Integrazione di Patch Manager con AWS Security Hub - AWS Systems Manager
In che modo Patch Manager invia gli esiti alla Centrale di sicurezzaEsito tipico di Patch ManagerAttivazione e configurazione dell'integrazioneCome interrompere l'invio di esiti

Integrazione di Patch Manager con AWS Security Hub

AWS Security Hub fornisce una visione completa dello stato di sicurezza in AWS. Security Hub raccoglie i dati di sicurezza dagli Account AWS, dai Servizi AWS e da prodotti partner supportati da terzi. Con la Centrale di sicurezza è possibile verificare l'ambiente rispetto agli standard e alle best practice di settore in materia di sicurezza. La Centrale di sicurezza ti aiuta ad analizzare le tendenze di sicurezza e identificare i problemi di sicurezza più importanti.

Utilizzando l'integrazione tra Patch Manager, uno strumento di AWS Systems Manager, e Security Hub, è possibile inviare i risultati sui nodi non conformi da Patch Manager a Security Hub. Un riscontro è la registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. La Centrale di sicurezza può quindi includere tali risultati relativi alle patch nella sua analisi della posizione di sicurezza.

Le informazioni contenute negli argomenti seguenti si applicano indipendentemente dal metodo o dal tipo di configurazione utilizzato per le operazioni di applicazione di patch:

  • Una policy di patch configurata in Quick Setup

  • Un'opzione di gestione host configurata in Quick Setup

  • Una finestra di manutenzione per eseguire un'attività Scan o Install di patch

  • Un'operazione Patch now (Applica subito una patch) on demand

In che modo Patch Manager invia gli esiti alla Centrale di sicurezza

Nella Centrale di sicurezza, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati provengono da problemi rilevati da altri Servizi AWS o da partner di terze parti. La Centrale di sicurezza dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare esiti.

Patch Manager è uno degli strumenti di Systems Manager che invia gli esiti a Security Hub. Dopo aver eseguito un'operazione di applicazione di patch eseguendo un documento SSM (AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation oppureAWS-RunPatchBaselineWithHooks), le informazioni sull'applicazione di patch vengono inviate a Inventario o Conformità, strumenti di AWS Systems Manager o entrambi. Dopo che Inventory, Compliance o entrambi ricevono i dati, Patch Manager riceve una notifica. In seguito, Patch Manager valuta i dati per verificarne la precisione, la formattazione e la conformità. Se tutte le condizioni sono soddisfatte, Patch Manager inoltra i dati a Security Hub.

Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di risultati e visualizzare i dettagli per un riscontro. Per ulteriori informazioni, consulta Visualizzazione dei riscontri nella Guida per l'utenteAWS Security Hub. È inoltre possibile monitorare lo stato di un'indagine in un esito. Per ulteriori informazioni, consulta Operazioni sugli esiti nella Guida per l'utente di AWS Security Hub.

Tutti i risultati in Security Hub utilizzano un formato JSON standard denominato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente del risultato. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub.

Tipi di risultati che Patch Manager invia

Patch Manager invia i risultati a Securiy Hub utilizzando AWS utilizzando ASFF (Security Finding Format). In ASFF, il Types campo fornisce il tipo di esito. I risultati ottenuti da Patch Manager possono avere i seguenti valori per Types:

  • Controlli/gestione delle patch di software e configurazione

Patch Manager invia un risultato per nodo gestito non conforme. Il risultato viene segnalato con il tipo di risorsa AwsEc2Instance in modo che i risultati possano essere correlati con altre integrazioni di Security Hub che segnalano tipo di risorsa AwsEc2Instance. Patch Manager inoltra un rilevamento a Security Hub solo se l'operazione ha rilevato che il nodo gestito non è conforme. L'esito include i risultati Riepilogo patch.

Nota

Dopo aver segnalato un nodo non conforme a Security Hub, Patch Manager non invia un aggiornamento a Security Hub nel momento in cui il nodo è stato reso conforme. È possibile risolvere manualmente gli esiti in Security Hub dopo l'applicazione delle patch richieste al nodo gestito.

Per ulteriori informazioni sulla definizione di conformità, consulta Valori dello stato di conformità delle patch. Per ulteriori informazioni su PatchSummary, consulta PatchSummary nella Documentazione di riferimento API di AWS Security Hub.

Latenza per l'invio degli esiti

Quando Patch Manager crea un nuovo risultato, viene solitamente inviato a Security Hub entro pochi secondi o 2 ore. La velocità dipende dal traffico nella Regione AWS in fase di elaborazione in quel momento.

Riprova quando Security Hub non è disponibile

Se si verifica un'interruzione del servizio, una funzione AWS Lambda viene eseguita per inserire i messaggi nella coda principale dopo che il servizio è di nuovo in esecuzione. Dopo che i messaggi sono nella coda principale, il tentativo è automatico.

Se Security Hub non è disponibile, Patch Manager tenta di inviare i risultati finché non vengono ricevuti.

Visualizzazione degli esiti in Security Hub

Questa procedura descrive come visualizzare in Centrale di sicurezza i risultati relativi ai nodi gestiti del parco istanze istanze che non sono conformi alle patch.

Per esaminare i risultati di Centrale di sicurezza per la conformità delle patch

  1. Accedi alla AWS Management Console e apri la console di AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel riquadro di navigazione, seleziona Esiti.

  3. Scegli la casella Aggiungi filtri ( The Search icon ).

  4. Nel menu, sotto Filtri, scegli Nome prodotto.

  5. Nella finestra di dialogo che si apre, scegli è nel primo campo e poi inserisci Systems Manager Patch Manager nel secondo campo.

  6. Scegli Applica.

  7. Aggiungi eventuali filtri aggiuntivi che desideri per restringere i risultati.

  8. Nell'elenco dei risultati, scegli il titolo di un esito su cui desideri maggiori informazioni.

    Sul lato destro dello schermo si apre un riquadro con ulteriori dettagli sulla risorsa, sul problema rilevato e sulla soluzione consigliata.

    Importante

    Al momento, Centrale di sicurezza riporta il tipo di risorsa di tutti i nodi gestiti come EC2 Instance. Sono inclusi server e macchine virtuali (VM) on-premise registrati per l'utilizzo con Systems Manager.

Classificazioni di gravità

L'elenco degli esiti di Systems Manager Patch Manager include un report sulla gravità del risultato. I livelli di gravità includono i seguenti, dal meno grave al più grave:

  • INFORMATIVO: non è stato riscontrato alcun problema.

  • BASSO: il problema non richiede alcuna correzione.

  • MEDIO: il problema va risolto, ma non con urgenza.

  • ALTO: il problema deve essere risolto in via prioritaria.

  • CRITICO: il problema deve essere risolto immediatamente per evitare l'escalation.

La gravità è determinata dal pacchetto non conforme più grave presente su un'istanza. Poiché è possibile disporre di più patch di base con più livelli di gravità, tra tutti i pacchetti non conformi viene segnalata la gravità più elevata. Ad esempio, supponiamo di avere due pacchetti non conformi in cui la gravità del pacchetto A è "Critica" e la gravità del pacchetto B è "Bassa". "Critica" verrà riportata come gravità.

Tieni presente che il campo di gravità è direttamente correlato al campo Compliance di Patch Manager. Si tratta di un campo che è possibile assegnare alle singole patch che corrispondono alla regola. Poiché questo campo Compliance è assegnato a singole patch, non si riflette sul livello di riepilogo delle patch.

Contenuti correlati

Esito tipico di Patch Manager

Patch Manager invia risultati a Security Hub utilizzando AWS Security Finding Format (ASFF).

Ecco un esempio di un esito tipico di Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Attivazione e configurazione dell'integrazione

Per utilizzare l'integrazione Patch Manager con Security Hub, è necessario attivare Security Hub. Per informazioni su come attivare la Centrale di sicurezza, consulta Configurazione della Centrale di sicurezza nella Guida per l'utente di AWS Security Hub.

La procedura seguente descrive come integrare Patch Manager e Security Hub quando Security Hub è già attivo ma l'integrazione Patch Manager è disattivata. È necessario completare questa procedura solo se l'integrazione è stata disattivata manualmente.

Per aggiungere Patch Manager all'integrazione di Security Hub

  1. Nel pannello di navigazione, scegli Patch Manager.

  2. Seleziona la scheda Impostazioni.

    oppure

    Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli Inizia da una panoramica e quindi scegli la scheda Impostazioni.

  3. Nella sezione Esporta nella Centrale di sicurezza, a destra di I risultati della conformità delle patch non vengono esportati nella Centrale di sicurezza, scegli Abilita.

Come interrompere l'invio di esiti

Per interrompere l'invio dei risultati a Security Hub, è possibile utilizzare la console Security Hub o l'API.

Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utenteAWS Security Hub: