predefinita è `All`.
+ **Approvazione automatico**: il metodo per selezionare le patch per l'approvazione automatica.
+ **Approva le patch dopo un determinato numero di giorni**: il numero di giorni in cui Patch Manager Patch Manager deve attendere dopo il rilascio o l'aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.
+ **Approva le patch rilasciate fino a una data specifica**: la data di rilascio delle patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate prima di tale data (inclusa). Ad esempio, se specifichi il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.
+ (Facoltativo) **Report di conformità**: il livello di gravità da assegnare alle patch approvate dalla baseline, ad esempio `Critical` o `High`.
**Nota**
Se si specifica un livello di report di conformità e lo stato delle patch approvate viene riportato come `Missing`, la gravità di conformità complessiva riportata dalla baseline delle patch corrisponde al livello di gravità specificato.
1. (Facoltativo) Per approvare esplicitamente qualsiasi patch anziché selezionare patch in base alle regole di approvazione, completa la procedura seguente nella sezione **Eccezioni di patch**:
+ In **Patch approvate**, inserisci un elenco separato da virgole delle patch che desideri approvare.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md).
+ (Facoltativo) In **Livello di conformità patch approvate**, assegna un livello di conformità alle patch dell'elenco.
1. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione **Eccezioni patch**:
+ In **Patch rifiutate**, inserisci un elenco separato da virgole delle patch che desideri rifiutare.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta [Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate](patch-manager-approved-rejected-package-name-formats.md).
+ In **Operazione patch rifiutate**, seleziona l'operazione che Patch Manager effettuerà sulle patch incluse nell'elenco **Patch rifiutate**.
+ **Consenti come dipendenza**: Windows Server non supporta il concetto di dipendenza dei pacchetti. Quando un pacchetto nell'elenco delle **patch rifiutate** è già installato sul nodo, lo stato viene riportato come `INSTALLED_OTHER`. Qualsiasi pacchetto non già installato sul nodo viene ignorato.
+ **Blocco**: i pacchetti nell'elenco delle **Patch rifiutate** non vengono installati da Patch Manager in nessun caso. Se un pacchetto è stato installato prima di essere stato aggiunto all'elenco **Patch rifiutate**, oppure è stato successivamente installato fuori da Patch Manager, viene considerato non conforme alla baseline delle patch e il relativo stato è `INSTALLED_REJECTED`.
Per ulteriori informazioni sulle operazioni relative ai pacchetti rifiutati, consulta le [Opzioni dell'elenco delle patch rifiutate nelle baseline delle patch personalizzate](patch-manager-windows-and-linux-differences.md#rejected-patches-diff).
1. (Facoltativo) Per **Gestisci tag**, applica una o più name/value coppie di chiavi di tag alla linea di base della patch.
I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una baseline delle patch per identificare il livello di gravità delle patch che specifica, la famiglia del sistema operativo a cui si applica e il tipo di ambiente. In questo caso, è possibile specificare tag simili alle seguenti name/value coppie di chiavi:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Scegli **Crea una baseline delle patch**.
# Aggiornamento o eliminazione di una baseline delle patch personalizzata
È possibile aggiornare o eliminare una baseline delle patch personalizzata creata in Patch Manager, uno strumento di AWS Systems Manager. Quando si aggiorna una baseline delle patch, è possibile modificare il nome, la descrizione, le regole di approvazione e le eccezioni per le patch approvate e rifiutate. Si possono aggiornare anche i tag che vengono applicati alla baseline delle patch. Non è possibile modificare il tipo di sistema operativo per cui è stata creata una patch baseline e non è possibile apportare modifiche a una baseline di patch predefinita fornita da. AWS
## Aggiornamento o eliminazione di una baseline delle patch
Segui questi passaggi per aggiornare o eliminare una baseline delle patch.
**Importante**
Presta attenzione durante l'eliminazione di una baseline delle patch personalizzata che potrebbe essere utilizzata da una configurazione delle policy di patch in Quick Setup.
Se utilizzi una [configurazione della policy di patch](patch-manager-policies.md) in Quick Setup, gli aggiornamenti apportati alle baseline delle patch personalizzate vengono sincronizzati con Quick Setup una volta ogni ora.
Quando si elimina una baseline delle patch personalizzata a cui si fa riferimento in una policy di patch, viene visualizzato un banner nella pagina **Dettagli di configurazione** di Quick Setup relativa alla policy di patch. Il banner informa che la policy di patch fa riferimento a una baseline delle patch che non esiste più, di conseguenza le successive operazioni di applicazione di patch avranno esito negativo. In questo caso, torna alla pagina **Configurazioni** di Quick Setup, seleziona la configurazione Patch Manager e scegli **Operazioni**, **Modifica configurazione**. Il nome della baseline delle patch eliminata viene evidenziato ed è necessario selezionare una nuova baseline delle patch per il sistema operativo interessato.
**Aggiornamento o eliminazione di una baseline delle patch**
1. Apri la console all' AWS Systems Manager indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Scegliere la baseline delle patch che si desidera aggiornare o eliminare ed eseguire una delle operazioni seguenti:
+ Per rimuovere la linea di base della patch dalla tua Account AWS, scegli **Elimina**. Il sistema richiede di confermare le operazioni.
+ Per modificare il nome o la descrizione della baseline delle patch, le regole di approvazione o le eccezioni relative alle patch, scegliere **Modifica**. Nella pagina **Modifica delle baseline delle patch**, modifica i valori e le opzioni desiderate, quindi scegli **Salva le modifiche**.
+ Per aggiungere, modificare o eliminare i tag applicati alla baseline delle patch, scegli la scheda **Tag**, quindi scegli **Modifica tag**. Nella pagina **Modifica tag della baseline delle patch**, aggiorna i tag della baseline delle patch e scegli **Salva le modifiche**.
Per informazioni sulle scelte di configurazione disponibili, consulta [Utilizzo delle baseline delle patch personalizzate](patch-manager-manage-patch-baselines.md).
# Impostare una baseline delle patch esistente come predefinita
**Importante**
Qualsiasi selezione delle baseline delle patch predefinite effettuata qui non si applica alle operazioni basate su una policy di patch. Le policy di patch utilizzano le proprie specifiche per le baseline delle patch. Per ulteriori informazioni sulle policy di patch, consulta [Configurazioni delle policy di patch in Quick Setup](patch-manager-policies.md).
Quando si crea una baseline delle patch personalizzata in Patch Manager, uno strumento di AWS Systems Manager, è possibile impostarla subito come base predefinita per il tipo di sistema operativo associato, non appena la crei. Per informazioni, consulta [Utilizzo delle baseline delle patch personalizzate](patch-manager-manage-patch-baselines.md).
È possibile anche impostare una baseline delle patch come predefinita per un tipo di sistema operativo.
**Nota**
I passaggi da seguire dipendono dal fatto che tu abbia effettuato l'accesso a Patch Manager per la prima volta prima o dopo il rilascio delle policy di patch il 22 dicembre 2022. Se l'hai usato Patch Manager prima di quella data, è possibile utilizzare la procedura della console. In caso contrario, utilizzare la AWS CLI procedura. Il menu **Operazioni** a cui si fa riferimento nella procedura della console non viene visualizzato nelle regioni in cui Patch Manager non è stato utilizzato prima del rilascio delle policy di patch.
**Per impostare una baseline delle patch come predefinita**
1. Aprire la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Selezionare la scheda **baseline delle patch**
1. Nell'elenco delle baseline delle patch scegliere il pulsante di una baseline delle patch che attualmente non è impostata come predefinita per un tipo di sistema operativo.
La colonna **Baseline predefinita** indica le basiline attualmente impostate come predefinite.
1. Nel menu **Operazioni**, scegli **Imposta baseline delle patch predefinita**.
**Importante**
Il menu **Azioni** non è disponibile se non hai utilizzato la Patch Manager versione attuale Account AWS e la regione prima del 22 dicembre 2022. Per ulteriori informazioni, consulta la **nota** riportata in precedenza in questo argomento.
1. Nella finestra di dialogo di conferma, scegli **Imposta la configurazione predefinita**.
**Per impostare una baseline delle patch come predefinita (AWS CLI)**
1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html)comando per visualizzare un elenco di patch di base disponibili e i relativi nomi di risorse e IDs Amazon Resource Names ()ARNs.
```
aws ssm describe-patch-baselines
```
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html) per impostare una baseline come predefinita per il sistema operativo a cui è associata. Sostituiscilo *baseline-id-or-ARN* con l'ID della patch di base personalizzata o della baseline predefinita da utilizzare.
------
#### [ Linux & macOS ]
```
aws ssm register-default-patch-baseline \
--baseline-id baseline-id-or-ARN
```
Di seguito è riportato un esempio di impostazione di una baseline personalizzata come impostazione predefinita.
```
aws ssm register-default-patch-baseline \
--baseline-id pb-abc123cf9bEXAMPLE
```
Di seguito è riportato un esempio di impostazione di una linea di base predefinita gestita da come predefinita. AWS
```
aws ssm register-default-patch-baseline \
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-0574b43a65ea646e
```
------
#### [ Windows Server ]
```
aws ssm register-default-patch-baseline ^
--baseline-id baseline-id-or-ARN
```
Di seguito è riportato un esempio di impostazione di una baseline personalizzata come impostazione predefinita.
```
aws ssm register-default-patch-baseline ^
--baseline-id pb-abc123cf9bEXAMPLE
```
Di seguito è riportato un esempio di impostazione di una linea di base predefinita gestita da AWS come predefinita.
```
aws ssm register-default-patch-baseline ^
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-071da192df1226b63
```
------
# Visualizzazione delle patch disponibili
ConPatch Manager, uno strumento in AWS Systems Manager, è possibile visualizzare tutte le patch disponibili per un sistema operativo specifico e, facoltativamente, una versione specifica del sistema operativo.
**Suggerimento**
Per generare un elenco di patch disponibili e salvarle in un file, è possibile utilizzare il comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) e specificare il tuo [output](https://docs.aws.amazon.com/cli/latest/reference/ssm/cli-usage-output.html) preferito.
**Visualizzazione delle patch disponibili**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Seleziona la scheda **Patch**.
oppure
Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli **Inizia da una panoramica** e quindi scegli la scheda **Patch**.
**Nota**
Per Windows Server, la scheda **Patch** mostra gli aggiornamenti disponibili da Windows Server Update Service (WSUS).
1. Per **Sistema operativo**, seleziona il sistema operativo per il quale desideri visualizzare le patch disponibili, ad esempio `Windows` o `Amazon Linux`.
1. (Facoltativo) Per **Prodotto**, scegliere una versione del sistema operativo, ad esempio `WindowsServer2019` o `AmazonLinux2018.03`.
1. (Facoltativo) Per aggiungere o rimuovere colonne di informazioni per i risultati, scegli il pulsante Configura (![\[The icon to view configuration settings.\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/configure-button.png)) in alto a destra dell'elenco **Patch**. (Per impostazione predefinita, la scheda **Patch** visualizza le colonne solo per alcuni metadati delle patch disponibili.)
Per informazioni sui tipi di metadati che è possibile aggiungere alla visualizzazione, consulta [Patch](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Patch.html) nella *Documentazione di riferimento API di AWS Systems Manager *.
# Creazione e gestione di gruppi di patch
Se *non* utilizzi policy di patch nelle tue operazioni, è possibile organizzare i tuoi tentativi di applicazione di patch aggiungendo nodi gestiti ai gruppi di patch utilizzando i tag.
**Nota**
I gruppi di patch non vengono utilizzati nelle operazioni di applicazione di patch basate su *policy di patch*. Per informazioni sull'utilizzo delle policy di patch, consulta [Configurazioni delle policy di patch in Quick Setup](patch-manager-policies.md).
La funzionalità dei gruppi di patch non è supportata nella console per le coppie account-Regione, che non utilizzavano già i gruppi di patch prima del rilascio del supporto per le policy di patch il 22 dicembre 2022. La funzionalità dei gruppi di patch è ancora disponibile nelle coppie account-Regione, che hanno iniziato a utilizzare i gruppi di patch prima di questa data.
Per utilizzare i tag nelle operazioni di applicazione di patch, devi applicare la chiave dei tag `Patch Group` o `PatchGroup` ai nodi gestiti. Devi inoltre specificare il nome che desideri assegnare al gruppo di patch come valore del tag. È possibile specificare un valore tag qualsiasi, ma la chiave di tag deve essere `Patch Group` o `PatchGroup`.
`PatchGroup` (senza spazio) è necessario se sono presenti [tag consentiti nei metadati dell'istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS).
Dopo aver raggruppato i nodi gestiti utilizzando i tag, aggiungere il valore del gruppo di patch a una baseline delle patch. Registrando il gruppo di patch con una baseline delle patch, ci si assicura che vengano installate le patch corrette durante l'operazione di applicazione di patch. Per ulteriori informazioni sui gruppi di patch, consulta [Gruppi di patch](patch-manager-patch-groups.md).
Completa le attività descritte in questo argomento per preparare i nodi gestiti all'applicazione di patch utilizzando i tag con i nodi e la baseline delle patch. L’attività 1 è richiesta solo se stai applicando patch a istanze Amazon EC2. L'attività 2 è richiesta solo se stai applicando patch a istanze non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types). L'attività 3 è richiesta per tutti i nodi gestiti.
**Suggerimento**
È inoltre possibile aggiungere tag ai nodi gestiti utilizzando il AWS CLI comando `[https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)` o l'operazione ssm-agent-minimum-s `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)` 3-permissions-required dell'API Systems Manager.
**Topics**
+ [Attività 1: aggiunta di istanze EC2 a un gruppo di patch mediante tag](#sysman-patch-group-tagging-ec2)
+ [Attività 2: aggiunta di nodi gestiti a un gruppo di patch mediante i tag](#sysman-patch-group-tagging-managed)
+ [Attività 3: aggiunta di un gruppo di patch a una baseline delle patch](#sysman-patch-group-patchbaseline)
## Attività 1: aggiunta di istanze EC2 a un gruppo di patch mediante tag
È possibile aggiungere tag alle istanze EC2 utilizzando la console di Systems Manager o la console di Amazon EC2. Questa attività è richiesta solo se stai applicando patch a istanze Amazon EC2.
**Importante**
Per applicare il tag `Patch Group` (con uno spazio) a un'istanza di Amazon EC2, l’opzione **Consenti i tag nei metadati dell'istanza** non deve essere abilitata sull'istanza. Consenti i tag nei metadati di istanza impedisce ai nomi delle chiavi dei tag di contenere spazi. Se hai [tag consentiti nei metadati dell'istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), è necessario utilizzare la chiave di tag `PatchGroup` (senza spazio).
**Opzione 1: per aggiungere istanze EC2 a un gruppo di patch (console di Systems Manager)**
1. Apri la console all'indirizzo. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Fleet Manager**.
1. Nell'elenco **Nodi gestiti** scegli l'ID dell'istanza EC2 gestita da configurare per l'applicazione di patch. Gli ID dei nodi per le istanze EC2 iniziano con `i-`.
**Nota**
Quando si utilizza la console Amazon EC2 AWS CLI, è possibile applicare `Key = PatchGroup` tag `Key = Patch Group` o a istanze che non sono ancora configurate per l'uso con Systems Manager.
Se un nodo che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. Seleziona la scheda **Tag**, quindi scegli **Modifica**.
1. Nella colonna di sinistra immettere **Patch Group** o **PatchGroup**. Se sono presenti [tag consentiti nei metadati dell'istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), è necessario utilizzare `PatchGroup` (senza spazio).
1. Nella colonna di destra inserisci un valore di tag da utilizzare come nome di questo gruppo di patch.
1. Scegli **Salva**.
1. Ripeti la procedura per aggiungere altre istanze EC2 allo stesso gruppo di patch.
**Opzione 2: per aggiungere istanze EC2 a un gruppo di patch (console di Amazon EC2)**
1. Apri la [console Amazon EC2](https://console.aws.amazon.com/ec2/) e nel pannello di navigazione scegli **Istanze**.
1. Nell'elenco delle istanze, scegline una da configurare per l'applicazione di patch.
1. Dal menu **Operazioni**, scegli **Impostazioni istanza**, **Gestisci tag**.
1. Scegli **Aggiungi nuovo tag**.
1. Per **Chiave**, immetti **Patch Group** o **PatchGroup**. Se sono presenti [tag consentiti nei metadati dell'istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), è necessario utilizzare `PatchGroup` (senza spazio).
1. Per **Valore**, immetti un valore da utilizzare come nome per il gruppo di patch.
1. Scegli **Save** (Salva).
1. Ripetere la procedura per aggiungere altre istanze allo stesso gruppo di patch.
## Attività 2: aggiunta di nodi gestiti a un gruppo di patch mediante i tag
Segui i passaggi descritti in questo argomento per aggiungere tag ai dispositivi AWS IoT Greengrass principali e ai nodi gestiti non EC2 ad attivazione ibrida (mi-\$1). Questa attività è richiesta solo se stai applicando patch a istanze non EC2 in un ambiente ibrido e multicloud.
**Nota**
Non è possibile aggiungere i tag per i nodi gestiti non EC2 utilizzando la console di Amazon EC2.
**Per aggiungere nodi gestiti non EC2 a un gruppo di patch (console di Systems Manager)**
1. AWS Systems Manager Apri [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)la console all'indirizzo.
1. Nel pannello di navigazione, scegli **Fleet Manager**.
1. Nell'elenco **Nodi gestiti**, scegli il nome del nodo gestito da configurare per l'applicazione di patch.
**Nota**
Se un nodo che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. Seleziona la scheda **Tag**, quindi scegli **Modifica**.
1. Nella colonna di sinistra immettere **Patch Group** o **PatchGroup**. Se sono presenti [tag consentiti nei metadati dell'istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), è necessario utilizzare `PatchGroup` (senza spazio).
1. Nella colonna di destra inserisci un valore di tag da utilizzare come nome di questo gruppo di patch.
1. Scegli **Save** (Salva).
1. Ripetere la procedura per aggiungere altri nodi gestiti allo stesso gruppo di patch.
## Attività 3: aggiunta di un gruppo di patch a una baseline delle patch
Per associare una determinata baseline delle patch ai propri nodi gestiti, è necessario aggiungere il valore del gruppo di patch alla baseline delle patch. Registrando il gruppo di patch con una baseline delle patch, ci si assicura che vengano installate le patch corrette durante un'operazione di applicazione di patch. Questa attività è necessaria sia che si applichino patch a istanze EC2, nodi gestiti non EC2 o entrambi.
Per ulteriori informazioni sui gruppi di patch, consulta [Gruppi di patch](patch-manager-patch-groups.md).
**Nota**
I passaggi da seguire dipendono dal fatto che tu abbia effettuato l'accesso a Patch Manager per la prima volta prima o dopo il rilascio delle [policy di patch](patch-manager-policies.md) il 22 dicembre 2022.
**Per aggiungere un gruppo di patch a una baseline delle patch (console di Systems Manager)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Se accedi a Patch Manager per la prima volta nella Regione AWS corrente e si apre la pagina iniziale di Patch Manager, scegli **Inizia con una panoramica**.
1. Scegli la scheda **baseline delle patch**, quindi dall'elenco **baseline delle patch** scegli il nome della baseline delle patch da configurare per il gruppo di patch.
Se hai effettuato l'accesso per la prima volta a Patch Manager solo dopo il rilascio delle policy di patch, devi scegliere una baseline personalizzata che hai creato.
1. Se la pagina dei dettagli dell'**ID baseline** include un menu **Operazioni**, procedi come segue:
+ Scegliere **Operazioni**, quindi **Modifica i gruppi di patch**.
+ Inserisci il *valore* di tag aggiunto ai nodi gestiti in [Attività 2: aggiunta di nodi gestiti a un gruppo di patch mediante i tag](#sysman-patch-group-tagging-managed), quindi scegli **Aggiungi**.
Se la pagina dei dettagli dell'**ID baseline** *non* include un menu **Operazioni**, i gruppi di patch non possono essere configurati nella console. È possibile invece procedere come descritto di seguito:
+ (Consigliato) Configura una policy di patch in Quick Setup, uno strumento di AWS Systems Manager, per mappare una baseline delle patch su una o più istanze EC2.
Per ulteriori informazioni, consulta [Utilizzo delle policy di patch di Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) e [Automatizzazione dell'applicazione di patch a livello di organizzazione utilizzando una policy di patch di Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html).
+ Utilizzate il [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html)comando in AWS Command Line Interface (AWS CLI) per configurare un gruppo di patch.
# Integrazione con Patch Manager AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)ti offre una visione completa del tuo stato di sicurezza in. AWS Security Hub CSPM raccoglie dati sulla sicurezza da tutti i prodotti Account AWS partner Servizi AWS di terze parti e supporta. Con Security Hub CSPM, puoi verificare il tuo ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub CSPM ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità.
Utilizzando l'integrazione traPatch Manager, uno strumento in AWS Systems Manager e Security Hub CSPM, è possibile inviare i risultati sui nodi non conformi al Security Patch Manager Hub CSPM. Un esito è la registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. Security Hub CSPM può quindi includere i risultati relativi alle patch nella sua analisi del livello di sicurezza.
Le informazioni contenute negli argomenti seguenti si applicano indipendentemente dal metodo o dal tipo di configurazione utilizzato per le operazioni di applicazione di patch:
+ Una policy di patch configurata in Quick Setup
+ Un'opzione di gestione host configurata in Quick Setup
+ Una finestra di manutenzione per eseguire un'attività `Scan` o `Install` di patch
+ Un'operazione **Applica subito una patch** on demand
**Contents**
+ [In che modo Patch Manager invia gli esiti a CSPM di Security Hub](#securityhub-integration-sending-findings)
+ [Tipi di esiti che Patch Manager invia](#securityhub-integration-finding-types)
+ [Latenza per l'invio degli esiti](#securityhub-integration-finding-latency)
+ [Riprova quando CSPM Security Hub non è disponibile](#securityhub-integration-retry-send)
+ [Visualizzazione dei risultati in Security Hub CSPM](#securityhub-integration-view-findings)
+ [Esito tipico di Patch Manager](#securityhub-integration-finding-example)
+ [Attivazione e configurazione dell'integrazione](#securityhub-integration-enable)
+ [Come interrompere l'invio degli esiti](#securityhub-integration-disable)
## In che modo Patch Manager invia gli esiti a CSPM di Security Hub
In CSPM Security Hub, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati derivano da problemi rilevati da altri Servizi AWS partner o da terze parti. Security Hub CSPM dispone anche di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.
Patch Managerè uno degli strumenti di Systems Manager che invia i risultati al Security Hub CSPM. Dopo aver eseguito un'operazione di applicazione delle patch eseguendo un documento SSM (`AWS-RunPatchBaseline`,, o`AWS-RunPatchBaselineWithHooks`)`AWS-RunPatchBaselineAssociation`, le informazioni sull'applicazione delle patch vengono inviate a Inventory o Compliance, agli strumenti di o a entrambi. AWS Systems Manager Dopo che Inventory, Compliance o entrambi ricevono i dati, Patch Manager riceve una notifica. In seguito, Patch Manager valuta i dati per verificarne la precisione, la formattazione e la conformità. Se tutte le condizioni sono soddisfatte, Patch Manager inoltra i dati al Security Hub CSPM.
CSPM Security Hub fornisce strumenti per gestire gli esiti da tutte queste origini. È possibile visualizzare e filtrare gli elenchi di esiti e visualizzare i dettagli per un riscontro. Per ulteriori informazioni, consulta [Visualizzazione degli esiti](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) nella *Guida per l'utente AWS Security Hub *. È inoltre possibile monitorare lo stato di un'indagine in un esito. Per ulteriori informazioni, consulta [Operazioni sugli esiti](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) nella *Guida per l'utente di AWS Security Hub *.
Tutti i risultati in Security Hub CSPM utilizzano un formato JSON standard chiamato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente dell'esito. Per ulteriori informazioni, consulta [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) nella *Guida per l'utente di AWS Security Hub *.
### Tipi di esiti che Patch Manager invia
Patch Managerinvia i risultati a Security Hub CSPM utilizzando il [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). In ASFF, il `Types` campo fornisce il tipo di esito. Gli esiti ottenuti da Patch Manager possono avere i seguenti valori per `Types`:
+ Gestione del software e della configurazione Checks/Patch
Patch Manager invia un esito per nodo gestito non conforme. Il risultato viene riportato con il tipo di risorsa [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance)in modo che i risultati possano essere correlati con altre integrazioni CSPM di Security Hub che segnalano i tipi di risorse. `AwsEc2Instance` Patch Managerinoltra un risultato a Security Hub CSPM solo se l'operazione ha rilevato che il nodo gestito non è conforme. L'esito include i risultati di riepilogo di patch.
**Nota**
Dopo aver segnalato un nodo non conforme a Security Hub CSPM. Patch Managernon invia un aggiornamento a Security Hub CSPM dopo che il nodo è stato reso conforme. È possibile risolvere manualmente i risultati in Security Hub CSPM dopo l'applicazione delle patch richieste al nodo gestito.
Per ulteriori informazioni sulla definizione di conformità, consulta [Valori dello stato di conformità delle patch](patch-manager-compliance-states.md). *Per ulteriori informazioni in merito`PatchSummary`, consulta l'API [PatchSummary](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html)Reference.AWS Security Hub *
### Latenza per l'invio degli esiti
Quando viene Patch Manager creato un nuovo risultato, di solito viene inviato al CSPM di Security Hub entro pochi secondi o 2 ore. La velocità dipende dal traffico nella Regione AWS in fase di elaborazione in quel momento.
### Riprova quando CSPM Security Hub non è disponibile
In caso di interruzione del servizio, viene eseguita una AWS Lambda funzione per reinserire i messaggi nella coda principale dopo la riattivazione del servizio. Dopo che i messaggi sono nella coda principale, il tentativo è automatico.
Se Security Hub CSPM non è disponibile, Patch Manager riprova a inviare i risultati finché non vengono ricevuti.
### Visualizzazione dei risultati in Security Hub CSPM
Questa procedura descrive come visualizzare i risultati in Security Hub CSPM sui nodi gestiti della flotta che non sono conformi alle patch.
**Per esaminare i risultati CSPM di Security Hub per la conformità delle patch**
1. Accedi a Console di gestione AWS e apri la AWS Security Hub CSPM console all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Nel riquadro di navigazione, seleziona **Esiti**.
1. Scegli la casella **Aggiungi filtri** (![\[The Search icon\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/search-icon.png)).
1. Nel menu, sotto **Filtri**, scegli **Nome prodotto**.
1. Nella finestra di dialogo che si apre, scegli **è** nel primo campo e poi inserisci **Systems Manager Patch Manager** nel secondo campo.
1. Scegli **Applica**.
1. Aggiungi eventuali filtri aggiuntivi che desideri per restringere i risultati.
1. Nell'elenco degli esiti, scegli il titolo di un esito su cui desideri maggiori informazioni.
Sul lato destro dello schermo si apre un riquadro con ulteriori dettagli sulla risorsa, sul problema rilevato e sulla soluzione consigliata.
**Importante**
Al momento, Security Hub CSPM riporta il tipo di risorsa di tutti i nodi gestiti come. `EC2 Instance` Sono inclusi i server locali e le macchine virtuali (VMs) registrati per l'uso con Systems Manager.
**Classificazioni di gravità**
L'elenco degli esiti di **Systems Manager Patch Manager** include un report sulla gravità dell'esito. I livelli di **gravità** includono i seguenti, dal meno grave al più grave:
+ **INFORMATIVO**: non è stato riscontrato alcun problema.
+ **BASSO**: il problema non richiede alcuna correzione.
+ **MEDIO**: il problema va risolto, ma non con urgenza.
+ **ALTO**: il problema deve essere risolto in via prioritaria.
+ **CRITICO**: il problema deve essere risolto immediatamente per evitare l'escalation.
La gravità è determinata dal pacchetto non conforme più grave presente su un'istanza. Poiché è possibile disporre di più baseline delle patch con più livelli di gravità, tra tutti i pacchetti non conformi viene segnalata la gravità più elevata. Ad esempio, supponiamo di avere due pacchetti non conformi in cui la gravità del pacchetto A è "Critica" e la gravità del pacchetto B è "Bassa". "Critica" verrà riportata come gravità.
Tieni presente che il campo di gravità è direttamente correlato al campo `Compliance` di Patch Manager. Si tratta di un campo che è possibile assegnare alle singole patch che corrispondono alla regola. Poiché questo campo `Compliance` è assegnato a singole patch, non si riflette sul livello di riepilogo delle patch.
**Contenuti correlati**
+ [Esiti](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) nella *Guida per l'utente di AWS Security Hub *
+ [Conformità delle patch per più account con Patch Manager e Centrale di sicurezza](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) nel *blog AWS Management & Governance*
## Esito tipico di Patch Manager
Patch Managerinvia i risultati al Security Hub CSPM utilizzando il [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
Ecco un esempio di un esito tipico di Patch Manager.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
"GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"AwsAccountId": "111122223333",
"Types": [
"Software & Configuration Checks/Patch Management/Compliance"
],
"CreatedAt": "2021-11-11T22:05:25Z",
"UpdatedAt": "2021-11-11T22:05:25Z",
"Severity": {
"Label": "INFORMATIONAL",
"Normalized": 0
},
"Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
"Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
"Remediation": {
"Recommendation": {
"Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
"Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
}
},
"SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
"ProductFields": {
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"aws/securityhub/ProductName": "Systems Manager Patch Manager",
"aws/securityhub/CompanyName": "AWS"
},
"Resources": [
{
"Type": "AwsEc2Instance",
"Id": "i-02573cafcfEXAMPLE",
"Partition": "aws",
"Region": "us-east-2"
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"PatchSummary": {
"Id": "pb-0c10e65780EXAMPLE",
"InstalledCount": 45,
"MissingCount": 2,
"FailedCount": 0,
"InstalledOtherCount": 396,
"InstalledRejectedCount": 0,
"InstalledPendingReboot": 0,
"OperationStartTime": "2021-11-11T22:05:06Z",
"OperationEndTime": "2021-11-11T22:05:25Z",
"RebootOption": "NoReboot",
"Operation": "SCAN"
}
}
```
## Attivazione e configurazione dell'integrazione
Per utilizzare l'Patch Managerintegrazione con Security Hub CSPM, è necessario attivare Security Hub CSPM. *Per informazioni su come attivare Security Hub CSPM, vedere [Configurazione del CSPM di Security Hub nella Guida](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) per l'utente.AWS Security Hub *
La procedura seguente descrive come integrare Patch Manager e Security Hub CSPM quando Security Hub CSPM è già attivo ma Patch Manager l'integrazione è disattivata. È necessario completare questa procedura solo se l'integrazione è stata disattivata manualmente.
**Per aggiungere Patch Manager all'integrazione CSPM di Security Hub**
1. Nel pannello di navigazione, scegli **Patch Manager**.
1. Seleziona la scheda **Impostazioni**.
oppure
Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli **Inizia da una panoramica** e quindi scegli la scheda **Impostazioni**.
1. **Nella sezione **Esporta in Security Hub CSPM**, a destra dei **risultati di conformità delle patch che non vengono esportati in Security Hub**, scegli Abilita.**
## Come interrompere l'invio degli esiti
Per interrompere l'invio degli esiti a CSPM Security Hub, è possibile utilizzare la console CSPM Security Hub o l'API.
Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente AWS Security Hub *:
+ [Disabilitazione e abilitazione del flusso di esiti di un'integrazione (console)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Disabilitazione del flusso di risultati da un'integrazione (API CSPM Security Hub,) AWS CLI](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)