Como o Patch Manager envia as descobertas para o Security Hub Descoberta típica do Patch Manager Ativar e configurar a integração Como parar de enviar descobertas

Integrar o Patch Manager ao AWS Security Hub

O AWS Security Hub fornece uma visão abrangente do seu estado de segurança na AWS. O Security Hub coleta dados de segurança de Contas da AWS, Serviços da AWS e produtos compatíveis de parceiros. Com o Security Hub, você pode verificar o ambiente de acordo com os padrões e as melhores práticas do setor de segurança. O Security Hub ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de prioridade mais alta.

Usando a integração entre Patch Manager, um recurso do AWS Systems Manager, e o Security Hub, você pode enviar descobertas sobre nós que estão fora de conformidade do Patch Manager para o Security Hub. Uma descoberta é o registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub pode então incluir essas descobertas relacionadas a patches na análise feita sobre sua postura de segurança.

As informações nos tópicos a seguir se aplicam independentemente do método ou tipo de configuração que você estiver usando para suas operações de aplicação de patch:

Uma política de patch configurada no Quick Setup
Uma opção do Host Management configurada no Quick Setup
Uma janela de manutenção para executar um patch Scan ou tarefa Install
Uma operação Patch now (Aplicar patch agora) sob demanda

Sumário

Como o Patch Manager envia as descobertas para o Security Hub

No Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros Serviços da AWS ou por parceiros terceirizados. O Security Hub também tem um conjunto de regras que usa para detectar problemas de segurança e gerar descobertas.

O Patch Manager é um dos recursos do Systems Manager que envia descobertas para o Security Hub. Depois de executar uma operação de aplicação de patches executando um documento SSM (AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation, ouAWS-RunPatchBaselineWithHooks), as informações sobre a aplicação de patches serão enviadas aos recursos de inventário ou conformidade, do AWS Systems Manager ou para ambos. Depois que o Inventário, a Conformidade ou ambos receberem os dados, o Patch Manager receberá uma notificação. Em seguida, o Patch Manager avalia os dados quanto a precisão, formatação e conformidade. Se todas as condições forem cumpridas,Patch Managerencaminha os dados para o Security Hub.

O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. Você pode exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Para obter mais informações, consulte Visualizar descobertas no Guia do usuário do AWS Security Hub. Você também pode rastrear o status de uma investigação em uma descoberta. Para obter mais informações, consulte Tomar medidas sobre descobertas no Manual do usuário do AWS Security Hub.

Todas as descobertas no Security Hub usam um formato JSON padrão chamado ASFF (Formato de Descoberta de Segurança da AWS). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte AWS Security Finding Format (ASFF) no Manual do usuário do AWS Security Hub.

Tipos de descobertas que o Patch Manager envia

O Patch Manager envia descobertas para o Security Hub usando o AWS Security Finding Format (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do Patch Manager podem ter os seguintes valores para Types:

Verificações de software e configuração/Gerenciamento de patches

O Patch Manager envia uma descoberta por nó gerenciado não compatível. A descoberta é relatada com o tipo de recurso AwsEc2Instance para que as descobertas possam ser correlacionadas com outras integrações do Security Hub que relatam tipos de recursos do AwsEc2Instance. O Patch Manager somente encaminha uma descoberta para o Security Hub se a operação descobrir que a instância não é compatível. A descoberta inclui os resultados do Resumo do Patch.

nota

Depois de reportar um nó fora de conformidade ao Security Hub. O Patch Manager não envia uma atualização para o Security Hub depois que o nó é colocado em conformidade. É possível resolver manualmente as descobertas no Security Hub após a aplicação dos patches necessários ao nó gerenciado.

Para obter mais informações sobre definições de conformidade, consulte Valores de estados de conformidade de patches. Para obter mais informações sobre o PatchSummary, consulte Resumo de Patchesna Referência de API do AWS Security Hub.

Latência para enviar descobertas

Quando o Patch Manager cria uma nova descoberta, ela normalmente é enviada para o Security Hub dentro de alguns segundos a duas horas. A velocidade depende do tráfego na Região da AWS sendo processado naquele momento.

Repetir quando o Security Hub não estiver disponível

Se houver uma interrupção do serviço, uma função AWS Lambda será executada para colocar as mensagens de volta na fila principal depois que o serviço estiver sendo executado novamente. Depois que as mensagens estiverem na fila principal, a tentativa será automática.

Se o Security Hub não estiver disponível, o Patch Manager tentará enviar as descobertas novamente até que sejam recebidas.

Exibir descobertas do no Security Hub

Este procedimento descreve como visualizar as descobertas no Security Hub sobre nós gerenciados da frota que estão fora de conformidade com os patches.

Para analisar as descobertas do Security Hub quanto à conformidade de patches

Faça login no AWS Management Console e abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.
No painel de navegação, selecione Descobertas.
Escolha a caixa Adicionar filtros ( ).
No menu, em Filtros, escolha Nome do produto.
Na caixa de diálogo que é aberta, escolha é no primeiro campo e insira Systems Manager Patch Manager no segundo campo.
Selecione Apply (Aplicar).
Adicione quaisquer filtros que você quiser para ajudar a restringir os resultados.
Na lista de resultados, escolha o título da descoberta sobre a qual você deseja ver mais informações.

Um painel é exibido no lado direito da tela com mais detalhes sobre o recurso, o problema descoberto e uma correção recomendada.

Importante
No momento, o Security Hub relata como EC2 Instance o tipo de recurso de todos os nós gerenciados. Isso inclui servidores on-premises e máquinas virtuais (VMs) registrados para uso com o Systems Manager.

Classificações de gravidade

A lista de descobertas do Systems Manager Patch Manager inclui um relatório da gravidade da descoberta. Os níveis de gravidade incluem este, do mais baixo ao mais alto:

INFORMATIVO: nenhum problema foi encontrado.
BAIXO: o problema não requer correção.
MÉDIA: o problema deve ser solucionado, mas não é urgente.
ALTA: o problema deve ser tratado como prioridade.
CRÍTICA: o problema deve ser corrigido imediatamente para evitar que seja escalonado.

A gravidade é determinada pelo pacote fora de conformidade mais grave da instância. Como é possível ter várias listas de referência de patches com vários níveis de gravidade, a gravidade mais alta é relatada de todos os pacotes fora de conformidade. Por exemplo, suponha que você tenha dois pacotes fora de conformidade em que a gravidade do pacote A seja “Crítica” e a gravidade do pacote B seja “Baixa”. “Crítica” será relatada como a gravidade.

O campo da gravidade está diretamente correlacionado com o campo Compliance do Patch Manager. É um campo que você define para atribuir a patches individuais que correspondem à regra. Como esse campo Compliance é atribuído a patches individuais, ele não é refletido no nível de resumo do patch.

Conteúdo relacionado

Findings no Guia do usuário do AWS Security Hub
Conformidade de patches de várias contas com o Patch Manager e o Security Hub no Blog de gerenciamento e governança da AWS

Descoberta típica do Patch Manager

O Patch Manager envia descobertas para o Security Hub por meio do AWS Security Finding Format (ASFF).

Aqui está um exemplo de uma descoberta típica do Patch Manager.


{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Ativar e configurar a integração

Para usar o Patch Manager com o Security Hub, é necessário ativar o Security Hub. Para obter informações sobre como habilitar o Hub de segurança, consulte Configurar o Security Hub no Guia do usuário do AWS Security Hub.

O procedimento a seguir descreve como integrar o Patch Manager e o Security Hub quando o Security Hub já está ativo, mas a integração com o Patch Manager está desativada. Você só precisa concluir este procedimento se a integração foi desativada manualmente.

Para adicionar o Patch Manager à integração com o Security Hub

No painel de navegação, escolha Patch Manager.
Escolha a guia Configurações.

- ou -

Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha Start with an overview (Começar com uma visão geral) e, em seguida, escolha a guia Settings (Configurações).
Na seção Exportar para Security Hub, à direita de As descobertas de conformidade de patches não estão sendo exportadas para o Security Hub, escolha Habilitar.

Como parar de enviar descobertas

Para parar de enviar descobertas para o Security Hub, você pode usar o console ou a API do Security Hub.

Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do AWS Security Hub:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como criar e gerenciar grupos de patches

Trabalhar com recursos do Patch Manager usando a AWS CLI