Generazione di report sulla conformità delle patch csv - AWS Systems Manager
Cosa c'è in un report sulla conformità delle patch generato?Generazione di report sulla conformità delle patch per un singolo nodoGenerazione di report sulla conformità delle patch per tutti i nodi gestitiVisualizzazione della cronologia dei rapporti sulla conformità delle patchVisualizzazione delle pianificazioni di report sulla conformità delle patchRisoluzione dei problemi relativi alla generazione del report sulla conformità delle patch

Generazione di report sulla conformità delle patch csv

È possibile utilizzare la console AWS Systems Manager per generare rapporti di conformità alle patch che vengono salvati come file.csv in un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare un singolo report su richiesta o specificare una pianificazione per la generazione automatica dei report.

I report possono essere generati per un singolo nodo gestito o per tutti i nodi gestiti nei tuoi Account AWS e Regione AWS selezionati. Per un singolo nodo, un report contiene dettagli completi, inclusi gli ID delle patch relative a un nodo non conforme. Per un report su tutti i nodi gestiti, vengono fornite solo le informazioni di riepilogo e i conteggi delle patch dei nodi non conformi.

Dopo aver generato un report, è possibile utilizzare uno strumento come Amazon QuickSight per importare e analizzare i dati. Amazon QuickSight è un servizio di Business Intelligence (BI) che è possibile utilizzare per esplorare e interpretare le informazioni in un ambiente visivo interattivo. Per ulteriori informazioni, consulta Guida per l'utente di Amazon QuickSight.

Nota

Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical o High. Se lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

È possibile anche specificare un argomento Amazon Simple Notification Service (Amazon SNS) da utilizzare per l'invio delle notifiche quando viene generato un report.

Ruoli del servizio per la generazione di report sulla conformità delle patch

La prima volta che generi un report, Systems Manager crea un ruolo di automazione denominato AWS-SystemsManager-PatchSummaryExportRole da utilizzare per il processo di esportazione a S3.

Nota

Se stai esportando i dati di conformità in un bucket S3 crittografato, devi aggiornare la policy della chiave AWS KMS associata per fornire le autorizzazioni necessarie per AWS-SystemsManager-PatchSummaryExportRole. Ad esempio, aggiungi un'autorizzazione simile a questa alla policy AWS KMS del tuo bucket S3:

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}

Sostituisci role-arn con il nome della risorsa Amazon (ARN) creato nel tuo account, nel formato arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service.

La prima volta che si genera un report in base a una pianificazione, Systems Manager crea un altro ruolo di servizio denominato AWS-EventBridge-Start-SSMAutomationRole, insieme al ruolo di servizio AWS-SystemsManager-PatchSummaryExportRole (se non è già stato creato) da utilizzare per il processo di esportazione. AWS-EventBridge-Start-SSMAutomationRole consente ad Amazon EventBridge di avviare un'automazione utilizzando il runbook AWS-ExportPatchReportToS3.

Si consiglia di non tentare di modificare questi criteri e ruoli. In questo modo, la generazione del report sulla conformità delle patch potrebbe non riuscire. Per ulteriori informazioni, consultare Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch.

Cosa c'è in un report sulla conformità delle patch generato?

In questo argomento vengono fornite informazioni sui tipi di contenuto inclusi nei report di conformità delle patch generati e scaricati in un bucket S3 specificato.

Un report generato per un singolo nodo gestito fornisce informazioni di riepilogo e dettagliate.

Scaricare un report di esempio (singolo nodo)

Le informazioni di riepilogo per un singolo nodo gestito includono quanto segue:

  • Indice

  • ID istanza

  • Instance name (Nome dell'istanza)

  • IP istanza

  • Nome piattaforma

  • Versione della piattaforma

  • Versione SSM Agent

  • Base di patch

  • Gruppo di patch

  • Compliance status (Stato di conformità)

  • Gravità di conformità

  • Conteggio delle patch di gravità critica non conforme

  • Conteggio delle patch a gravità elevata non conforme

  • Conteggio delle patch di gravità media non conforme

  • Conteggio delle patch a bassa gravità non conforme

  • Conteggio delle patch di gravità delle informazioni non conforme

  • Conteggio delle patch di gravità non conforme non specificato

Le informazioni dettagliate per un singolo nodo gestito includono quanto segue:

  • Indice

  • ID istanza

  • Instance name (Nome dell'istanza)

  • Nome patch

  • ID KB /ID patch

  • Stato della patch

  • Ora dell'ultimo report

  • Livelli di conformità

  • Gravità della patch

  • Classificazione di patch

  • ID CVE

  • Base di patch

  • URL dei registri

  • IP istanza

  • Nome piattaforma

  • Versione della piattaforma

  • Versione SSM Agent

Nota

Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical o High. Se lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

Un report generato per tutti i nodi gestiti fornisce solo informazioni di riepilogo.

Scarica un report di esempio (tutti i nodi gestiti)

Le informazioni di riepilogo per tutti i nodi gestiti includono:

  • Indice

  • ID istanza

  • Instance name (Nome dell'istanza)

  • IP istanza

  • Nome piattaforma

  • Versione della piattaforma

  • Versione SSM Agent

  • Base di patch

  • Gruppo di patch

  • Compliance status (Stato di conformità)

  • Gravità di conformità

  • Conteggio delle patch di gravità critica non conforme

  • Conteggio delle patch a gravità elevata non conforme

  • Conteggio delle patch di gravità media non conforme

  • Conteggio delle patch a bassa gravità non conforme

  • Conteggio delle patch di gravità delle informazioni non conforme

  • Conteggio delle patch di gravità non conforme non specificato

Generazione di report sulla conformità delle patch per un singolo nodo

Utilizzare la procedura seguente per generare un report di riepilogo delle patch per un singolo nodo nel tuo Account AWS. Il report per un singolo nodo gestito fornisce dettagli su ogni patch non conforme, inclusi i nomi e gli ID delle patch.

Per generare report sulla conformità delle patch per un singolo nodo gestito

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Scegli il pulsante relativo alla riga del nodo gestito per il quale generare un report e quindi fai clic su Visualizza i dettagli.

  5. Sulla sezione Pagina di riepilogo patch, scegli Esporta in S3.

  6. Per Nome del report, immetti un nome per semplificare l'identificazione del report in un secondo momento.

  7. Per Frequenza di report, scegli una delle opzioni seguenti:

    • On demand - Consente di creare un report una tantum. Passare alla fase 9.

    • In un programma - Specifica una pianificazione ricorrente per la generazione automatica dei report. Continua alla fase 8.

  8. Per Tipo di pianificazione, specifica un'espressione di frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.

    Per informazioni sulle espressioni cron, consulta Riferimento: espressioni Cron e Rate per Systems Manager.

  9. Per Nome bucket, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.

    Importante

    Lavorando in un Regione AWS lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta Abilitazione di una regione in nella Riferimenti generali di Amazon Web Services.

  10. (Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione Argomenti SNS e scegli un Argomento Amazon SNS esistente da SNS topic Amazon Resource Name (ARN).

  11. Scegli Invia.

Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta Visualizzazione della cronologia dei rapporti sulla conformità delle patch.

Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta Visualizzazione delle pianificazioni di report sulla conformità delle patch.

Generazione di report sulla conformità delle patch per tutti i nodi gestiti

Utilizza la procedura seguente per generare un report di riepilogo delle patch per tutti i nodi gestiti in Account AWS. Il report per tutti i nodi gestiti indica quali nodi non sono conformi e il numero di patch non conformi. Non fornisce i nomi o altri identificatori delle patch. Per questi dettagli aggiuntivi, è possibile generare un report sulla conformità delle patch per un singolo nodo gestito. Per ulteriori informazioni, consulta la sezione Generazione di report sulla conformità delle patch per un singolo nodo riportata in precedenza in questo argomento.

Per generare report sulla conformità delle patch per tutti i nodi gestiti

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Scegli Esportazione in S3. (Non selezionare prima un ID nodo.)

  5. Per Nome del report, immetti un nome per semplificare l'identificazione del report in un secondo momento.

  6. Per Frequenza di report, scegli una delle opzioni seguenti:

    • On demand - Consente di creare un report una tantum. Passare alla fase 8.

    • In un programma - Specifica una pianificazione ricorrente per la generazione automatica dei report. Continuare con la fase 7.

  7. Per Tipo di pianificazione, specifica un'espressione di frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.

    Per informazioni sulle espressioni cron, consulta Riferimento: espressioni Cron e Rate per Systems Manager.

  8. Per Nome bucket, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.

    Importante

    Lavorando in un Regione AWS lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta Abilitazione di una regione in nella Riferimenti generali di Amazon Web Services.

  9. (Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione Argomenti SNS e scegli un Argomento Amazon SNS esistente da SNS topic Amazon Resource Name (ARN).

  10. Scegli Invia.

Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta Visualizzazione della cronologia dei rapporti sulla conformità delle patch.

Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta Visualizzazione delle pianificazioni di report sulla conformità delle patch.

Visualizzazione della cronologia dei rapporti sulla conformità delle patch

Utilizzare le informazioni contenute in questo argomento per visualizzare i dettagli sui report di conformità delle patch generati nel tuo Account AWS.

Visualizzazione della cronologia dei rapporti sulla conformità delle patch

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Scegliere Visualizza tutte le esportazioni di S3 e quindi selezionare la scheda Cronologia dell'esportazione.

Visualizzazione delle pianificazioni di report sulla conformità delle patch

Utilizzare le informazioni contenute in questo argomento per visualizzare i dettagli sulle pianificazioni dei report sulla conformità delle patch create nel tuo Account AWS.

Per visualizzare la cronologia dei rapporti sulla conformità delle patch

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Sceglie Visualizza tutte le esportazioni di S3 e quindi selezionare la casella Regole di report pianificati.

Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch

Utilizza le informazioni seguenti per risolvere i problemi relativi alla generazione del report di conformità patch in Patch Manager, una funzionalità di AWS Systems Manager.

Un messaggio segnala che la policy AWS-SystemsManager-PatchManagerExportRolePolicy è danneggiata

Problema: viene visualizzato un messaggio di errore simile al seguente, indicando che AWS-SystemsManager-PatchManagerExportRolePolicy è danneggiato:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.

  • Soluzione: utilizza la console di Patch Manager o AWS CLI per eliminare i ruoli e le policy interessati prima di generare un nuovo report di conformità delle patch.

    Per eliminare la policy danneggiata utilizzando la console

    1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

    2. Esegui una di queste operazioni:

      Report on demand - Se il problema si è verificato durante la generazione di un report su richiesta una tantum, nella navigazione a sinistra selezionare Policy, cercare AWS-SystemsManager-PatchManagerExportRolePolicy, quindi eliminare la policy. Quindi, selezionare Ruoli, cercare AWS-SystemsManager-PatchSummaryExportRole ed eliminare il ruolo.

      Report pianificati - Se il problema si è verificato durante la generazione di un report in base a una pianificazione, nella navigazione a sinistra seleziona Policy, cerca uno alla volta per AWS-EventBridge-Start-SSMAutomationRolePolicy e AWS-SystemsManager-PatchManagerExportRolePolicy ed elimina ogni policy. Quindi, selezionare Ruoli, cerca uno alla volta per AWS-EventBridge-Start-SSMAutomationRole e AWS-SystemsManager-PatchSummaryExportRole ed eliminare ogni ruolo.

    Per eliminare la policy danneggiata utilizzando la AWS CLI

    Sostituire i valori di segnaposto con il tuo ID account.

    • Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Dopo aver completato una delle due procedure, segui i passaggi per generare o pianificare un nuovo report sulla conformità delle patch.

Dopo aver eliminato i ruoli o i criteri di conformità delle patch, i report pianificati non vengono generati correttamente

Problema: la prima volta che si genera un report, Systems Manager crea un ruolo di servizio e una policy da utilizzare per il processo di esportazione (AWS-SystemsManager-PatchSummaryExportRole e AWS-SystemsManager-PatchManagerExportRolePolicy). La prima volta che si genera un report in base a una pianificazione, Systems Manager crea un altro ruolo di servizio e una policy (AWS-EventBridge-Start-SSMAutomationRole e AWS-EventBridge-Start-SSMAutomationRolePolicy). Questi consentono ad Amazon EventBridge di avviare un'automazione utilizzando il runbook AWS-ExportPatchReportToS3 .

Se elimini una di queste policy o di questi ruoli, le connessioni tra la pianificazione e il bucket S3 specificato e l'argomento Amazon SNS potrebbero andare perdute.

  • Soluzione: per risolvere questo problema, si consiglia di eliminare la pianificazione precedente e di creare una nuova pianificazione per sostituire quella che si verificava problemi.