• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Trabalhar com recursos e conformidade do Patch Manager usando o console
Para usar o Patch Manager, uma ferramenta do AWS Systems Manager, conclua as tarefas a seguir. Essas tarefas estão descritas com mais detalhes nesta seção.
1. Verifique se a linha de base de patch predefinida da AWS para cada tipo de sistema operacional que você usa atende às suas necessidades. Se não atender, crie uma lista de referência de patches que defina um conjunto padrão de patches para esse tipo de nó gerenciado e a defina como o padrão.
1. Organize os nós gerenciados em grupos de patches usando etiquetas do Amazon Elastic Compute Cloud (Amazon EC2) (opcional, mas recomendado).
1. Execute um destes procedimentos:
+ (Recomendado) Configure uma política de patch no Quick Setup, uma ferramenta do Systems Manager que permite instalar patches que estão faltando de acordo com uma agenda para uma organização inteira, um subconjunto de unidades organizacionais ou uma única Conta da AWS. Para obter mais informações, consulte [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md).
+ Crie uma janela de manutenção que use o documento Systems Manager (SSM document) `AWS-RunPatchBaseline` em um tipo de tarefa Run Command. Para obter mais informações, consulte [Tutorial: Create a maintenance window for patching using the console](maintenance-window-tutorial-patching.md).
+ Executar manualmente`AWS-RunPatchBaseline`em umRun Commandoperação. Para obter mais informações, consulte [Executar comandos no console](running-commands-console.md).
+ Aplique manualmente os patches nos nós sob demanda usando o recurso **Patch now**. Para obter mais informações, consulte [Aplicação de patches em nós gerenciados sob demanda](patch-manager-patch-now-on-demand.md).
1. Monitore a aplicação de patches para verificar a conformidade e investigar falhas.
**Topics**
+ [Criação de uma política de patch](patch-manager-create-a-patch-policy.md)
+ [Visualizar resumos do painel de patches](patch-manager-view-dashboard-summaries.md)
+ [Trabalhando com relatórios de conformidade de patch](patch-manager-compliance-reports.md)
+ [Aplicação de patches em nós gerenciados sob demanda](patch-manager-patch-now-on-demand.md)
+ [Trabalhar com linhas de base de patches](patch-manager-create-a-patch-baseline.md)
+ [Visualizar patches disponíveis](patch-manager-view-available-patches.md)
+ [Como criar e gerenciar grupos de patches](patch-manager-tag-a-patch-group.md)
+ [Integração do Patch Manager com o AWS Security Hub CSPM](patch-manager-security-hub-integration.md)
# Criação de uma política de patch
Uma política de patch é uma configuração que você define usando o Quick Setup, uma ferramenta do AWS Systems Manager. As políticas de patch fornecem um controle mais amplo e centralizado sobre suas operações de aplicação de patches do que o disponível com os outros métodos de configuração de patches. Uma política de patch define a programação e a lista de referência de patches a serem usados na aplicação automática de patches nos seus nós gerenciados.
Para obter mais informações, consulte os tópicos a seguir.
+ [Configurações de políticas de patches em Quick Setup](patch-manager-policies.md)
+ [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md)
# Visualizar resumos do painel de patches
A guia **Painel** no Patch Manager oferece uma visualização de resumo no console que você pode usar para monitorar suas operações de aplicação de patches em uma visualização consolidada. O Patch Manager é uma ferramenta do AWS Systems Manager. Na guia **Dashboard** (Painel), você pode visualizar o seguinte:
+ Um snapshot de quantos nós gerenciados são ou não são compatíveis com as regras de aplicação de patches.
+ Um snapshot de quando os resultados de conformidade dos patches para os nós gerenciados foram gerados.
+ Uma contagem vinculada de quantos nós gerenciados não compatíveis existem para cada um dos motivos mais comuns para a não conformidade.
+ Uma lista vinculada das operações de patch mais recentes.
+ Uma lista vinculada das tarefas de patch recorrentes que foram configuradas.
**Para visualizar resumos do painel de patches**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione a guia **Dashboard** (Painel).
1. Role até a seção que contém dados de resumo que você deseja visualizar:
+ **Gerenciamento de instâncias do Amazon EC**
+ **Resumo de conformidade**
+ **Contagens de não conformidade**
+ **Relatórios de conformidade**
+ **Operações baseadas em políticas que não sejam de patches**
+ **Tarefas recorrentes baseadas em políticas que não sejam de patches**
# Trabalhando com relatórios de conformidade de patch
Use as informações nos tópicos a seguir para ajudar você a gerar e trabalhar com relatórios de conformidade de patches no Patch Manager, uma ferramenta do AWS Systems Manager.
As informações nos tópicos a seguir se aplicam independentemente do método ou tipo de configuração que você estiver usando para suas operações de aplicação de patch:
+ Uma política de patch configurada no Quick Setup
+ Uma opção do Host Management configurada no Quick Setup
+ Uma janela de manutenção para executar um patch `Scan` ou tarefa `Install`
+ Uma operação **Patch now** (Aplicar patch agora) sob demanda
**Importante**
Os relatórios de conformidade de patches são instantâneos pontuais gerados somente por operações bem-sucedidas de aplicação de patches. Cada relatório contém um tempo de captura que identifica quando o status de conformidade foi calculado.
Se você tiver vários tipos de operações em andamento para verificar a conformidade dos patches em suas instâncias, observe que cada verificação substitui os dados de conformidade de patches de verificações anteriores. Como resultado, você pode obter resultados inesperados em seus dados de conformidade de patch. Para obter mais informações, consulte [Identificar a execução que criou os dados de conformidade do patch](patch-manager-compliance-data-overwrites.md).
Para verificar qual lista de referência de patches foi usada para gerar as informações de conformidade mais recentes, navegue até a guia **Relatórios de conformidade** no Patch Manager, localize a linha do nó gerenciado sobre o qual deseja obter informações e escolha o ID da lista de referência na coluna **ID da lista de referência usada**.
**Topics**
+ [Visualizar resultados de conformidade de patches](patch-manager-view-compliance-results.md)
+ [Gere relatórios .csv de conformidade de patches](patch-manager-store-compliance-results-in-s3.md)
+ [Corrigir nós gerenciados fora de conformidade com o Patch Manager](patch-manager-noncompliant-nodes.md)
+ [Identificar a execução que criou os dados de conformidade do patch](patch-manager-compliance-data-overwrites.md)
# Visualizar resultados de conformidade de patches
Use esses procedimentos para exibir as informações de conformidade de patches sobre seus nós gerenciados.
Este procedimento se aplica a operações de patch que usam o`AWS-RunPatchBaseline`document. Para obter mais informações sobre como visualizar informações de conformidade de patches para operações de patch que usam o documento `AWS-RunPatchBaselineAssociation`, consulte [Identificar nós gerenciados fora de conformidade](patch-manager-find-noncompliant-nodes.md).
**nota**
As operações de digitalização de patches para Quick Setup e Explorer usam o documento `AWS-RunPatchBaselineAssociation`. Quick Setup e Explorer são ambos ferramentas do AWS Systems Manager.
**Identificar a solução de patch para um problema específico de CVE (Linux)**
Para muitos sistemas operacionais baseados em Linux, os resultados de conformidade de patch indicam quais problemas do boletim Common Vulnerabilities and Exposure (CVE) serão resolvidos por quais patches. Essas informações podem ajudar você a determinar com que urgência você precisa instalar um patch ausente ou com falha.
Os detalhes do CVE estão incluídos nas versões com suporte dos seguintes tipos de sistema operacional:
+ AlmaLinux
+ Amazon Linux 2
+ Amazon Linux 2023
+ Oracle Linux
+ Red Hat Enterprise Linux (RHEL)
+ Rocky Linux
**nota**
Por padrão, o CentOS Stream não fornece informações do CVE sobre atualizações. No entanto, você pode permitir esse suporte usando repositórios de terceiros como o repositório Extra Packages for Enterprise Linux (EPEL) publicado pelo Fedora. Para obter mais informações, consulte [EPEL](https://fedoraproject.org/wiki/EPEL) no Fedora Wiki.
No momento, os valores de ID de CVE são reportados somente para patches com um status de `Missing` ou `Failed`.
Você também pode adicionar IDs de CVE às listas de patches aprovados ou rejeitados em suas linhas de base de patch, conforme a situação e suas metas de patch o justificarem.
Para obter mais informações sobre como trabalhar com listas de patches aprovados e rejeitados, consulte os seguintes tópicos:
+ [Trabalhando com linhas de base de patch personalizadas](patch-manager-manage-patch-baselines.md)
+ [Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados](patch-manager-approved-rejected-package-name-formats.md)
+ [Como funcionam as regras de linha de base de patch em sistemas baseados no Linux](patch-manager-linux-rules.md)
+ [Como os patches são instalados](patch-manager-installing-patches.md)
**nota**
Em alguns casos, a Microsoft lança patches para aplicações que não especificam data e hora atualizadas. Nesses casos, uma data e hora atualizadas de `01/01/1970` são fornecidas por padrão.
## Visualizar resultados de conformidade de patches
Use o procedimento a seguir para visualizar dados de conformidade do patch no console do AWS Systems Manager.
**nota**
Para obter informações sobre como gerar relatórios de conformidade de patches que foram baixados em um bucket do Amazon Simple Storage Service (Amazon S3), consulte [Gere relatórios .csv de conformidade de patches](patch-manager-store-compliance-results-in-s3.md).
**Para visualizar resultados de conformidade de patch do**
1. Execute um destes procedimentos:
**Opção 1** (recomendada): navegar desde o Patch Manager, uma ferramenta do AWS Systems Manager:
+ No painel de navegação, escolha **Patch Manager**.
+ Selecione a guia **Compliance reporting** (Relatório de conformidade).
+ Na área **Detalhes de patch do nó**, escolha o ID de nó do nó gerenciado para o qual deseja analisar os resultados da conformidade de patches. Nós que são `stopped` ou `terminated` não serão exibidos aqui.
+ Na área **Detalhes**, na lista **Propriedades**, escolha **Patches**.
**Opção 2**: navegar desde o Compliance, uma ferramenta do AWS Systems Manager:
+ No painel de navegação, selecione **Compliance** (Conformidade).
+ Para **Compliance resources summary** (Resumo dos recursos de conformidade), escolha um número na coluna para os tipos de recursos de patch que você deseja revisar, como **Non-Compliant resources** (Recursos sem conformidade).
+ Na lista **Recurso** abaixo, escolha o ID do nó gerenciado do qual você deseja rever os resultados de conformidade do patch.
+ Na área **Detalhes**, na lista **Propriedades**, escolha **Patches**.
**Opção 3**: navegar desde o Fleet Manager, uma ferramenta do AWS Systems Manager.
+ No painel de navegação, escolha **Fleet Manager**.
+ Na área **Instâncias gerenciadas**, escolha o ID do nó gerenciado do qual você deseja rever os resultados da conformidade do patch.
+ Na área **Detalhes**, na lista **Propriedades**, escolha **Patches**.
1. (Opcional) Na caixa de pesquisa (![\[The Search icon\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/search-icon.png)), escolha um ou mais dos filtros disponíveis.
Por exemplo, para o Red Hat Enterprise Linux (RHEL), escolha uma das seguintes opções:
+ Nome
+ Classificação
+ Estado
+ Gravidade
Para o Windows Server, escolha uma das seguintes opções:
+ KB
+ Classificação
+ Estado
+ Gravidade
1. Escolha um dos valores disponíveis para o tipo de filtro escolhido. Por exemplo, se você escolheu **State** (Estado), agora escolha um estado de conformidade como **InstalledPendingReboot**, **Failed** (Com falha) ou **Missing** (Ausente).
**nota**
No momento, os valores de ID de CVE são reportados somente para patches com um status de `Missing` ou `Failed`.
1. Dependendo do estado de conformidade do nó gerenciado, você poderá escolher qual ação tomar para corrigir qualquer nó não compatível.
Por exemplo, você pode optar por corrigir os nós gerenciados não compatíveis imediatamente. Para obter informações sobre a aplicação de patches em nós gerenciados sob demanda, consulte [Aplicação de patches em nós gerenciados sob demanda](patch-manager-patch-now-on-demand.md).
Para obter informações sobre dados de conformidade dos patches, consulte [Valores de estados de conformidade de patches](patch-manager-compliance-states.md).
# Gere relatórios .csv de conformidade de patches
Você pode usar o console do AWS Systems Manager para gerar relatórios de conformidade de patch que são salvos como um arquivo.csv em um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha. Você pode gerar um único relatório sob demanda ou especificar uma programação para gerar os relatórios automaticamente.
Os relatórios podem ser gerados para um único nó gerenciado ou para todos os nós gerenciados na sua Conta da AWS e Região da AWS selecionadas. Para um único nó, um relatório contém detalhes abrangentes, incluindo os IDs de patches relacionados a um nó que não esteja compatível. Para obter um relatório sobre todos os nós gerenciados, apenas informações resumidas e contagens de patches de nós não compatíveis são fornecidas.
Depois que um relatório é gerado, você pode usar uma ferramenta, como o Amazon Quick, para importar e analisar os dados. O Quick é um serviço de business intelligence (BI) que você pode usar para explorar e interpretar informações em um ambiente visual interativo. Para obter mais informações, consulte o [ Manual do usuário do Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).
**nota**
Ao criar uma linha de lista de referência personalizada, é possível especificar um nível de gravidade de conformidade para patches aprovados por essa lista de referência de patches, como `Critical` ou `High`. Se o estado do patch de qualquer patch aprovado for relatado como `Missing`, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.
Você também pode especificar um tópico do Amazon Simple Notification Service (Amazon SNS) a ser usado para enviar notificações quando um relatório for gerado.
**Funções de serviço para gerar relatórios de conformidade de patch**
Na primeira vez que você gera um relatório, o Systems Manager cria um perfil de admissão do Automation chamado `AWS-SystemsManager-PatchSummaryExportRole` para usar com o processo de exportação para o S3.
**nota**
Se você estiver exportando dados de conformidade para um bucket criptografado do S3, será necessário atualizar a política de chave do AWS KMS associada para fornecer as permissões necessárias para `AWS-SystemsManager-PatchSummaryExportRole`. Por exemplo, adicione uma permissão semelhante a essa à política do AWS KMS de seu bucket do S3:
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "role-arn"
}
```
Substitua *role-arn* pelo nome do recurso da Amazon (ARN) criado em sua conta no formato `arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`.
Para saber mais, consulte [Políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service*.
Na primeira vez que você gerar um relatório em um agendamento, o Systems Manager cria outra função de serviço chamada`AWS-EventBridge-Start-SSMAutomationRole`, juntamente com a função de serviço`AWS-SystemsManager-PatchSummaryExportRole`(se ainda não tiver sido criado) para usar para o processo de exportação.`AWS-EventBridge-Start-SSMAutomationRole`permite que o Amazon EventBridge inicie uma automação usando o runbook[AWS-ExportPatchReporttos3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Recomendamos que não tente modificar essas políticas e funções. Isso pode causar falha na geração do relatório de conformidade do patch. Para obter mais informações, consulte [Solução de problemas da geração de relatórios de conformidade de patches](#patch-compliance-reports-troubleshooting).
**Topics**
+ [O que está em um relatório de conformidade de patch gerado?](#patch-compliance-reports-to-s3-examples)
+ [Gerar relatórios de conformidade de patch para um único nó gerenciado.](#patch-compliance-reports-to-s3-one-instance)
+ [Gerar relatórios de conformidade de patch para todos os nós gerenciados.](#patch-compliance-reports-to-s3-all-instances)
+ [Visualizar histórico de relatórios de conformidade de patches](#patch-compliance-reporting-history)
+ [Visualizar as programações de relatórios de conformidade de patches](#patch-compliance-reporting-schedules)
+ [Solução de problemas da geração de relatórios de conformidade de patches](#patch-compliance-reports-troubleshooting)
## O que está em um relatório de conformidade de patch gerado?
Este tópico fornece informações sobre os tipos de conteúdo incluídos nos relatórios de conformidade de patch que são gerados e baixados para um bucket do S3 especificado.
### Formato de relatório para um único nó gerenciado
Um relatório gerado para um único nó gerenciado fornece informações resumidas e detalhadas.
[Baixar um relatório de exemplo (nó único)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)
Informações resumidas para um único nó gerenciado incluem o seguinte:
+ Índice
+ ID da instância
+ Nome da instância
+ Instance IP
+ nome-da-plataforma
+ Versão da plataforma
+ Versão do SSM Agent
+ Linha de base de patch
+ Grupo de patches
+ Compliance status (Status de conformidade)
+ Gravidade da conformidade
+ Contagem de patches de severidade crítica não compatível
+ Contagem de patches de alta gravidade não compatível
+ Contagem de patches de gravidade média não compatível
+ Contagem de patches de baixa gravidade não compatível
+ Contagem de patches de severidade informativa não compatível
+ Contagem de patches de gravidade não especificada não compatível
Informações detalhadas para um único nó gerenciado incluem o seguinte:
+ Índice
+ ID da instância
+ Nome da instância
+ Nome do patch
+ ID do BC/ID do patch
+ Estado do patch
+ Hora do último relatório
+ Nível de conformidade
+ Gravidade do patch
+ Classificação de patch
+ CVE ID
+ Linha de base de patch
+ URL de logs
+ Instance IP
+ nome-da-plataforma
+ Versão da plataforma
+ Versão do SSM Agent
**nota**
Ao criar uma linha de lista de referência personalizada, é possível especificar um nível de gravidade de conformidade para patches aprovados por essa lista de referência de patches, como `Critical` ou `High`. Se o estado do patch de qualquer patch aprovado for relatado como `Missing`, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.
### Formato de relatório para todos os nós gerenciados
Um relatório gerado para todos os nós gerenciados fornece apenas informações resumidas.
[Baixar um relatório de amostra (todos os nós gerenciados)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)
Informações resumidas para todos os nós gerenciados incluem o seguinte:
+ Índice
+ ID da instância
+ Nome da instância
+ Instance IP
+ nome-da-plataforma
+ Versão da plataforma
+ Versão do SSM Agent
+ Linha de base de patch
+ Grupo de patches
+ Compliance status (Status de conformidade)
+ Gravidade da conformidade
+ Contagem de patches de severidade crítica não compatível
+ Contagem de patches de alta gravidade não compatível
+ Contagem de patches de gravidade média não compatível
+ Contagem de patches de baixa gravidade não compatível
+ Contagem de patches de severidade informativa não compatível
+ Contagem de patches de gravidade não especificada não compatível
## Gerar relatórios de conformidade de patch para um único nó gerenciado.
Use o procedimento a seguir para gerar um relatório de resumo de patches para um único nó gerenciado na sua Conta da AWS. O relatório de um único nó gerenciado fornece detalhes sobre cada patch que estiver fora de conformidade, incluindo nomes de patches e IDs.
**Para gerar relatórios de conformidade de patch para um único nó gerenciado.**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione a guia **Compliance reporting** (Relatório de conformidade).
1. Selecione o botão na linha do nó gerenciado para o qual você deseja gerar um relatório e escolha **View detail** (Visualizar detalhes).
1. Na seção **Patch summary** (Resumo do patch), escolha **Export to S3** (Exportar para o S3).
1. Para **Report name** (Nome do relatório), insira um nome para ajudar você a identificar o relatório mais tarde.
1. Para **Reporting frequency** (Frequência dos relatórios), escolha uma das seguintes opções:
+ **Sob demanda**— Cria um relatório único. Vá para a etapa 9.
+ **Em um horário**— Especifique uma programação recorrente para gerar relatórios automaticamente. Continue na etapa 8.
1. Para **Schedule type** (Tipo de programação), especifique uma expressão de taxa, como a cada 3 dias, ou forneça uma expressão cron para definir a frequência do relatório.
Para obter informações sobre expressões cron, consulte [Referência: Expressões cron e rate para o Systems Manager](reference-cron-and-rate-expressions.md).
1. Para o **Bucket name** (Nome do bucket), selecione o nome de um bucket do S3 onde você deseja armazenar os arquivos .csv de relatório
**Importante**
Se você estiver trabalhando em uma Região da AWS que foi lançada após 20 de março de 2019, selecione um bucket do S3 na mesma região. As regiões iniciadas após essa data foram desativadas por padrão. Para obter mais informações e uma lista dessas regiões, consulte [Enabling a Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) no *Referência geral da Amazon Web Services*.
1. (Opcional) Para enviar notificações quando o relatório for gerado, expanda a seção **Tópico do SNS** e escolha um tópico existente do Amazon SNS em **SNS topic Amazon Resource Name (ARN)** (Nome do recurso da Amazon (ARN) do tópico do SNS).
1. Selecione **Enviar**.
Para obter informações sobre como exibir um histórico de relatórios gerados, consulte [Visualizar histórico de relatórios de conformidade de patches](#patch-compliance-reporting-history).
Para obter informações sobre como visualizar detalhes das agendas de relatórios que você criou, consulte [Visualizar as programações de relatórios de conformidade de patches](#patch-compliance-reporting-schedules).
## Gerar relatórios de conformidade de patch para todos os nós gerenciados.
Use o procedimento a seguir para gerar um relatório de resumo de patches para todos os nós gerenciados na sua Conta da AWS. O relatório de todos os nós gerenciados indica quais nós estão fora de conformidade e os números de patches fora de conformidade. Ele não fornece os nomes ou outros identificadores dos patches. Para esses detalhes adicionais, você pode gerar um relatório de conformidade de patches para um único nó gerenciado. Para obter mais informações, consulte [Gerar relatórios de conformidade de patch para um único nó gerenciado.](#patch-compliance-reports-to-s3-one-instance) já abordado neste tópico.
**Para gerar relatórios de conformidade de patch para todos os nós gerenciados**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione a guia **Compliance reporting** (Relatório de conformidade).
1. Selecione **Export to S3** (Exportar para o S3). (Não selecione um ID de nó primeiro.)
1. Para **Report name** (Nome do relatório), insira um nome para ajudar você a identificar o relatório mais tarde.
1. Para **Reporting frequency** (Frequência dos relatórios), escolha uma das seguintes opções:
+ **Sob demanda**— Cria um relatório único. Vá para a etapa 8.
+ **Em um horário**— Especifique uma programação recorrente para gerar relatórios automaticamente. Continue na etapa 7.
1. Para **Schedule type** (Tipo de programação), especifique uma expressão de taxa, como a cada 3 dias, ou forneça uma expressão cron para definir a frequência do relatório.
Para obter informações sobre expressões cron, consulte [Referência: Expressões cron e rate para o Systems Manager](reference-cron-and-rate-expressions.md).
1. Para o **Bucket name** (Nome do bucket), selecione o nome de um bucket do S3 onde você deseja armazenar os arquivos .csv de relatório
**Importante**
Se você estiver trabalhando em uma Região da AWS que foi lançada após 20 de março de 2019, selecione um bucket do S3 na mesma região. As regiões iniciadas após essa data foram desativadas por padrão. Para obter mais informações e uma lista dessas regiões, consulte [Enabling a Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) no *Referência geral da Amazon Web Services*.
1. (Opcional) Para enviar notificações quando o relatório for gerado, expanda a seção **Tópico do SNS** e escolha um tópico existente do Amazon SNS em **SNS topic Amazon Resource Name (ARN)** (Nome do recurso da Amazon (ARN) do tópico do SNS).
1. Selecione **Enviar**.
Para obter informações sobre como exibir um histórico de relatórios gerados, consulte [Visualizar histórico de relatórios de conformidade de patches](#patch-compliance-reporting-history).
Para obter informações sobre como visualizar detalhes das agendas de relatórios que você criou, consulte [Visualizar as programações de relatórios de conformidade de patches](#patch-compliance-reporting-schedules).
## Visualizar histórico de relatórios de conformidade de patches
Use as informações deste tópico para ajudar você a exibir detalhes sobre os relatórios de conformidade de patches gerados em seu Conta da AWS.
**Para visualizar o histórico dos relatórios de conformidade dos patches**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione a guia **Compliance reporting** (Relatório de conformidade).
1. Selecione **View all S3 exports** (Exibir todas as exportações do S3) e, em seguida, selecione a guia **Export history** (Histórico de exportação).
## Visualizar as programações de relatórios de conformidade de patches
Use as informações deste tópico para ajudar você a exibir detalhes sobre as agendas de relatórios de conformidade de patch criadas em seu Conta da AWS.
**Para visualizar o histórico dos relatórios de conformidade dos patches**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione a guia **Compliance reporting** (Relatório de conformidade).
1. Selecione **View all S3 exports** (Exibir todas as exportações do S3) e, em seguida, selecione a guia **Report schedule rules** (Regras para o agendamento de relatórios).
## Solução de problemas da geração de relatórios de conformidade de patches
Use as seguintes informações para ajudar você a solucionar problemas com a geração de relatórios de conformidade de patches no Patch Manager, uma ferramenta do AWS Systems Manager.
**Topics**
+ [Uma mensagem informa que a política `AWS-SystemsManager-PatchManagerExportRolePolicy` está corrompida](#patch-compliance-reports-troubleshooting-1)
+ [Depois de excluir políticas ou funções de conformidade de patch, os relatórios agendados não são gerados com êxito](#patch-compliance-reports-troubleshooting-2)
### Uma mensagem informa que a política `AWS-SystemsManager-PatchManagerExportRolePolicy` está corrompida
**Problema**: Você recebe uma mensagem de erro semelhante à seguinte, indicando a`AWS-SystemsManager-PatchManagerExportRolePolicy`está corrompido:
```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any
role that uses it, then try again. Systems Manager recreates the roles and policies
you have deleted.
```
+ **Solução**: use o console do Patch Manager ou a AWS CLI para excluir as políticas e os perfis afetados antes de gerar um novo relatório de conformidade de patches.
**Para excluir a política corrompida usando o console**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Execute um destes procedimentos:
**Relatórios sob demanda**: se o problema ocorreu durante a geração de um relatório por solicitação único, na navegação à esquerda, escolha **Políticas**, pesquise por `AWS-SystemsManager-PatchManagerExportRolePolicy` e exclua a política. Depois, escolha **Perfis**, pesquise por `AWS-SystemsManager-PatchSummaryExportRole` e, em seguida, exclua o perfil.
**Relatórios programados**: se o problema ocorreu durante a geração de um relatório em um agendamento, na navegação à esquerda, escolha **Políticas**, pesquise um de cada vez por`AWS-EventBridge-Start-SSMAutomationRolePolicy` e `AWS-SystemsManager-PatchManagerExportRolePolicy` e exclua cada política. Depois, escolha**Perfil**, pesquise um de cada vez por `AWS-EventBridge-Start-SSMAutomationRole` e `AWS-SystemsManager-PatchSummaryExportRole`, e exclua cada perfil.
**Para excluir a política corrompida usando a AWS CLI**
Substitua os *valores dos espaços reservados* pelo ID de sua conta.
+ Se o problema ocorreu ao gerar um relatório único sob demanda, execute estes comandos:
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Se o problema ocorreu ao gerar um relatório sobre um agendamento, execute estes comandos:
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
```
```
aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Após concluir todos os procedimento, siga as etapas para gerar ou agendar um novo relatório de conformidade de patch.
### Depois de excluir políticas ou funções de conformidade de patch, os relatórios agendados não são gerados com êxito
**Problema**: A primeira vez que você gerar um relatório, o Systems Manager cria uma função de serviço e uma política a ser usada para o processo de exportação (`AWS-SystemsManager-PatchSummaryExportRole`e`AWS-SystemsManager-PatchManagerExportRolePolicy`). Na primeira vez que você gerar um relatório em uma agenda, o Systems Manager cria outra função de serviço e uma política (`AWS-EventBridge-Start-SSMAutomationRole`e`AWS-EventBridge-Start-SSMAutomationRolePolicy`). Eles permitem que o Amazon EventBridge inicie uma automação usando o runbook[AWS-ExportPatchReporttos3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Se você excluir qualquer uma dessas políticas ou funções, as conexões entre o agendamento e o bucket do S3 especificado e o tópico do Amazon SNS poderão ser perdidas.
+ **Solução**: para contornar esse problema, recomendamos excluir o agendamento anterior e criar um novo agendamento para substituir o que estava enfrentando problemas.
# Corrigir nós gerenciados fora de conformidade com o Patch Manager
Os tópicos desta seção fornecem visões gerais de como identificar nós gerenciados que estão fora da conformidade de patch e como colocar esses nós em conformidade.
**Topics**
+ [Identificar nós gerenciados fora de conformidade](patch-manager-find-noncompliant-nodes.md)
+ [Valores de estados de conformidade de patches](patch-manager-compliance-states.md)
+ [Aplicação de patches em nós gerenciados fora de conformidade](patch-manager-compliance-remediation.md)
# Identificar nós gerenciados fora de conformidade
Os nós gerenciados fora de conformidade são identificados quando um dos dois documentos do AWS Systems Manager (documentos SSM) são executados. Esses documentos do SSM fazem referência à lista de referência de patches apropriada para cada nó gerenciado do Patch Manager, uma ferramenta do AWS Systems Manager. Em seguida, eles avaliam o estado do patch do nó gerenciado e, em seguida, disponibilizam os resultados de conformidade para você.
Há dois documentos do SSM que são usados para identificar ou atualizar nós gerenciados fora de conformidade: `AWS-RunPatchBaseline` e `AWS-RunPatchBaselineAssociation`. Cada um é usado por diferentes processos, e seus resultados de conformidade estão disponíveis em diferentes canais. A tabela a seguir descreve as diferenças entre esses documentos.
**nota**
Dados de conformidade de patches do Patch Manager podem ser enviados para o AWS Security Hub CSPM. O Security Hub CSPM oferece uma visão abrangente dos alertas de segurança de alta prioridade e do status de conformidade. Também monitora o estado de aplicação de patches da sua frota. Para obter mais informações, consulte [Integração do Patch Manager com o AWS Security Hub CSPM](patch-manager-security-hub-integration.md).
| | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` |
| --- | --- | --- |
| Processos que usam o documento | **Patch sob demanda** - Você pode verificar ou corrigir os nós gerenciados sob demanda usando a opção **Patch now** (Aplicar patch agora). Para mais informações, consulte [Aplicação de patches em nós gerenciados sob demanda](patch-manager-patch-now-on-demand.md). **Políticas de patch do Quick Setup do Systems Manager**: é possível criar uma configuração de patches no Quick Setup, uma ferramenta do AWS Systems Manager que pode verificar ou instalar patches que estão faltando em programações separadas para uma organização inteira, um subconjunto de unidades organizacionais ou uma única Conta da AWS. Para mais informações, consulte [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md). **Execute um comando**: é possível executar `AWS-RunPatchBaseline` manualmente em uma operação no Run Command, uma ferramenta do AWS Systems Manager. Para mais informações, consulte [Executar comandos no console](running-commands-console.md). **Maintenance window (Janela de manutenção)**— Você pode criar uma janela de manutenção que use o documento do SSM`AWS-RunPatchBaseline`em umRun CommandTipo de tarefa. Para mais informações, consulte [Tutorial: Create a maintenance window for patching using the console](maintenance-window-tutorial-patching.md). | **Host Management do Quick Setup do Systems Manager**: é possível ativar uma opção de configuração do Host Management no Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches todos os dias. Para mais informações, consulte [Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup](quick-setup-host-management.md). **Systems Manager [Explorer](Explorer.md)**: quando você habilita o Explorer, uma ferramenta do AWS Systems Manager, ele verifica suas instâncias gerenciadas regularmente no que diz respeito à conformidade de patches e relata os resultados no painel do Explorer. |
| Formato dos dados do resultado da verificação do patch | Depois que o `AWS-RunPatchBaseline` é executado, o Patch Manager envia um objeto do `AWS:PatchSummary` ao Inventory, uma ferramenta do AWS Systems Manager. Esse relatório é gerado somente por operações de aplicação de patches bem-sucedidas e inclui um tempo de captura que identifica quando o status de conformidade foi calculado. | Depois que o `AWS-RunPatchBaselineAssociation` é executado, o Patch Manager envia um objeto do `AWS:ComplianceItem` ao Systems Manager Inventory. |
| Visualizar relatórios da conformidade de patches no console | Você pode visualizar as informações de conformidade do patch para processos que usam o `AWS-RunPatchBaseline` em [Conformidade da configuração do Systems Manager](systems-manager-compliance.md) e em [Trabalhar com nós gerenciados](fleet-manager-managed-nodes.md). Para obter mais informações, consulte [Visualizar resultados de conformidade de patches](patch-manager-view-compliance-results.md). | Se você usa o Quick Setup para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no [Fleet Manager do Systems Manager](fleet-manager.md). No console do Fleet Manager, escolha o ID do seu nó gerenciado. No menu **Geral**, escolha **Conformidade de configuração**. Se você usa o Explorer para verificar as instâncias gerenciadas quanto à conformidade de patches, você pode ver o relatório de conformidade no Explorer e no [OpsCenter do Systems Manager](OpsCenter.md). |
| AWS CLIComandos da para visualizar os resultados de conformidade de patches | Para processos que usam o `AWS-RunPatchBaseline`, você pode usar o seguinte comando da AWS CLI para visualizar informações resumidas sobre patches em um nó gerenciado. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) | Para processos que usam o `AWS-RunPatchBaselineAssociation`, você pode usar o seguinte comando da AWS CLI para visualizar informações resumidas sobre patches em uma instância. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) |
| Sobre operações de aplicação de patches | Para processos que usam o `AWS-RunPatchBaseline`, você especifica se deseja que a operação execute uma `Scan` somente operação ou uma operação `Scan and install`. Se o objetivo for identificar nós gerenciados fora de conformidade e não os corrigir, execute apenas uma operação `Scan`. | Os processos do Quick Setup e Explorer, que usam o AWS-RunPatchBaselineAssociation, executam apenas uma operação de Scan. |
| Mais informações | [Documento de comando do SSM para a aplicação de patches: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) | [Documento de comando do SSM para a aplicação de patches: `AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md) |
Para obter informações sobre os vários estados de conformidade dos patches que você poderá ver relatados, consulte [Valores de estados de conformidade de patches](patch-manager-compliance-states.md)
Para obter informações sobre como corrigir nós gerenciados que não estiverem em conformidade com os patches, consulte [Aplicação de patches em nós gerenciados fora de conformidade](patch-manager-compliance-remediation.md).
# Valores de estados de conformidade de patches
As informações sobre patches de um nó gerenciado incluem um relatório do estado, ou status, de cada patch individual.
**dica**
Para atribuir um estado de conformidade de patch específico a um nó gerenciado, você pode usar o comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) da AWS Command Line Interface (AWS CLI) ou a operação de API [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html). A atribuição do estado da conformidade não tem suporte no console.
Use as informações nas tabelas a seguir para ajudar você a identificar por que um nó gerenciado pode estar fora de conformidade com patches.
## Valores de conformidade de patch para Debian Server e Ubuntu Server
Para Debian Server e Ubuntu Server, as regras de classificação de pacotes em diferentes estados de conformidade estão descritas na tabela abaixo.
**nota**
Tenha em mente o seguinte ao avaliar os valores de status `INSTALLED`, `INSTALLED_OTHER`, e `MISSING`: se você não marcar a caixa de seleção **Incluir atualizações não relacionadas à segurança** ao criar ou atualizar uma linha de base de patch, as versões candidatas a patches serão limitadas a patches nos repositórios a seguir.
Ubuntu Server 16.04 LTS: `xenial-security`
Ubuntu Server 18.04 LTS: `bionic-security`
Ubuntu Server 20.04 LTS: `focal-security`
Ubuntu Server 22.04 LTS (`jammy-security`)
Ubuntu Server 24.04 LTS (`noble-security`)
Ubuntu Server 25.04 (`plucky-security`)
`debian-security` (Debian Server)
Se você selecionar a caixa de seleção **Incluir atualizações não relacionadas à segurança**, os patches de outros repositórios também são considerados.
| Estado do patch | Descrição | Compliance status (Status de conformidade) |
| --- | --- | --- |
| **`INSTALLED`** | O patch está listado na lista de referência de patches e está instalado em seu nó gerenciado. Ele poderia ter sido instalado manualmente por um indivíduo, ou automaticamente pelo Patch Manager, quando o documento `AWS-RunPatchBaseline` foi executado em seu nó gerenciado. | Compatível |
| **`INSTALLED_OTHER`** | O patch não está incluído na lista de referência ou não é aprovado por ela, mas está instalado em seu nó gerenciado. O patch pode ter sido instalado manualmente, o pacote pode ser uma dependência necessária de outro patch aprovado ou o patch pode ter sido incluído em uma operação InstallOverrideList. Se você não especificar `Block` como a ação **Rejected patches** (Patches rejeitados), os patches `INSTALLED_OTHER` também incluirão os patches instalados, porém rejeitados. | Compatível |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` pode significar uma de duas possibilidades: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/patch-manager-compliance-states.html) Em nenhum dos casos isso significa que um patch com esse status *exige* uma reinicialização, mas apenas que o nó não foi reinicializado desde que o patch foi instalado. | incompatível: |
| **`INSTALLED_REJECTED`** | O patch está instalado em seu nó gerenciado, mas está especificado em uma lista de **patches rejeitados**. Isso geralmente significa que o patch foi instalado antes de ser adicionado a uma lista de patches rejeitados. | incompatível: |
| **`MISSING`** | O patch foi aprovado na lista de referência, mas não está instalado em seu nó gerenciado. Se você configurar a tarefa do documento `AWS-RunPatchBaseline` para verificar (em vez de instalar), o sistema relatará esse status para os patches que foram localizados durante a verificação, mas que não foram instalados. | incompatível: |
| **`FAILED`** | FAILED: o patch foi aprovado na linha de base, mas não pôde ser instalado. Para solucionar essa situação, reveja o resultado do comando para obter informações que possam ajudar você a entender o problema. | incompatível: |
## Valores de conformidade de patches para outros sistemas operacionais
Para todos os sistemas operacionais além do Debian Server e Ubuntu Server, as regras de classificação de pacotes em diferentes estados de conformidade estão descritas na tabela abaixo.
| Estado do patch | Descrição | Valor da conformidade |
| --- | --- | --- |
| **`INSTALLED`** | O patch está listado na lista de referência de patches e está instalado em seu nó gerenciado. Ele poderia ter sido instalado manualmente por um indivíduo, ou automaticamente pelo Patch Manager, quando o documento `AWS-RunPatchBaseline` foi executado em seu nó. | Compatível |
| **`INSTALLED_OTHER`**1 | O patch não está na lista de referência, mas está instalado em seu nó gerenciado. Há dois motivos possíveis para isso: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/patch-manager-compliance-states.html) | Compatível |
| **`INSTALLED_REJECTED`** | O patch está instalado em seu nó gerenciado, mas está especificado em uma lista de patches rejeitados. Isso geralmente significa que o patch foi instalado antes de ser adicionado a uma lista de patches rejeitados. | incompatível: |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` pode significar uma de duas possibilidades: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/patch-manager-compliance-states.html) Em nenhum dos casos isso significa que um patch com esse status *exige* uma reinicialização, mas apenas que o nó não foi reinicializado desde que o patch foi instalado. | incompatível: |
| **`MISSING`** | O patch foi aprovado na lista de referência, mas não está instalado em seu nó gerenciado. Se você configurar a tarefa do documento `AWS-RunPatchBaseline` para verificar (em vez de instalar), o sistema relatará esse status para os patches que foram localizados durante a verificação, mas que não foram instalados. | incompatível: |
| **`FAILED`** | FAILED: o patch foi aprovado na linha de base, mas não pôde ser instalado. Para solucionar essa situação, reveja o resultado do comando para obter informações que possam ajudar você a entender o problema. | incompatível: |
| **`NOT_APPLICABLE`**1 | *Este estado de conformidade é apenas indicado em sistemas operacionais do Windows Server*. O patch está aprovado na lista de referência, mas o serviço ou recurso que o utiliza não está instalado em seu nó gerenciado. Por exemplo, um patch para o serviço do servidor Web, como os Serviços de Informações da Internet (IIS), mostraria `NOT_APPLICABLE` se fosse aprovado na linha de base, mas o serviço da Web não está instalado em seu nó gerenciado. Um patch também pode ser marcado como `NOT_APPLICABLE` se tiver sido substituído por uma atualização subsequente. Isso significa que a atualização posterior está instalada e a atualização `NOT_APPLICABLE` não é mais necessária. | Não aplicável |
| AVAILABLE\$1SECURITY\$1UPDATES | *Este estado de conformidade é apenas indicado em sistemas operacionais do Windows Server*. Um patch de atualização de segurança disponível que não é aprovado pela lista de referência de patches pode ter um valor de conformidade `Compliant` ou `Non-Compliant`, conforme definido em uma lista de referência de patches personalizada. Ao criar ou atualizar uma lista de referência de patches, você escolhe o status que deseja atribuir aos patches de segurança que estão disponíveis, mas não aprovados, porque não atendem aos critérios de instalação especificados na lista de referência de patches. Por exemplo, os patches de segurança que você talvez queira instalar poderão ser ignorados se você tiver especificado um longo período de espera após o lançamento de um patch antes da instalação. Se uma atualização do patch for lançada durante o período de espera especificado, o período de espera para instalação do patch recomeçará. Se o período de espera for muito longo, várias versões do patch poderão ser lançadas, mas nunca instaladas. Para contagens resumidas de patches, quando um patch é informado como `AvailableSecurityUpdate`, ele sempre será incluído em `AvailableSecurityUpdateCount`. Se a lista de referência estiver configurada para informar esses patches como `NonCompliant`, eles também serão incluídos em `SecurityNonCompliantCount`. Se a lista de referência estiver configurada para informar esses patches como `Compliant`, eles não serão incluídos em `SecurityNonCompliantCount`. Esses patches são sempre informados com uma severidade não especificada e nunca são incluídos em `CriticalNonCompliantCount`. | Compatível ou Não compatível, dependendo da opção selecionada para as atualizações de segurança disponíveis. Usando o console para criar ou atualizar uma lista de referência de patches, você especifica essa opção no campo **Status de conformidade das atualizações de segurança disponíveis**. Usando a AWS CLI para executar o comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html) ou [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html), você especifica essa opção no parâmetro `available-security-updates-compliance-status`. |
¹ Para patches com o estado `INSTALLED_OTHER` e `NOT_APPLICABLE`, o Patch Manager omite alguns dados dos resultados de consultas com base no comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html), como os valores para `Classification` e `Severity`. Isso é feito para ajudar a evitar ultrapassar o limite de dados para nós individuais no Inventory, uma ferramenta do AWS Systems Manager. Para visualizar todos os detalhes do patch, você pode usar o comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html).
# Aplicação de patches em nós gerenciados fora de conformidade
Muitas das mesmas ferramentas e processos do AWS Systems Manager que você pode usar para conferir a conformidade do patch em nós gerenciados podem ser usadas para colocar os nós em conformidade com as regras de patch que se aplicam atualmente a eles. Para promover a conformidade com patches em nós gerenciados, o Patch Manager, uma ferramenta do AWS Systems Manager, deve executar uma operação `Scan and install`. (Se o objetivo for apenas identificar nós gerenciados fora de conformidade e não os corrigir, execute uma operação `Scan`. Para obter mais informações, consulte [Identificar nós gerenciados fora de conformidade](patch-manager-find-noncompliant-nodes.md).)
**Instalar patches usando o Systems Manager**
Você pode escolher entre várias ferramentas para executar um`Scan and install`operação:
+ (Recomendado) Configure uma política de patch no Quick Setup, uma ferramenta do Systems Manager que permite instalar patches que estão faltando de acordo com uma agenda para uma organização inteira, um subconjunto de unidades organizacionais ou uma única Conta da AWS. Para obter mais informações, consulte [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md).
+ Crie uma janela de manutenção que use o documento Systems Manager (SSM document) `AWS-RunPatchBaseline` em um tipo de tarefa Run Command. Para mais informações, consulte [Tutorial: Create a maintenance window for patching using the console](maintenance-window-tutorial-patching.md).
+ Executar manualmente`AWS-RunPatchBaseline`em umRun Commandoperação. Para mais informações, consulte [Executar comandos no console](running-commands-console.md).
+ Instale patches sob demanda usando o**Patch agora**opção. Para mais informações, consulte [Aplicação de patches em nós gerenciados sob demanda](patch-manager-patch-now-on-demand.md).
# Identificar a execução que criou os dados de conformidade do patch
Os dados de conformidade de patches representam um instantâneo pontual da última operação bem-sucedida de aplicação de patches. Cada relatório de conformidade inclui uma ID de execução e um tempo de captura que ajudam a identificar qual operação criou os dados de conformidade e quando eles foram gerados.
Se você tiver vários tipos de operações em andamento para verificar a conformidade dos patches em suas instâncias, cada verificação substitui os dados de conformidade de patches de verificações anteriores. Como resultado, você pode obter resultados inesperados em seus dados de conformidade de patch.
Por exemplo, suponha que você crie uma política de patch que verifique a conformidade dos patches todos os dias às 2h, horário local. Essa política de patch usa uma lista de referência de patches que visa patches com gravidade marcada como `Critical`, `Important` e `Moderate`. Essa lista de referência de patches também define alguns patches especificamente rejeitados.
Suponha também que você já tenha uma janela de manutenção configurada para realizar a verificação do mesmo conjunto de nós gerenciados todos os dias às 4h da manhã, no horário local, que você não exclui nem desativa. A tarefa dessa janela de manutenção usa uma lista de referência de patches diferente, que visa apenas patches com gravidade `Critical` e não exclui nenhum patch específico.
Quando essa segunda verificação é executada pela janela de manutenção, os dados de conformidade do patch da primeira verificação são excluídos e substituídos pela conformidade do patch da segunda verificação.
Portanto, é altamente recomendável usar apenas um método automatizado para verificar e instalar em suas operações de aplicação de patch. Se você estiver configurando políticas de patch, exclua ou desative outros métodos de verificação de conformidade de patches. Para saber mais, consulte os seguintes tópicos:
+ Para remover uma tarefa de operação de aplicação de patch de uma janela de manutenção: [Atualização ou cancelamento de registros de tarefas da janela de manutenção usando o console](sysman-maintenance-update.md#sysman-maintenance-update-tasks)
+ Para excluir uma associação de State Manager: [Excluir associações](systems-manager-state-manager-delete-association.md).
Para desativar as verificações diárias de conformidade de patches em uma configuração de gerenciamento de host, faça o seguinte em Quick Setup:
1. No painel de navegação, escolha **Quick Setup**.
1. Selecione a configuração do Host Management a ser atualizada.
1. Escolha **Actions, Edit configuration** (Ações, Editar configuração).
1. Desmarque a caixa de seleção **Scan instances for missing patches daily** (Verificar instâncias em busca de patches ausentes diariamente).
1. Selecione **Atualizar**.
**nota**
O uso da opção **Patch now** (Aplicar patch agora) para verificar a conformidade de um nó gerenciado também resulta na substituição dos dados de conformidade do patch.
# Aplicação de patches em nós gerenciados sob demanda
Usar a opção **Patch agora** no Patch Manager, uma ferramenta do AWS Systems Manager, é possível executar operações de patch sob demanda no console do Systems Manager. Isso significa que você não precisa criar um agendamento para atualizar o status de conformidade dos os nós gerenciados ou instalar patches em nós não compatíveis. Você também não precisa alternar o console do Systems Manager entre o Patch Manager e a Maintenance Windows, uma ferramenta do AWS Systems Manager para configurar ou modificar uma janela de patch programada.
A opção **Patch now** (Aplicar patch agora) é especialmente útil quando você tiver que aplicar atualizações de dia zero ou instalar outros patches críticos aos nós gerenciados o mais rápido possível.
**nota**
Há suporte para a aplicação de patches sob demanda para um único par Conta da AWS-Região da AWS por vez. Ela não pode ser usada com operações de aplicação de patches baseadas em *políticas de patch*. Recomendamos o uso de políticas de patch para manter todos os seus nós gerenciados em conformidade. Para mais informações sobre como trabalhar com políticas de patch, consulte [Configurações de políticas de patches em Quick Setup](patch-manager-policies.md).
**Topics**
+ [Como funciona o comando 'Patch now' (Aplicar patches agora)](#patch-on-demand-how-it-works)
+ [Executar 'Patch agora'](#run-patch-now)
## Como funciona o comando 'Patch now' (Aplicar patches agora)
Para executar o **Patch agora**, você especifica apenas duas configurações necessárias:
+ Verificar somente se há patches ausentes ou verificar *e* instalar patches em nós gerenciados
+ Em quais nós gerenciados executar a operação
Quando a operação **Patch now** (Aplicar patch agora) é executada, ela determina qual lista de referência de patches usar, da mesma forma que uma é selecionada para outras operações de aplicação de patches. Se um nó gerenciado estiver associado a um grupo de patches, a lista de referência de patches especificada para esse grupo será usada. Se o nó gerenciado não estiver associado a um grupo de patches, a operação usará a lista de referência de patches atualmente definida como padrão para o tipo de sistema operacional do nó gerenciado. Esta pode ser uma linha de base predefinida ou a linha de base personalizada que você definiu como padrão. Para obter mais informações sobre a seleção da lista de referência de patches, consulte [Grupos de patches](patch-manager-patch-groups.md).
As opções que você pode especificar para **Patch now** (Aplicar patches agora) incluem escolher quando, ou se, reinicializar nós gerenciados após a aplicação do patch, especificar um bucket do Amazon Simple Storage Service (Amazon S3) para armazenar dados de log para a operação de patch e executar documentos do Systems Manager (documentos do SSM) como hooks de ciclo de vida durante a aplicação de patches.
### Limites de erro e simultaneidade para 'Patch now’ (Aplicar patch agora)
Para as operações **Patch now** (Aplicar patch agora), a simultaneidade e as opções de limite de erro são resolvidas pelo Patch Manager. Você não precisa especificar quantos nós gerenciados devem ser corrigidos de uma só vez, nem quantos erros são permitidos antes que a operação falhe. O Patch Manager aplica as configurações de limite de simultaneidade e erro descritas nas tabelas a seguir quando você aplica patches sob demanda.
**Importante**
Os seguintes limites se aplicam somente a operações `Scan and install`. Para operações `Scan`, o Patch Manager tenta verificar até 1.000 nós simultaneamente e continuar a varredura até que ele tenha encontrado até 1.000 erros.
**Simultaneidade: operações de instalação**
| Número total de nós gerenciados na operação **Patch now** (Aplicar patch agora) | Número de nós gerenciados verificados ou corrigidos de cada vez |
| --- | --- |
| Menos de 25 | 1 |
| 25-100 | 5% |
| 101 a 1.000 | 8% |
| Mais de 1.000 | 10% |
**Limite de erro: operações de instalação**
| Número total de nós gerenciados na operação **Patch now** (Aplicar patch agora) | Número de erros permitidos antes da falha da operação |
| --- | --- |
| Menos de 25 | 1 |
| 25-100 | 5 |
| 101 a 1.000 | 10 |
| Mais de 1.000 | 10 |
### Usando hooks de ciclo de vida "Patch agora"
**Patch agora** oferece a capacidade de executar documentos de Comando do SSM como hook s de ciclo de vida durante uma operação de aplicação de patches de `Install`. É possível usar esses hooks para tarefas como desligar aplicações antes de aplicar patches ou executar verificações de integridade em aplicações após a aplicação de patches ou após uma reinicialização.
Para obter mais informações sobre hooks de ciclo de vida, consulte [Documento de comando do SSM para a aplicação de patches: `AWS-RunPatchBaselineWithHooks`](patch-manager-aws-runpatchbaselinewithhooks.md).
A tabela a seguir lista os hooks de ciclo de vida disponíveis para cada uma das três opções de reinicialização **Patch agora**, além de exemplos de usos para cada hook.
**Hooks de ciclo de vida e usos de amostra**
| Opção de reinicializações | Hook: antes da instalação | Hook: após a instalação | Hook: na saída | Hook: após a reinicialização agendada |
| --- | --- | --- | --- | --- |
| Reinicializar, se necessário | Execute um documento do SSM antes do início do patch. Exemplo de uso: encerre aplicações com segurança antes do início do processo de aplicação de patches. | Execute um documento SSM no final da operação de patch e antes da reinicialização do nó gerenciado. Exemplo de uso: execute operações como a instalação de aplicações de terceiros antes de uma possível reinicialização. | Execute um documento do SSM após concluir a operação de aplicação de patches e reinicializar as instâncias. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a aplicação de patches. | Não disponível |
| Não reinicialize minhas instâncias | O mesmo que acima. | Execute um documento do SSM no final da operação de patch. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a aplicação de patches. | *Não disponível* | *Não disponível* |
| Agendar um tempo de reinicialização | O mesmo que acima. | Igual a de Não reinicialize minhas instâncias. | Não disponível | Execute um documento do SSM imediatamente após uma reinicialização programada estar concluída. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a reinicialização. |
## Executar 'Patch agora'
Use o procedimento a seguir para corrigir os nós gerenciados sob demanda.
**Para executar 'Patch agora'**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione **Patch now** (Patch agora).
1. Para a **Patching operation** (Operação de aplicação de patches), escolha uma das seguintes opções:
+ **Scan** (Verificar): o Patch Manager localiza quais patches estão faltando em seus nós gerenciados, mas não os instala. Você pode visualizar os resultados no painel **Compliance** (Conformidade) ou em outras ferramentas que você usar para exibir a conformidade dos patches.
+ **Scan e install** (Verificar e instalar): o Patch Manager localiza quais patches estão faltando em seus nós gerenciados e os instala.
1. Use esta etapa se escolher **Scan e instalação** na etapa anterior. Em **Reboot Option** (Opção de reinicialização), escolha uma das seguintes opções:
+ **Reboot if needed** (Reinicializar se necessário): após a instalação, o Patch Manager reinicializa os nós gerenciados somente se necessário para concluir uma instalação de patch.
+ **Não reinicialize minhas instâncias**: após a instalação, Patch Manager não reinicializará os nós. Você pode reinicializar nós manualmente ao escolher ou gerenciar reinicializações fora do Patch Manager.
+ **Schedule a reboot time** (Agendar um tempo de reinicialização): especifique a data, a hora e o fuso horário UTC para o Patch Manager para reiniciar os nós gerenciados. Depois de executar a operação **Patch now** (Aplicar o patch agora), a reinicialização agendada será listada como uma associação no State Manager com o nome `AWS-PatchRebootAssociation`.
**Importante**
Se você cancelar a operação principal de aplicação de patch após o início, a associação `AWS-PatchRebootAssociation` em State Manager NÃO será cancelada automaticamente. Para evitar reinicializações inesperadas, será necessário excluir manualmente `AWS-PatchRebootAssociation` de State Manager se você não desejar mais que a reinicialização programada ocorra. Se isso não for feito, pode haver reinicializações não planejadas do sistema que podem afetar as workloads de produção. Você pode encontrar essa associação no console do Systems Manager em **State Manager** > **Associações**.
1. Em **Instances to patch** (Instâncias que receberão os patches) escolha uma das seguintes opções:
+ **Patch all instances** (Aplicar patch a todas as instâncias): o Patch Manager executa a operação especificada em todos os nós gerenciados na sua Conta da AWS, na Região da AWS atual.
+ **Patch only the target instances I specify** (Aplicar patch somente aos nós gerenciados de destino que eu especificar): você especifica com quais nós gerenciados você deve trabalhar, na próxima etapa.
1. Use esta etapa se escolher **Patch apenas as instâncias de destino que eu especificar** na etapa anterior. Na seção **Target selection** (Seleção de destino), identifique os nós onde você deseja executar essa operação especificando etiquetas, selecionando nós manualmente ou especificando um grupo de recursos.
**nota**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
Se você optar por segmentar um grupo de recursos, observe que os grupos de recursos que são baseados em um AWS CloudFormation ainda devem ser marcados com a tag `aws:cloudformation:stack-id` padrão. Se ele tiver sido removido, o Patch Manager poderá não conseguir determinar quais nós gerenciados pertencem ao grupo de recursos.
1. (Opcional) Em **Patching log storage** (Aplicação de patches ao armazenamento de logs), se você quiser criar e salvar logs dessa operação de patch, selecione o bucket S3 para armazenar os logs.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. (Opcional) Se você deseja executar documentos do SSM como hooks de ciclo de vida durante pontos específicos da operação de patch, faça o seguinte:
+ Selecione **Usar hooks de ciclo de vida**.
+ Para cada hook disponível, selecione o documento do SSM a ser executado no ponto especificado da operação:
+ Antes da instalação
+ Após a instalação
+ Na saída
+ Após a reinicialização agendada
**nota**
O documento padrão,`AWS-Noop`, não executa operações.
1. Selecione **Patch now** (Patch agora).
A página **Association execution targets (Destinos de execução da associação)** é aberta. (O Patch agora usa associações no State Manager, uma ferramenta do AWS Systems Manager, para suas operações). Na área **Operation summary** (Resumo da operação), você pode monitorar o status da verificação ou a aplicação de patches em seus nós gerenciados.
# Trabalhar com linhas de base de patches
Uma lista de referência de patches no Patch Manager, uma ferramenta do AWS Systems Manager, define quais patches são aprovados para instalação em nós gerenciados. Você pode especificar individualmente os patches aprovados ou rejeitados. Pode também criar regras de aprovação automática para especificar que determinados tipos de atualização (por exemplo, atualizações essenciais) devem ser aprovados automaticamente. A lista se rejeitados substitui as regras e a lista de aprovados. Para usar uma lista de patches aprovados para instalar pacotes específicos, primeiro remova todas as regras de aprovação automática. Se você identificar explicitamente um patch como rejeitado, ele não será aprovado ou instalado, mesmo que ele corresponda a todos os critérios em uma regra de aprovação automática. Além disso, um patch é instalado em um nó gerenciado somente se ele se aplicar ao software do nó gerenciado, mesmo que tenha sido aprovado para o mesmo.
**Topics**
+ [Visualizar as listas de referência de patches predefinidas da AWS](patch-manager-view-predefined-patch-baselines.md)
+ [Trabalhando com linhas de base de patch personalizadas](patch-manager-manage-patch-baselines.md)
+ [Definir uma linha de base de patches existente como padrão](patch-manager-default-patch-baseline.md)
**Mais informações**
+ [Linhas de base de patch](patch-manager-patch-baselines.md)
# Visualizar as listas de referência de patches predefinidas da AWS
O Patch Manager, uma ferramenta do AWS Systems Manager, inclui uma lista de referência de patches predefinida para cada sistema operacional compatível com o Patch Manager. Você pode usar essas linhas de base de patch (não pode personalizá-las) ou pode criar suas próprias. O procedimento a seguir descreve como visualizar uma linha de base de patch predefinida para ver se ela atende às suas necessidades. Para saber mais sobre linhas de base de patch, consulte [Listas de referência de patches predefinidas e personalizadas](patch-manager-predefined-and-custom-patch-baselines.md).
**Para visualizar linhas de base de patch predefinida da AWS**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Na lista de linhas de base de patch, escolha o ID da linha de base de uma das linhas de base de patch predefinidas.
- ou -
Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha **Iniciar com uma visão geral**, escolha a guia **Listas de referência de patches** e escolha o ID da lista de referência de uma das listas de referência de patches predefinidas.
**nota**
Para o Windows Server, três linhas de base de patch predefinidas são fornecidas. As listas de referência de patches `AWS-DefaultPatchBaseline` e `AWS-WindowsPredefinedPatchBaseline-OS` oferecem suporte apenas às atualizações do sistema operacional Windows em si. O `AWS-DefaultPatchBaseline` é usado como lista de referência de patches para nós gerenciados do Windows Server, a menos que você especifique outra lista de referência de patches. As definições de configuração nestas duas linhas de base de patch são as mesmas. O mais novo dos dois,`AWS-WindowsPredefinedPatchBaseline-OS`, foi criado para distingui-lo da terceira linha de base de patch predefinida paraWindows Server. Essa lista de referência do patch, `AWS-WindowsPredefinedPatchBaseline-OS-Applications`, pode ser usada para aplicar patches tanto ao sistema operacional Windows Server quanto a aplicações compatíveis lançadas pela Microsoft.
Para obter mais informações, consulte [Definir uma linha de base de patches existente como padrão](patch-manager-default-patch-baseline.md).
1. Escolha a guia **Regras de aprovação** e analise a configuração da lista de referência de patches.
1. Se a configuração for aceitável para os nós gerenciados, você poderá passar para o procedimento [Como criar e gerenciar grupos de patches](patch-manager-tag-a-patch-group.md).
- ou -
Para criar sua própria linha de base de patch padrão, prossiga para o tópico [Trabalhando com linhas de base de patch personalizadas](patch-manager-manage-patch-baselines.md).
# Trabalhando com linhas de base de patch personalizadas
O Patch Manager, uma ferramenta do AWS Systems Manager, inclui uma lista de referência de patches predefinida para cada sistema operacional compatível com o Patch Manager. Você pode usar essas linhas de base de patch (não pode personalizá-las) ou pode criar suas próprias.
Os procedimentos a seguir descrevem como criar sua própria lista de referência de patches personalizada. Para saber mais sobre linhas de base de patch, consulte [Listas de referência de patches predefinidas e personalizadas](patch-manager-predefined-and-custom-patch-baselines.md).
**Topics**
+ [Criar uma lista de referência de patches personalizada para o Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Criar uma lista de referência de patches personalizada para o macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Criar uma lista de referência de patches personalizada para o Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Atualizar ou excluir uma linha de base de patches personalizada](patch-manager-update-or-delete-a-patch-baseline.md)
# Criar uma lista de referência de patches personalizada para o Linux
Use o procedimento a seguir para criar uma lista de referência de patches personalizada para os nós gerenciados do Linux no Patch Manager, uma ferramenta do AWS Systems Manager.
Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do macOS, consulte [Criar uma lista de referência de patches personalizada para o macOS](patch-manager-create-a-patch-baseline-for-macos.md). Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do Windows, consulte [Criar uma lista de referência de patches personalizada para o Windows Server](patch-manager-create-a-patch-baseline-for-windows.md).
**Para criar uma lista de referência de patches personalizada para os nós gerenciados do Linux**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Escolha a guia **Listas de referência do patches** e, em seguida, escolha **Criar lista de referência de patches**.
- ou -
Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha **Iniciar com uma visão geral**, escolha a guia **Listas de referência de patches** e depois escolha **Criar lista de referência de patches**.
1. Em **Nome**, insira um nome para a nova lista de referência de patches, como `MyRHELPatchBaseline`.
1. (Opcional) Em **Description (Descrição)**, insira uma descrição para essa linha de base de patch.
1. Em **Operating System (Sistema operacional)**, escolha um sistema operacional, como `Red Hat Enterprise Linux`.
1. Se você quiser começar a usar essa lista de referência de patch como o padrão para o sistema operacional assim que a criar, selecione a opção **Set this patch baseline as the default patch baseline for *operating system name* instances** (Definir esta lista de referência de patch como a padrão para instâncias do [nome do sistema operacional]).
**nota**
Essa opção está disponível somente se você acessou pela primeira vez Patch Manager antes do lançamento [das políticas de patch](patch-manager-policies.md) em 22 de dezembro de 2022.
Para obter informações sobre como definir uma linha de base de patch existente como padrão, consulte [Definir uma linha de base de patches existente como padrão](patch-manager-default-patch-baseline.md).
1. Na seção **Approval rules for operating-systems (Regras de aprovação para sistemas operacionais)**, use os campos para criar uma ou mais regras de aprovação automática.
+ **Produtos**: a versão dos sistemas operacionais à qual a regra de aprovação se aplica, como `RedhatEnterpriseLinux7.4`. A seleção padrão é `All`.
+ **Classificação**: o tipo de patch ao qual a regra de aprovação se aplica, como `Security` ou `Enhancement`. A seleção padrão é `All`.
**dica**
É possível configurar uma lista de referência de patches para controlar se atualizações secundárias de versão do Linux são instaladas, como o RHEL 7.8. As atualizações de versões secundárias podem ser instaladas automaticamente pelo Patch Manager, desde que a atualização esteja disponível no repositório apropriado.
Para sistemas operacionais Linux, atualizações de versões secundárias não são classificadas de forma consistente. Elas podem ser classificadas como correções de bugs ou atualizações de segurança, ou não classificadas, mesmo dentro da mesma versão do kernel. Veja a seguir algumas opções para controlar se uma lista de referência de patches fará a instalação.
**Opção 1**: a regra de aprovação mais ampla para garantir que atualizações de versões secundárias sejam instaladas quando disponíveis é especificar **Classificação** como `All` (\$1) e escolher a opção **Incluir atualizações não relacionadas a segurança**.
**Opção 2**: para garantir que os patches para uma versão do sistema operacional estejam instalados, é possível usar um curinga (\$1) para especificar o formato de kernel na seção **Exceções de patch** da lista de referência. Por exemplo, o formato do kernel para o RHEL 7.\$1 é `kernel-3.10.0-*.el7.x86_64`.
Insira `kernel-3.10.0-*.el7.x86_64` na lista **Patches aprovados** na lista de referência de patches para garantir que todos os patches, inclusive atualizações de versões secundárias, sejam aplicados aos nós gerenciados do RHEL 7.\$1. (Se você souber o nome exato do pacote de um patch de versão secundária, poderá inseri-lo.)
**Opção 3**: é possível obter o máximo de controle sobre quais patches são aplicados aos nós gerenciados, inclusive atualizações de versões secundárias, usando o parâmetro [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist) no documento `AWS-RunPatchBaseline`. Para obter mais informações, consulte [Documento de comando do SSM para a aplicação de patches: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
+ **Severity (Gravidade)**: o valor da gravidade dos patches aos quais a regra se aplica, como `Critical`. A seleção padrão é `All`.
+ **Auto-approval (Aprovação automática)**: o método para selecionar patches para aprovação automática.
**nota**
Como não é possível determinar de forma confiável as datas de lançamento dos pacotes de atualização do Ubuntu Server, as opções de aprovação automática não são compatíveis com esse sistema operacional.
+ **Approve patches after a specified number of days** (Aprovar patches após um número específico de dias): o número de dias que o Patch Manager deve aguardar para aprovar automaticamente um patch após o lançamento ou última atualização de um patch. Insira qualquer número inteiro de zero (0) a 360. Para a maioria dos casos, recomendamos que não aguarde mais de 100 dias.
+ **Approve patches released up to a specific date** (Aprovar patches lançados até uma data específica): a data de lançamento do patch para a qual o Patch Manager aplica automaticamente todos os patches lançados ou com a última atualização nessa data ou antes dela. Por exemplo, se você especificar 7 de julho de 2023, nenhum patch lançado ou com última atualização em ou após 8 de julho de 2023 será instalado automaticamente.
+ (Opcional) **Relatórios de conformidade**: o nível de gravidade que você deseja atribuir aos patches aprovados pela lista de referência, como `Critical` ou `High`.
**nota**
Se você especificar um nível de relatório de conformidade e o estado do patch de qualquer patch aprovado for relatado como `Missing`, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.
+ **Include non-security updates (Incluir atualizações não relacionadas a segurança)**: marque a caixa de seleção para instalar patches do sistema operacional Linux não relacionados a segurança que estão disponíveis no repositório de origem, além de patches de segurança.
Para obter mais informações sobre como trabalhar com regras de aprovação em uma linha de base de patch personalizada, consulte [Linhas de base personalizadas](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Se quiser explicitamente aprovar qualquer patch, além das suas regras de aprovação, faça o seguinte na seção **Patch exceptions (Exceções de patch)**:
+ Em **Approved patches (Patches aprovados)**, insira uma lista separada por vírgulas dos patches que você deseja aprovar.
Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte [Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados](patch-manager-approved-rejected-package-name-formats.md).
+ (Opcional) Em **Approved patches compliance level (Nível de conformidade dos patches aprovados)**, atribua um nível de conformidade aos patches na lista.
+ Se algum dos patches aprovados que você especificar não for relacionado a segurança, marque a caixa **Incluir atualizações não relacionadas a segurança** para que esse patch também seja instalado no sistema operacional Linux.
1. Se quiser explicitamente rejeitar qualquer patch que de outra forma atendem às suas regras de aprovação, faça o seguinte na seção **Patch exceptions (Exceções de patch)**:
+ Em **Rejected patches (Patches rejeitados)**, insira uma lista separada por vírgulas dos patches que você deseja rejeitar.
Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte [Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados](patch-manager-approved-rejected-package-name-formats.md).
+ Em **Rejected patches action** (Ação para patches rejeitados), selecione a ação que o Patch Manager deve realizar para patches incluídos na lista **Rejected patches** (Patches rejeitados).
+ **Permitir como dependência**: um pacote na lista **Rejected patches** (Patches rejeitados) é instalado apenas se for uma dependência de outro. Ele é considerado compatível com a linha de base de patch e seu status é relatado como *InstalledOther*. Essa é a ação padrão se nenhuma opção for especificada.
+ **Bloco**: os pacotes na lista **Patches rejeitados** e pacotes que os incluem como dependências não são instalados pelo Patch Manager em nenhuma circunstância. Se um pacote tiver sido instalado antes de ser adicionado à lista **Patches rejeitados** ou instalado fora do Patch Manager, ele será considerado como fora conformidade com a lista de referência de patches e seu status será indicado como *InstalledRejected*.
**nota**
O Patch Manager pesquisa dependências de patches recursivamente.
1. (Opcional) Se quiser especificar repositórios de patches alternativos para versões diferentes de um sistema operacional, como *AmazonLinux2016.03* e *AmazonLinux2017.09*, faça o seguinte para cada produto na seção **Patch sources (Origens de patches)**:
+ Em **Name (Nome)**, insira um nome para ajudar você a identificar a configuração de origem.
+ Em **Product (Produto)**, selecione a versão dos sistemas operacionais para a qual o repositório de origem de patches é destinado, como `RedhatEnterpriseLinux7.4`.
+ Em **Configuração**, insira o valor da configuração do repositório a ser usado formato apropriado:
------
#### [ Example for yum repositories ]
```
[main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
```
**dica**
Para obter informações sobre outras opções disponíveis para a configuração do repositório yum, consulte [dnf.conf (5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).
------
#### [ Examples for Ubuntu Server and Debian Server ]
`deb http://security.ubuntu.com/ubuntu jammy main`
`deb https://site.example.com/debian distribution component1 component2 component3`
As informações de repositório para repositórios do Ubuntu Server devem ser especificadas em uma única linha. Para obter mais exemplos e informações, consulte [jammy (5) sources.list.5.gz](https://manpages.ubuntu.com/manpages/jammy/man5/sources.list.5.html) no site *Ubuntu Server Manuals* e [sources.list format](https://wiki.debian.org/SourcesList#sources.list_format) no *Debian Wiki*.
------
Selecione **Add another source** (Adicionar outra origem) para especificar um repositório de origem para cada versão do sistema operacional adicional, até um máximo de 20.
Para obter mais informações sobre repositórios de origem de patches alternativos, consulte [Como especificar um repositório de origem de patches alternativo (Linux)](patch-manager-alternative-source-repository.md).
1. (Opcional) Em **Manage tags (Gerenciar tags)**, aplique um ou mais pares de nome/valor de chave de tag à linha de base de patch.
Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você pode querer marcar uma linha de base de patch para identificar o nível de gravidade dos patches especificados, a família de sistemas operacionais aos quais ela se aplica e o tipo de ambiente. Nesse caso, você pode especificar tags semelhantes aos seguintes pares de nome/valor:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Escolha **Create patch baseline**.
# Criar uma lista de referência de patches personalizada para o macOS
Use o procedimento a seguir para criar uma lista de referência de patches personalizada para os nós gerenciados do macOS no Patch Manager, uma ferramenta do AWS Systems Manager.
Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do Windows Server, consulte [Criar uma lista de referência de patches personalizada para o Windows Server](patch-manager-create-a-patch-baseline-for-windows.md). Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do Linux, consulte [Criar uma lista de referência de patches personalizada para o Linux](patch-manager-create-a-patch-baseline-for-linux.md).
**nota**
Não há suporte para macOS em todas as Regiões da AWS. Para obter mais informações sobre o suporte a instâncias do EC2 para macOS, consulte [Instâncias Mac do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) no *Guia do usuário do Amazon EC2*.
**Para criar uma lista personalizada de referência de patches para os nós gerenciados do macOS**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Escolha a guia **Listas de referência do patches** e, em seguida, escolha **Criar lista de referência de patches**.
- ou -
Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha **Iniciar com uma visão geral**, escolha a guia **Listas de referência de patches** e depois escolha **Criar lista de referência de patches**.
1. Em **Nome**, insira um nome para a nova lista de referência de patches, como `MymacOSPatchBaseline`.
1. (Opcional) Em **Description (Descrição)**, insira uma descrição para essa linha de base de patch.
1. Em **Operating system (Sistema operacional)**, escolha macOS.
1. Se você quiser começar a usar essa lista de referência de patch como o padrão para o macOS assim que a criar, selecione a opção **Set this patch baseline as the default patch baseline for macOS instances** (Definir esta lista de referência de patch como a padrão para instâncias do Windows Server).
**nota**
Essa opção está disponível somente se você acessou pela primeira vez Patch Manager antes do lançamento [das políticas de patch](patch-manager-policies.md) em 22 de dezembro de 2022.
Para obter informações sobre como definir uma linha de base de patch existente como padrão, consulte [Definir uma linha de base de patches existente como padrão](patch-manager-default-patch-baseline.md).
1. Na seção **Approval rules for operating-systems (Regras de aprovação para sistemas operacionais)**, use os campos para criar uma ou mais regras de aprovação automática.
+ **Produto**: a versão dos sistemas operacionais à qual a regra de aprovação se aplica, como `BigSur11.3.1` ou `Ventura13.7`. A seleção padrão é `All`.
+ **Classificação**: o gerenciador ou gerenciadores de pacotes aos quais você deseja aplicar pacotes durante o processo de aplicação de patches. Você pode escolher entre as seguintes opções:
+ atualização de software
+ installer
+ brew
+ brew cask
A seleção padrão é `All`.
+ (Opcional) **Relatórios de conformidade**: o nível de gravidade que você deseja atribuir aos patches aprovados pela lista de referência, como `Critical` ou `High`.
**nota**
Se você especificar um nível de relatório de conformidade e o estado do patch de qualquer patch aprovado for relatado como `Missing`, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.
Para obter mais informações sobre como trabalhar com regras de aprovação em uma linha de base de patch personalizada, consulte [Linhas de base personalizadas](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).
1. Se quiser explicitamente aprovar qualquer patch, além das suas regras de aprovação, faça o seguinte na seção **Patch exceptions (Exceções de patch)**:
+ Em **Approved patches (Patches aprovados)**, insira uma lista separada por vírgulas dos patches que você deseja aprovar.
Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte [Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados](patch-manager-approved-rejected-package-name-formats.md).
+ (Opcional) Em **Approved patches compliance level (Nível de conformidade dos patches aprovados)**, atribua um nível de conformidade aos patches na lista.
1. Se quiser explicitamente rejeitar qualquer patch que de outra forma atendem às suas regras de aprovação, faça o seguinte na seção **Patch exceptions (Exceções de patch)**:
+ Em **Rejected patches (Patches rejeitados)**, insira uma lista separada por vírgulas dos patches que você deseja rejeitar.
Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte [Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados](patch-manager-approved-rejected-package-name-formats.md).
+ Em **Rejected patches action** (Ação para patches rejeitados), selecione a ação que o Patch Manager deve realizar para patches incluídos na lista **Rejected patches** (Patches rejeitados).
+ **Permitir como dependência**: um pacote na lista **Rejected patches** (Patches rejeitados) é instalado apenas se for uma dependência de outro. Ele é considerado compatível com a linha de base de patch e seu status é relatado como *InstalledOther*. Essa é a ação padrão se nenhuma opção for especificada.
+ **Bloco**: os pacotes na lista **Patches rejeitados** e pacotes que os incluem como dependências não são instalados pelo Patch Manager em nenhuma circunstância. Se um pacote tiver sido instalado antes de ser adicionado à lista **Patches rejeitados** ou instalado fora do Patch Manager, ele será considerado como fora conformidade com a lista de referência de patches e seu status será indicado como *InstalledRejected*.
1. (Opcional) Em **Manage tags (Gerenciar tags)**, aplique um ou mais pares de nome/valor de chave de tag à linha de base de patch.
Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você pode querer marcar uma linha de base de patch para identificar o nível de gravidade dos patches especificados, a família de sistemas operacionais aos quais ela se aplica e o tipo de ambiente. Nesse caso, você pode especificar tags semelhantes aos seguintes pares de nome/valor:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=PackageManager,Value=softwareupdate`
+ `Key=Environment,Value=Production`
1. Escolha **Create patch baseline**.
# Criar uma lista de referência de patches personalizada para o Windows Server
Use o procedimento a seguir para criar uma lista de referência de patches personalizada para os nós gerenciados do Windows no Patch Manager, uma ferramenta do AWS Systems Manager.
Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do Linux, consulte [Criar uma lista de referência de patches personalizada para o Linux](patch-manager-create-a-patch-baseline-for-linux.md). Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do macOS, consulte [Criar uma lista de referência de patches personalizada para o macOS](patch-manager-create-a-patch-baseline-for-macos.md).
Para obter um exemplo de criação de uma lista de referência de patches limitada à instalação apenas do Windows Service Packs, consulte [Tutorial: Criar uma lista de referência de patches para instalar o Windows Service Packs usando o console](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
**Para criar uma linha de base de patch personalizada (Windows)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Escolha a guia **Listas de referência do patches** e, em seguida, escolha **Criar lista de referência de patches**.
- ou -
Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha **Iniciar com uma visão geral**, escolha a guia **Listas de referência de patches** e depois escolha **Criar lista de referência de patches**.
1. Em **Nome**, insira um nome para a nova lista de referência de patches, como `MyWindowsPatchBaseline`.
1. (Opcional) Em **Description (Descrição)**, insira uma descrição para essa linha de base de patch.
1. Em **Operating system (Sistema operacional)**, escolha `Windows`.
1. Em **Status de conformidade de atualizações de segurança disponíveis**, escolha o status que você deseja atribuir aos patches de segurança que estão disponíveis, mas não aprovados, porque não atendem aos critérios de instalação especificados na lista de referência de patches, **Não compatível** ou **Compatível**.
Cenário de exemplo: os patches de segurança que você talvez queira instalar poderão ser ignorados se você tiver especificado um longo período de espera após o lançamento de um patch antes da instalação. Se uma atualização do patch for lançada durante o período de espera especificado, o período de espera para instalação do patch recomeçará. Se o período de espera for muito longo, várias versões do patch poderão ser lançadas, mas nunca instaladas.
1. Se você deseja começar a usar essa linha de base de patch como o padrão para o Windows assim que a criar, selecione **Set this patch baseline as the default patch baseline for Windows Server instances (Definir essa linha de base de patch como a linha de base de patch padrão para instâncias do Windows Server)**.
**nota**
Essa opção está disponível somente se você acessou pela primeira vez Patch Manager antes do lançamento [das políticas de patch](patch-manager-policies.md) em 22 de dezembro de 2022.
Para obter informações sobre como definir uma linha de base de patch existente como padrão, consulte [Definir uma linha de base de patches existente como padrão](patch-manager-default-patch-baseline.md).
1. Na seção **Approval rules for operating systems (Regras de aprovação para sistemas operacionais)**, use os campos para criar uma ou mais regras de aprovação automática.
+ **Produto**: a versão dos sistemas operacionais à qual a regra de aprovação se aplica, como `WindowsServer2012`. A seleção padrão é `All`.
+ **Classificação**: o tipo de patch ao qual a regra de aprovação se aplica, como `CriticalUpdates`, `Drivers` e `Tools`. A seleção padrão é `All`.
**dica**
É possível incluir instalações do Windows Service Pack nas regras de aprovação, incluindo `ServicePacks` ou escolhendo `All` na lista **Classificação**. Para ver um exemplo, consulte [Tutorial: Criar uma lista de referência de patches para instalar o Windows Service Packs usando o console](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
+ **Severity (Gravidade)**: o valor da gravidade dos patches aos quais a regra se aplica, como `Critical`. A seleção padrão é `All`.
+ **Auto-approval (Aprovação automática)**: o método para selecionar patches para aprovação automática.
+ **Approve patches after a specified number of days** (Aprovar patches após um número específico de dias): o número de dias que o Patch Manager deve aguardar para aprovar automaticamente um patch após o lançamento ou atualização de um patch. Insira qualquer número inteiro de zero (0) a 360. Para a maioria dos casos, recomendamos que não aguarde mais de 100 dias.
+ **Approve patches released up to a specific date** (Aprovar patches lançados até uma data específica): a data de lançamento do patch para a qual o Patch Manager aplica automaticamente todos os patches lançados ou com a última atualização nessa data ou antes dela. Por exemplo, se você especificar 7 de julho de 2023, nenhum patch lançado ou com última atualização em ou após 8 de julho de 2023 será instalado automaticamente.
+ (Opcional) **Compliance reporting (Relatórios de conformidade)**: o nível de gravidade que você deseja atribuir aos patches aprovados pela linha de base, como `High`.
**nota**
Se você especificar um nível de relatório de conformidade e o estado do patch de qualquer patch aprovado for relatado como `Missing`, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.
1. Na seção **Approval rules for applications** (Regras de aprovação para aplicações), use os campos para criar uma ou mais regras de aprovação automática.
**nota**
Em vez de especificar regras de aprovação, você pode especificar listas de patches aprovados e rejeitados como exceções de patch. Consulte as etapas 10 e 11.
+ **Product family (Família de produtos)**: a família de produtos Microsoft geral para a qual você deseja especificar uma regra, como `Office` ou `Exchange Server`.
+ **Produto**: a versão do aplicativo à qual a regra de aprovação se aplica, como `Office 2016` ou `Active Directory Rights Management Services Client 2.0 2016`. A seleção padrão é `All`.
+ **Classification (Classificação)**: o tipo de patch ao qual a regra de aprovação se aplica, como `CriticalUpdates`. A seleção padrão é `All`.
+ **Severity (Gravidade)**: o valor da gravidade dos patches aos quais a regra se aplica, como `Critical`. A seleção padrão é `All`.
+ **Auto-approval (Aprovação automática)**: o método para selecionar patches para aprovação automática.
+ **Approve patches after a specified number of days** (Aprovar patches após um número específico de dias): o número de dias que o Patch Manager deve aguardar para aprovar automaticamente um patch após o lançamento ou atualização de um patch. Insira qualquer número inteiro de zero (0) a 360. Para a maioria dos casos, recomendamos que não aguarde mais de 100 dias.
+ **Approve patches released up to a specific date** (Aprovar patches lançados até uma data específica): a data de lançamento do patch para a qual o Patch Manager aplica automaticamente todos os patches lançados ou com a última atualização nessa data ou antes dela. Por exemplo, se você especificar 7 de julho de 2023, nenhum patch lançado ou com última atualização em ou após 8 de julho de 2023 será instalado automaticamente.
+ (Opcional) **Relatórios de conformidade**: o nível de gravidade que você deseja atribuir aos patches aprovados pela lista de referência, como `Critical` ou `High`.
**nota**
Se você especificar um nível de relatório de conformidade e o estado do patch de qualquer patch aprovado for relatado como `Missing`, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.
1. (Opcional) Se você quiser explicitamente aprovar qualquer patch em vez de permitir que os patches sejam selecionados de acordo com regras de aprovação, faça o seguinte na seção **Patch exceptions** (Exceções de patch):
+ Em **Approved patches (Patches aprovados)**, insira uma lista separada por vírgulas dos patches que você deseja aprovar.
Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte [Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados](patch-manager-approved-rejected-package-name-formats.md).
+ (Opcional) Em **Approved patches compliance level (Nível de conformidade dos patches aprovados)**, atribua um nível de conformidade aos patches na lista.
1. Se quiser explicitamente rejeitar qualquer patch que de outra forma atendem às suas regras de aprovação, faça o seguinte na seção **Patch exceptions (Exceções de patch)**:
+ Em **Rejected patches (Patches rejeitados)**, insira uma lista separada por vírgulas dos patches que você deseja rejeitar.
Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte [Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados](patch-manager-approved-rejected-package-name-formats.md).
+ Em **Rejected patches action** (Ação para patches rejeitados), selecione a ação que o Patch Manager deve realizar para patches incluídos na lista **Rejected patches** (Patches rejeitados).
+ **Permitir como dependência**: o Windows Server não é compatível com o conceito de dependências de pacotes. Se um pacote estiver na lista de **Patches rejeitados** e já estiver instalado no nó, seu status será relatado como `INSTALLED_OTHER`. Qualquer pacote que ainda não esteja instalado no nó é ignorado.
+ **Bloquear**: os pacotes na lista de **patches rejeitados** não são instalados pelo Patch Manager em nenhuma circunstância. Se um pacote tiver sido instalado antes de ser adicionado à lista **Patches rejeitados** ou instalado fora do Patch Manager, ele será considerado como fora conformidade com a lista de referência de patches e seu status será indicado como `INSTALLED_REJECTED`.
Para obter mais informações sobre ações de pacotes rejeitados, consulte [Opções de lista de patches rejeitados em listas de referência de patches personalizados](patch-manager-windows-and-linux-differences.md#rejected-patches-diff).
1. (Opcional) Em **Manage tags (Gerenciar tags)**, aplique um ou mais pares de nome/valor de chave de tag à linha de base de patch.
Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você pode querer marcar uma linha de base de patch para identificar o nível de gravidade dos patches especificados, a família de sistemas operacionais aos quais ela se aplica e o tipo de ambiente. Nesse caso, você pode especificar tags semelhantes aos seguintes pares de nome/valor:
+ `Key=PatchSeverity,Value=Critical`
+ `Key=OS,Value=RHEL`
+ `Key=Environment,Value=Production`
1. Escolha **Create patch baseline**.
# Atualizar ou excluir uma linha de base de patches personalizada
Você pode atualizar ou excluir uma lista de referência de patches' personalizada que criou no Patch Manager, uma ferramenta do AWS Systems Manager. Ao atualizar uma linha de base do patch, você pode alterar seu nome ou descrição, suas regras de aprovação e suas exceções para os patches aprovados e rejeitados. Você também pode atualizar as tags que são aplicadas à linha de base de patch. Você não pode alterar o tipo de sistema operacional para o qual uma linha de base de patch foi criada e não pode fazer alterações em uma linha de base de patch predefinida fornecida pela AWS.
## Atualizar ou excluir uma linha de base de patches
Siga estas etapas para atualizar ou excluir uma linha de base de patch.
**Importante**
Tenha cuidado ao excluir uma lista de referência de patches personalizada que possa ser usada por uma configuração de política de patch no Quick Setup.
Se você estiver usando uma [configuração de política de patch](patch-manager-policies.md) em Quick Setup, as atualizações feitas nas listas de referência de patches personalizadas serão sincronizadas com Quick Setup uma vez por hora.
Se uma lista de referência de patches personalizada que foi referenciada em uma política de patch for excluída, um banner será exibido na página **Configuration details** (Detalhes da configuração) do Quick Setup da sua política de patch. O banner informa que a política de patch faz referência a uma lista de referência de patches que não existe mais e que as operações de aplicação de patches subsequentes falharão. Nesse caso, retorne à página **Configurations** (Configurações) do Quick Setup, selecione a configuração Patch Manager e escolha **Actions** (Ações), **Edit configuration** (Editar configuração). O nome da lista de referência de patches excluída será destacado, e você deverá selecionar uma nova lista de referência de patches para o sistema operacional afetado.
**Para atualizar ou excluir uma linha de base de patches**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Escolha a linha de base de patch que você deseja atualizar ou excluir e execute uma das seguintes ações:
+ Para remover a lista de referência de patches da sua Conta da AWS, escolha **Delete** (Excluir). O sistema solicitará que você confirme suas ações.
+ Para fazer alterações no nome ou na descrição da linha de base de patch, nas regras de aprovação ou nas exceções de patch, escolha **Edit (Editar)**. Na página **Edit patch baseline (Editar linha de base de patch)**, altere as opções e os valores desejados e escolha **Save changes (Salvar alterações)**.
+ Para adicionar, alterar ou excluir tags aplicadas à linha de base de patch, escolha a guia **Tags** e depois escolha **Edit tags (Editar tags)**. Na página **Edit patch baseline tags (Editar tags de linha de base de patch)**, faça atualizações nas tags da linha de base de patch e escolha **Save changes (Salvar alterações)**.
Para obter informações sobre as opções de configuração que podem ser feitas, consulte [Trabalhando com linhas de base de patch personalizadas](patch-manager-manage-patch-baselines.md).
# Definir uma linha de base de patches existente como padrão
**Importante**
Qualquer seleção padrão da lista de referência de patches que você fizer aqui não se aplicará às operações de aplicação de patches baseadas em uma política de patch. As políticas de patch usam suas próprias especificações de lista de referência de patches. Para obter mais informações sobre políticas de patch, consulte [Configurações de políticas de patches em Quick Setup](patch-manager-policies.md).
Ao criar uma lista de referência de patches personalizada em Patch Manager, uma ferramenta do AWS Systems Manager, você pode defini-la como padrão para o tipo de sistema operacional associado assim que a criar. Para mais informações, consulte [Trabalhando com linhas de base de patch personalizadas](patch-manager-manage-patch-baselines.md).
Você também pode definir uma linha de base de patch existente como padrão para um tipo de sistema operacional.
**nota**
As etapas a serem seguidas variam se você acessou o Patch Manager pela primeira vez antes ou depois do lançamento das políticas de patch de 22 de dezembro de 2022. Se você usou o Patch Manager antes dessa data, use o procedimento do console. Caso contrário, use o procedimento da AWS CLI. O menu **Ações** referenciado no procedimento do console não é exibido em regiões em que o Patch Manager não era usado antes do lançamento das políticas de patch.
**Para definir uma linha de base de patch como padrão**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione a guia **Patch baselines** (Listas de referência do patch).
1. Na lista de referências do patch, escolha o botão de uma lista de referência do patch que não esteja definida como padrão para um tipo de sistema operacional.
A coluna **Default baseline (Linha de base padrão)** indica quais linhas de base estão atualmente definidas como padrões.
1. No menu **Actions (Ações)**, escolha **Set default patch baseline (Definir linha de base de patch padrão)**.
**Importante**
O menu **Ações** não está disponível se você não trabalhou com o Patch Manager na Conta da AWS e na região atuais antes de 22 de dezembro de 2022. Consulte a **observação** anterior neste tópico para obter mais informações.
1. Na caixa de diálogo de confirmação, escolha **Set default (Definir padrão)**.
**Para definir uma lista de referência de patches como padrão (AWS CLI)**
1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-baselines.html) para ver uma lista das listas de referência de patches disponíveis e seus IDs e nomes do recurso da Amazon (ARNs).
```
aws ssm describe-patch-baselines
```
1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-default-patch-baseline.html) para definir uma lista de referência como padrão para o sistema operacional ao qual ela está associada. Substitua *baseline-id-or-ARN* pelo ID da lista de referência de patches personalizada ou da lista de referência predefinida a ser usada.
------
#### [ Linux & macOS ]
```
aws ssm register-default-patch-baseline \
--baseline-id baseline-id-or-ARN
```
Veja a seguir um exemplo de como definir uma lista de referência personalizada como padrão.
```
aws ssm register-default-patch-baseline \
--baseline-id pb-abc123cf9bEXAMPLE
```
Veja a seguir um exemplo de como definir uma lista de referência predefinida gerenciada pela AWS como padrão.
```
aws ssm register-default-patch-baseline \
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-0574b43a65ea646e
```
------
#### [ Windows Server ]
```
aws ssm register-default-patch-baseline ^
--baseline-id baseline-id-or-ARN
```
Veja a seguir um exemplo de como definir uma lista de referência personalizada como padrão.
```
aws ssm register-default-patch-baseline ^
--baseline-id pb-abc123cf9bEXAMPLE
```
Veja a seguir um exemplo de como definir uma lista de referência predefinida gerenciada pela AWS como padrão.
```
aws ssm register-default-patch-baseline ^
--baseline-id arn:aws:ssm:us-east-2:733109147000:patchbaseline/pb-071da192df1226b63
```
------
# Visualizar patches disponíveis
O Patch Manager, uma ferramenta do AWS Systems Manager, permite visualizar todos os patches disponíveis para um sistema operacional especificado e, opcionalmente, uma versão específica do sistema operacional.
**dica**
Para gerar uma lista de patches disponíveis e salvá-los em um arquivo, você pode usar o comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) e especificar a [saída](https://docs.aws.amazon.com/cli/latest/reference/ssm/cli-usage-output.html) de sua preferência.
**Para visualizar patches disponíveis**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Selecione a guia **Patches**.
- ou -
Se estiver acessando Patch Manager pela primeira vez no atual Região da AWS, escolha **Start with an overview** (Iniciar com uma visão geral) e depois escolha a guia **Patches**.
**nota**
No Windows Server, a guia **Patches** exibe as atualizações que estão disponíveis no Windows Server Update Services (WSUS).
1. Para **Operating system** (Sistema operacional), escolha o sistema operacional para o qual você deseja visualizar os patches disponíveis, como`Windows` ou `Amazon Linux`.
1. (Opcional) Para **Product** (Produto), escolha uma versão do sistema operacional, como `WindowsServer2019` ou `AmazonLinux2018.03`.
1. (Opcional) Para adicionar ou remover colunas de informações para seus resultados, escolha o botão Configure (Configurar) (![\[The icon to view configuration settings.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/configure-button.png)) no canto superior direito da lista de **Patches**. (Por padrão, a guia **Patches** exibe colunas para apenas alguns dos metadados de patch disponíveis).
Para obter informações sobre os tipos de metadados que você pode adicionar à visualização, consulte [Patch](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_Patch.html) na *Referência de API do AWS Systems Manager*.
# Como criar e gerenciar grupos de patches
Se *não* estiver usando políticas de patch em suas operações, você pode organizar suas iniciativas de aplicação de patches, adicionando nós gerenciados aos grupos de patches com o uso de etiquetas.
**nota**
Os grupos de patches não são usados em operações de aplicação de patches em *políticas de patch*. Para obter informações sobre como trabalhar com políticas de patch, consulte [Configurações de políticas de patches em Quick Setup](patch-manager-policies.md).
Não há suporte no console à funcionalidade de grupos de patches para pares de conta-região que ainda não usavam grupos de patches antes do lançamento do suporte à política de patches em 22 de dezembro de 2022. A funcionalidade de grupo de patches ainda está disponível em pares de conta-região que começaram a usar grupos de patches antes dessa data.
Para usar etiquetas em operações de aplicação de patches, é necessário aplicar a chave de etiqueta `Patch Group` ou `PatchGroup` aos nós gerenciados. Também é necessário especificar o nome que você deseja dar ao grupo de patches como o valor da etiqueta. Você pode especificar qualquer valor de tag, mas a chave da tag precisa ser `Patch Group` ou `PatchGroup`.
`PatchGroup` (sem espaço) é obrigatório, se você tiver [permissão para etiquetas nos metadados da instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS).
Depois de agrupar os nós gerenciados usando etiquetas, adicione o valor do grupo de patches a uma lista de referência de patches. Ao registrar o grupo de patches em uma linha de base de patch, você garante que os patches corretos sejam instalados durante a aplicação de patches. Para obter mais informações sobre grupos de patches, consulte [Grupos de patches](patch-manager-patch-groups.md).
Conclua as tarefas deste tópico para preparar seus nós gerenciados para aplicação de patches usando etiquetas com seus nós e a lista de referência de patches. A tarefa 1 é necessária somente para aplicar patches em instâncias do Amazon EC2. A tarefa 2 é necessária somente para aplicar patches em instâncias que não sejam do EC2 em um ambiente [híbrido e multinuvem](operating-systems-and-machine-types.md#supported-machine-types). A tarefa 3 é necessária para todos os nós gerenciados.
**dica**
Também é possível adicionar tags aos nós gerenciados usando o comando da AWS CLI `[https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)` ou a operação de API do Systems Manager ssm-agent-minimum-s3-permissions-required`[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)`.
**Topics**
+ [Tarefa 1: adicionar instâncias do EC2 a um grupo de patches usando tags](#sysman-patch-group-tagging-ec2)
+ [Tarefa 2: Adicionar nós gerenciados a um grupo de patches usando etiquetas](#sysman-patch-group-tagging-managed)
+ [Tarefa 3: Adicionar um grupo de patches a uma linha de base de patches](#sysman-patch-group-patchbaseline)
## Tarefa 1: adicionar instâncias do EC2 a um grupo de patches usando tags
É possível adicionar etiquetas a instâncias do EC2 usando o console do Systems Manager ou o console do Amazon EC2. Essa tarefa é necessária somente para corrigir instâncias do Amazon EC2.
**Importante**
Não é possível aplicar a tag `Patch Group` (com um espaço) a uma instância do Amazon EC2 se a opção **Allow tags in instance metadata** (Permitir tags em metadados de instância) estiver habilitada na instância. Permitir tags em metadados de instância impede que nomes de chaves de tag contenham espaços. Se você tiver [permissão para tags nos metadados da instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), é necessário usar a chave de tag `PatchGroup` (sem um espaço).
**Opção 1: para adicionar instâncias do EC2 a um grupo de patches (console do Systems Manager)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Fleet Manager**.
1. Na lista **Instâncias gerenciadas**, selecione o ID de uma instância gerenciada do EC2 que você deseja configurar para aplicação de patches. Os IDs de nós para instâncias do EC2 começam com `i-`.
**nota**
Ao usar o console e a AWS CLI do Amazon EC2, é possível aplicar tags `Key = Patch Group` ou `Key = PatchGroup` a instâncias que ainda não estejam configuradas para uso com o Systems Manager.
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Selecione a guia **Etiquetas** e escolha **Editar**.
1. Na coluna esquerda, insira **Patch Group** ou **PatchGroup**. Se você tiver [permissão para tags nos metadados da instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), é necessário usar `PatchGroup` (sem um espaço).
1. Na coluna direita, insira um valor de etiqueta para servir como nome do grupo de patches.
1. Escolha **Salvar**.
1. Repita esse procedimento para adicionar outras instâncias do EC2 ao mesmo grupo de patches.
**Opção 2: para adicionar instâncias do EC2 a um grupo de patches (console do Amazon EC2)**
1. Abra o [console do Amazon EC2](https://console.aws.amazon.com/ec2/) e depois escolha **Instances** (Instâncias) no painel de navegação.
1. Na lista de instâncias, escolha uma instância que você deseja configurar para aplicação de patch.
1. No menu **Ações**, escolha **Configurações da instância** e, depois, **Gerenciar etiquetas**.
1. Selecione **Adicionar nova tag**.
1. Em **Key** (Chave), insira **Patch Group** ou **PatchGroup**. Se você tiver [permissão para tags nos metadados da instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), é necessário usar `PatchGroup` (sem um espaço).
1. Em **Valor**, insira um valor para servir como nome do grupo de patches.
1. Escolha **Salvar**.
1. Repita esse procedimento para adicionar outras instâncias ao mesmo grupo de patches.
## Tarefa 2: Adicionar nós gerenciados a um grupo de patches usando etiquetas
Siga as etapas deste tópico para adicionar etiquetas aos dispositivos principais do AWS IoT Greengrass e aos nós gerenciados ativados para ambiente híbrido que não são do EC2 (mi-\$1). Essa tarefa é necessária somente para corrigir instâncias que não sejam do EC2 em um ambiente híbrido e multinuvem.
**nota**
Não é possível adicionar etiquetas para nós gerenciados que não são do EC2 usando o console do Amazon EC2.
**Para adicionar nós gerenciados que não são do EC2 a um grupo de patches (console do Systems Manager)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Fleet Manager**.
1. Na lista **Nós gerenciados**, escolha o nome do nó gerenciado que você deseja configurar para a aplicação de patch.
**nota**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Selecione a guia **Etiquetas** e escolha **Editar**.
1. Na coluna esquerda, insira **Patch Group** ou **PatchGroup**. Se você tiver [permissão para tags nos metadados da instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS), é necessário usar `PatchGroup` (sem um espaço).
1. Na coluna direita, insira um valor de etiqueta para servir como nome do grupo de patches.
1. Escolha **Salvar**.
1. Repita esse procedimento para adicionar outros nós gerenciados ao mesmo grupo de patches.
## Tarefa 3: Adicionar um grupo de patches a uma linha de base de patches
Para associar uma lista de referência de patches específica aos nós gerenciados, você deve adicionar o valor do grupo de patches a essa lista. Ao registrar o grupo de patches em uma linha de base de patch, você pode garantir que os patches corretos sejam instalados durante uma aplicação de patches. Essa tarefa é necessária para aplicar patches em instâncias do EC2, nós gerenciados que não são do EC2 ou ambos.
Para obter mais informações sobre grupos de patches, consulte [Grupos de patches](patch-manager-patch-groups.md).
**nota**
As etapas a serem seguidas variam se você acessou o Patch Manager pela primeira vez antes ou depois do lançamento das [políticas de patch](patch-manager-policies.md) de 22 de dezembro de 2022.
**Para adicionar um grupo de patches a uma lista de referência de patches (console do Systems Manager)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Patch Manager**.
1. Se você estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, e a página inicial do Patch Manager for aberta, escolha **Iniciar com uma visão geral**.
1. Escolha a guia **Listas de referência de patches** e, em **Listas de referência de patches**, escolha o nome da lista de referência de patches que você deseja configurar para o grupo de patches.
Se você só acessou o Patch Manager depois do lançamento das políticas de patch, é necessário escolher uma lista de referência personalizada que você criou.
1. Se a página de detalhes **ID da lista de referência** incluir um menu **Ações**, faça o seguinte:
+ Escolha **Actions (Ações)** e depois **Modify patch groups (Modificar grupos de patches)**.
+ Insira o *valor* da etiqueta que você adicionou aos nós gerenciados e [Tarefa 2: Adicionar nós gerenciados a um grupo de patches usando etiquetas](#sysman-patch-group-tagging-managed) escolha **Adicionar**.
Se a página de detalhes **ID da lista de referência** *não* incluir um menu **Ações**, não será possível configurar os grupos de patches no console. Em vez disso, você pode fazer qualquer um dos seguintes:
+ (Recomendado) Configure uma política de patch na Quick Setup, uma ferramenta do AWS Systems Manager, para mapear uma lista de referência de patches em uma ou mais instâncias do EC2.
Para obter mais informações, consulte [Using Quick Setup patch policies](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) e [Automate organization-wide patching using a Quick Setup patch policy](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-patch-manager.html).
+ Use o comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-patch-baseline-for-patch-group.html) na AWS Command Line Interface (AWS CLI) para configurar um grupo de patches.
# Integração do Patch Manager com o AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) O fornece uma visão abrangente do seu estado de segurança na AWS. O Security Hub CSPM coleta dados de segurança de Contas da AWS, Serviços da AWS e produtos compatíveis de parceiros. Com o Security Hub CSPM, você pode verificar o ambiente de acordo com os padrões e as melhores práticas do setor de segurança. O Security Hub CSPM ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de prioridade mais alta.
Usando a integração entre o Patch Manager, uma ferramenta do AWS Systems Manager, e o Security Hub CSPM, é possível enviar descobertas sobre nós que estão fora de conformidade do Patch Manager para o Security Hub CSPM. Uma descoberta é o registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub CSPM pode então incluir essas descobertas relacionadas a patches na análise feita sobre sua postura de segurança.
As informações nos tópicos a seguir se aplicam independentemente do método ou tipo de configuração que você estiver usando para suas operações de aplicação de patch:
+ Uma política de patch configurada no Quick Setup
+ Uma opção do Host Management configurada no Quick Setup
+ Uma janela de manutenção para executar um patch `Scan` ou tarefa `Install`
+ Uma operação **Patch now** (Aplicar patch agora) sob demanda
**Contents**
+ [Como o Patch Manager envia as descobertas para o CSPM do Security Hub](#securityhub-integration-sending-findings)
+ [Tipos de descobertas que o Patch Manager envia](#securityhub-integration-finding-types)
+ [Latência para enviar descobertas](#securityhub-integration-finding-latency)
+ [Tentar novamente quando o CSPM do Security Hub não está disponível](#securityhub-integration-retry-send)
+ [Visualização de descobertas do no CSPM do Security Hub](#securityhub-integration-view-findings)
+ [Descoberta típica do Patch Manager](#securityhub-integration-finding-example)
+ [Ativar e configurar a integração](#securityhub-integration-enable)
+ [Como parar de enviar descobertas](#securityhub-integration-disable)
## Como o Patch Manager envia as descobertas para o CSPM do Security Hub
No CSPM do Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros Serviços da AWS ou por parceiros terceirizados. O CSPM do Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O Patch Manager é uma das ferramentas do Systems Manager que envia descobertas ao Security Hub CSPM. Depois de executar uma operação de aplicação de patches executando um documento SSM (`AWS-RunPatchBaseline`, `AWS-RunPatchBaselineAssociation`, ou`AWS-RunPatchBaselineWithHooks`), as informações sobre a aplicação de patches serão enviadas às ferramentas Inventory ou Compliance do AWS Systems Manager ou a ambas. Depois que o Inventário, a Conformidade ou ambos receberem os dados, o Patch Manager receberá uma notificação. Em seguida, o Patch Manager avalia os dados quanto a precisão, formatação e conformidade. Se todas as condições forem cumpridas, o Patch Manager encaminhará os dados ao Security Hub CSPM.
O CSPM do Security Hub fornece ferramentas para gerenciar descobertas em todas essas origens. É possível exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Para obter mais informações, consulte [Visualizar descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) no *Guia do usuário do AWS Security Hub*. Também é possível rastrear o status de uma investigação em uma descoberta. Para obter mais informações, consulte [Tomar medidas sobre descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) no *Manual do usuário do AWS Security Hub*.
Todas as descobertas no CSPM do Security Hub usam um formato JSON padrão chamado Formato de Descobertas de Segurança da AWS (ASFF). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) no *Manual do usuário do AWS Security Hub*.
### Tipos de descobertas que o Patch Manager envia
O Patch Manager envia descobertas ao Security Hub CSPM usando o [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). No ASFF, o campo `Types` fornece o tipo de descoberta. As descobertas do Patch Manager podem ter os seguintes valores para `Types`:
+ Verificações de software e configuração/Gerenciamento de patches
Patch ManagerO envia uma descoberta por nó gerenciado não compatível. A descoberta é relatada com o tipo de recurso [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance) para que as descobertas possam ser correlacionadas com outras integrações do Security Hub CSPM que relatam tipos de recursos do `AwsEc2Instance`. O Patch Manager somente encaminhará uma descoberta ao Security Hub CSPM se a operação descobrir que a instância não é compatível. A descoberta inclui os resultados do Resumo do Patch.
**nota**
Depois de reportar um nó fora de conformidade ao Security Hub CSPM. O Patch Manager não envia uma atualização para o Security Hub CSPM depois que o nó é colocado em conformidade. É possível resolver manualmente as descobertas no Security Hub CSPM após a aplicação dos patches necessários ao nó gerenciado.
Para obter mais informações sobre definições de conformidade, consulte [Valores de estados de conformidade de patches](patch-manager-compliance-states.md). Para obter mais informações sobre o `PatchSummary`, consulte [Resumo de Patches](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html)na *Referência de API do AWS Security Hub*.
### Latência para enviar descobertas
Quando o Patch Manager cria uma nova descoberta, ela normalmente é enviada para o Security Hub CSPM dentro de alguns segundos a duas horas. A velocidade depende do tráfego na Região da AWS sendo processado naquele momento.
### Tentar novamente quando o CSPM do Security Hub não está disponível
Se houver uma interrupção do serviço, uma função AWS Lambda será executada para colocar as mensagens de volta na fila principal depois que o serviço estiver sendo executado novamente. Depois que as mensagens estiverem na fila principal, a tentativa será automática.
Se o Security Hub CSPM não estiver disponível, o Patch Manager tentará enviar as descobertas novamente até que sejam recebidas.
### Visualização de descobertas do no CSPM do Security Hub
Este procedimento descreve como visualizar as descobertas no Security Hub CSPM sobre nós gerenciados da frota que estão fora de conformidade com os patches.
**Para analisar as descobertas do Security Hub CSPM quanto à conformidade de patches**
1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Security Hub CSPM em [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).
1. No painel de navegação, selecione **Descobertas**.
1. Escolha a caixa **Adicionar filtros** (![\[The Search icon\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/search-icon.png)).
1. No menu, em **Filtros**, escolha **Nome do produto**.
1. Na caixa de diálogo que é aberta, escolha **é** no primeiro campo e insira **Systems Manager Patch Manager** no segundo campo.
1. Escolha **Aplicar**.
1. Adicione quaisquer filtros que você quiser para ajudar a restringir os resultados.
1. Na lista de resultados, escolha o título da descoberta sobre a qual você deseja ver mais informações.
Um painel é exibido no lado direito da tela com mais detalhes sobre o recurso, o problema descoberto e uma correção recomendada.
**Importante**
No momento, o Security Hub CSPM relata como `EC2 Instance` o tipo de recurso de todos os nós gerenciados. Isso inclui servidores on-premises e máquinas virtuais (VMs) registrados para uso com o Systems Manager.
**Classificações de gravidade**
A lista de descobertas do **Systems Manager Patch Manager** inclui um relatório da gravidade da descoberta. Os níveis de **gravidade** incluem este, do mais baixo ao mais alto:
+ **INFORMATIVO**: nenhum problema foi encontrado.
+ **BAIXO**: o problema não requer correção.
+ **MÉDIA**: o problema deve ser solucionado, mas não é urgente.
+ **ALTA**: o problema deve ser tratado como prioridade.
+ **CRÍTICA**: o problema deve ser corrigido imediatamente para evitar que seja escalonado.
A gravidade é determinada pelo pacote fora de conformidade mais grave da instância. Como é possível ter várias listas de referência de patches com vários níveis de gravidade, a gravidade mais alta é relatada de todos os pacotes fora de conformidade. Por exemplo, suponha que você tenha dois pacotes fora de conformidade em que a gravidade do pacote A seja “Crítica” e a gravidade do pacote B seja “Baixa”. “Crítica” será relatada como a gravidade.
O campo da gravidade está diretamente correlacionado com o campo `Compliance` do Patch Manager. É um campo que você define para atribuir a patches individuais que correspondem à regra. Como esse campo `Compliance` é atribuído a patches individuais, ele não é refletido no nível de resumo do patch.
**Conteúdo relacionado**
+ [Findings](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) no *Guia do usuário do AWS Security Hub*
+ [Conformidade de patches de várias contas com o Patch Manager e o Security Hub](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) no *Blog de gerenciamento e governança da AWS*
## Descoberta típica do Patch Manager
O Patch Manager envia descobertas para o Security Hub CSPM por meio do [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
Aqui está um exemplo de uma descoberta típica do Patch Manager.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
"GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"AwsAccountId": "111122223333",
"Types": [
"Software & Configuration Checks/Patch Management/Compliance"
],
"CreatedAt": "2021-11-11T22:05:25Z",
"UpdatedAt": "2021-11-11T22:05:25Z",
"Severity": {
"Label": "INFORMATIONAL",
"Normalized": 0
},
"Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
"Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
"Remediation": {
"Recommendation": {
"Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
"Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
}
},
"SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
"ProductFields": {
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
"aws/securityhub/ProductName": "Systems Manager Patch Manager",
"aws/securityhub/CompanyName": "AWS"
},
"Resources": [
{
"Type": "AwsEc2Instance",
"Id": "i-02573cafcfEXAMPLE",
"Partition": "aws",
"Region": "us-east-2"
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"PatchSummary": {
"Id": "pb-0c10e65780EXAMPLE",
"InstalledCount": 45,
"MissingCount": 2,
"FailedCount": 0,
"InstalledOtherCount": 396,
"InstalledRejectedCount": 0,
"InstalledPendingReboot": 0,
"OperationStartTime": "2021-11-11T22:05:06Z",
"OperationEndTime": "2021-11-11T22:05:25Z",
"RebootOption": "NoReboot",
"Operation": "SCAN"
}
}
```
## Ativar e configurar a integração
Para usar o Patch Manager com o Security Hub CSPM, é necessário ativar o Security Hub CSPM. Para obter informações sobre como habilitar o Security Hub CSPM, consulte [Configurar o Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) no *Guia do usuário do AWS Security Hub*.
O procedimento a seguir descreve como integrar o Patch Manager e o Security Hub CSPM quando o Security Hub CSPM já está ativo, mas a integração com o Patch Manager está desativada. Você só precisa concluir este procedimento se a integração foi desativada manualmente.
**Para adicionar o Patch Manager à integração com o Security Hub CSPM**
1. No painel de navegação, escolha **Patch Manager**.
1. Escolha a guia **Configurações**.
- ou -
Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha **Start with an overview** (Começar com uma visão geral) e, em seguida, escolha a guia **Settings** (Configurações).
1. Na seção **Exportar para Security Hub CSPM**, à direita de **As descobertas de conformidade de patches não estão sendo exportadas para o Security Hub**, escolha **Habilitar**.
## Como parar de enviar descobertas
Para interromper o envio de descobertas ao CSPM do Security Hub, você poderá usar o console ou a API do CSPM do Security Hub.
Para saber mais, consulte os seguintes tópicos no *Manual do usuário do AWS Security Hub*:
+ [Desabilitar e habilitar o fluxo de descobertas em uma integração (console)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Desabilitar e habilitar o fluxo de descobertas em uma integração (API do Security Hub CSPM, AWS CLI)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)