Integrazione Patch Manager con AWS Security Hub - AWS Systems Manager
In che modo Patch Manager invia i risultati a Security HubRisultato tipico di Patch ManagerAttivazione e configurazione dell'integrazioneCome interrompere l'invio di esiti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione Patch Manager con AWS Security Hub

AWS Security Huboffre una visione completa dello stato di sicurezza in AWS. Security Hub raccoglie dati sulla sicurezza da tutti Account AWS Servizi AWS i prodotti partner di terze parti supportati. Con la Centrale di sicurezza è possibile verificare l'ambiente rispetto agli standard e alle best practice di settore in materia di sicurezza. La Centrale di sicurezza ti aiuta ad analizzare le tendenze di sicurezza e identificare i problemi di sicurezza più importanti.

Utilizzando l'integrazione tra Patch Manager, una funzionalità di AWS Systems Manager, e Security Hub, è possibile inviare risultati sui nodi non conformi da Patch Manager al Security Hub. Un riscontro è la registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. La Centrale di sicurezza può quindi includere tali risultati relativi alle patch nella sua analisi della posizione di sicurezza.

Le informazioni contenute negli argomenti seguenti si applicano indipendentemente dal metodo o dal tipo di configurazione utilizzato per le operazioni di applicazione delle patch:

  • Una politica di patch configurata in Quick Setup

  • Un'opzione di gestione dell'host configurata in Quick Setup

  • Una finestra di manutenzione per eseguire un'attività Scan o Install di patch

  • Un'operazione Patch now (Applica subito una patch) on demand

In che modo Patch Manager invia i risultati a Security Hub

Nella Centrale di sicurezza, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati derivano da problemi rilevati da altri partner Servizi AWS o da partner terzi. La Centrale di sicurezza dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare esiti.

Patch Manager è una delle funzionalità di Systems Manager che invia i risultati a Security Hub. Dopo aver eseguito un'operazione di applicazione delle patch eseguendo un SSM documento (AWS-RunPatchBaseline,, oAWS-RunPatchBaselineWithHooks)AWS-RunPatchBaselineAssociation, le informazioni sull'applicazione delle patch vengono inviate a Inventory o Compliance, funzionalità di o AWS Systems Manager entrambi. Dopo aver ricevuto i dati da Inventory, Compliance o entrambi, Patch Manager riceve una notifica. Quindi, Patch Manager valuta i dati per verificarne l'accuratezza, la formattazione e la conformità. Se tutte le condizioni sono soddisfatte, Patch Manager inoltra i dati a Security Hub.

Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di risultati e visualizzare i dettagli per un riscontro. Per ulteriori informazioni, consulta Visualizzazione dei riscontri nella Guida per l'utente AWS Security Hub . È inoltre possibile monitorare lo stato di un'indagine in un esito. Per ulteriori informazioni, consulta Azioni sugli esiti nella Guida per l'utente di AWS Security Hub .

Tutti i risultati in Security Hub utilizzano un JSON formato standard chiamato AWS Security Finding Format (ASFF). ASFFInclude dettagli sull'origine del problema, sulle risorse interessate e sullo stato attuale del risultato. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida AWS Security Hub per l'utente.

Tipi di risultati che Patch Manager spedisce

Patch Manager invia i risultati a Security Hub utilizzando il AWS Security Finding Format (ASFF). NelASFF, il Types campo fornisce il tipo di risultato. Risultati di Patch Manager hanno il seguente valore perTypes:

  • Controlli/gestione delle patch di software e configurazione

Patch Manager invia un risultato per nodo gestito non conforme. Il risultato viene riportato con il tipo di risorsa AwsEc2Instancein modo che i risultati possano essere correlati con altre integrazioni di Security Hub che segnalano i tipi di AwsEc2Instance risorse. Patch Manager inoltra un risultato a Security Hub solo se l'operazione ha rilevato che il nodo gestito non è conforme. L'esito include i risultati Riepilogo patch.

Nota

Dopo aver segnalato un nodo non conforme a Security Hub. Patch Manager non invia un aggiornamento a Security Hub dopo che il nodo è stato reso conforme. È possibile risolvere manualmente i risultati in Security Hub dopo l'applicazione delle patch richieste al nodo gestito.

Per ulteriori informazioni sulla definizione di conformità, consulta Valori dello stato di conformità delle patch. Per ulteriori informazioni in meritoPatchSummary, vedere PatchSummarynel AWS Security Hub APIReference.

Latenza per l'invio degli esiti

Quando Patch Manager crea una nuova scoperta, di solito viene inviata a Security Hub entro pochi secondi o 2 ore. La velocità dipende dal traffico nella Regione AWS in fase di elaborazione in quel momento.

Riprova quando Security Hub non è disponibile

In caso di interruzione del servizio, viene eseguita una AWS Lambda funzione per reinserire i messaggi nella coda principale dopo la ripresa del servizio. Dopo che i messaggi sono nella coda principale, il tentativo è automatico.

Se Security Hub non è disponibile, Patch Manager riprova a inviare i risultati finché non vengono ricevuti.

Visualizzazione dei risultati in Security Hub

Questa procedura descrive come visualizzare in Centrale di sicurezza i risultati relativi ai nodi gestiti del parco istanze che non sono conformi alle patch.

Per esaminare i risultati di Centrale di sicurezza per la conformità delle patch

  1. Accedi a AWS Management Console e apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel riquadro di navigazione, seleziona Esiti.

  3. Scegli la casella Aggiungi filtri ( The Search icon ).

  4. Nel menu, sotto Filtri, scegli Nome prodotto.

  5. Nella finestra di dialogo che si apre, scegli è nel primo campo e poi inserisci Systems Manager Patch Manager nel secondo campo.

  6. Scegli Applica.

  7. Aggiungi eventuali filtri aggiuntivi che desideri per restringere i risultati.

  8. Nell'elenco dei risultati, scegli il titolo di un esito su cui desideri maggiori informazioni.

    Sul lato destro dello schermo si apre un riquadro con ulteriori dettagli sulla risorsa, sul problema rilevato e sulla soluzione consigliata.

    Importante

    Al momento, Centrale di sicurezza riporta il tipo di risorsa di tutti i nodi gestiti come EC2 Instance. Sono inclusi i server locali e le macchine virtuali (VMs) registrati per l'uso con Systems Manager.

Classificazioni di gravità

L'elenco degli esiti di Systems Manager Patch Manager include un report sulla gravità del risultato. I livelli di gravità includono i seguenti, dal meno grave al più grave:

  • INFORMATIONAL— Non è stato riscontrato alcun problema.

  • LOW— Il problema non richiede alcuna correzione.

  • MEDIUM— La questione deve essere affrontata ma non è urgente.

  • HIGH— La questione deve essere affrontata in via prioritaria.

  • CRITICAL— Il problema deve essere risolto immediatamente per evitare che si aggravi.

La gravità è determinata dal pacchetto non conforme più grave presente su un'istanza. Poiché è possibile disporre di più patch di base con più livelli di gravità, tra tutti i pacchetti non conformi viene segnalata la gravità più elevata. Ad esempio, supponiamo di avere due pacchetti non conformi in cui la gravità del pacchetto A è "Critica" e la gravità del pacchetto B è "Bassa". "Critica" verrà riportata come gravità.

Si noti che il campo di gravità è direttamente correlato al Patch Manager Compliancecampo. Si tratta di un campo che puoi assegnare alle singole patch che corrispondono alla regola. Poiché questo campo Compliance è assegnato a singole patch, non si riflette sul livello di riepilogo delle patch.

Contenuti correlati

Risultato tipico di Patch Manager

Patch Manager invia i risultati a Security Hub utilizzando il AWS Security Finding Format (ASFF).

Ecco un esempio di un risultato tipico di Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Attivazione e configurazione dell'integrazione

Per utilizzare nuovamente il plugin Patch Manager integrazione con Security Hub, è necessario attivare Security Hub. Per informazioni su come attivare la Centrale di sicurezza, consulta Configurazione della Centrale di sicurezza nella Guida per l'utente di AWS Security Hub .

La procedura seguente descrive come eseguire l'integrazione Patch Manager e Security Hub quando Security Hub è già attivo ma Patch Manager l'integrazione è disattivata. È necessario completare questa procedura solo se l'integrazione è stata disattivata manualmente.

Per aggiungere Patch Manager all'integrazione con Security Hub

  1. Nel pannello di navigazione, scegli Patch Manager.

  2. Seleziona la scheda Impostazioni.

    oppure

    Se stai accedendo Patch Manager per la prima volta nella versione corrente Regione AWS, scegli Inizia con una panoramica, quindi scegli la scheda Impostazioni.

  3. Nella sezione Esporta nella Centrale di sicurezza, a destra di I risultati della conformità delle patch non vengono esportati nella Centrale di sicurezza, scegli Abilita.

Come interrompere l'invio di esiti

Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console Security Hub o ilAPI.

Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente AWS Security Hub :