• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Integração do Patch Manager com o AWS Security Hub CSPM
<a name="patch-manager-security-hub-integration"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) O fornece uma visão abrangente do seu estado de segurança na AWS. O Security Hub CSPM coleta dados de segurança de Contas da AWS, Serviços da AWS e produtos compatíveis de parceiros. Com o Security Hub CSPM, você pode verificar o ambiente de acordo com os padrões e as melhores práticas do setor de segurança. O Security Hub CSPM ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de prioridade mais alta.

Usando a integração entre o Patch Manager, uma ferramenta do AWS Systems Manager, e o Security Hub CSPM, é possível enviar descobertas sobre nós que estão fora de conformidade do Patch Manager para o Security Hub CSPM. Uma descoberta é o registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub CSPM pode então incluir essas descobertas relacionadas a patches na análise feita sobre sua postura de segurança.

As informações nos tópicos a seguir se aplicam independentemente do método ou tipo de configuração que você estiver usando para suas operações de aplicação de patch:
+ Uma política de patch configurada no Quick Setup
+ Uma opção do Host Management configurada no Quick Setup
+ Uma janela de manutenção para executar um patch `Scan` ou tarefa `Install`
+ Uma operação **Patch now** (Aplicar patch agora) sob demanda

**Contents**
+ [Como o Patch Manager envia as descobertas para o CSPM do Security Hub](#securityhub-integration-sending-findings)
  + [Tipos de descobertas que o Patch Manager envia](#securityhub-integration-finding-types)
  + [Latência para enviar descobertas](#securityhub-integration-finding-latency)
  + [Tentar novamente quando o CSPM do Security Hub não está disponível](#securityhub-integration-retry-send)
  + [Visualização de descobertas do no CSPM do Security Hub](#securityhub-integration-view-findings)
+ [Descoberta típica do Patch Manager](#securityhub-integration-finding-example)
+ [Ativar e configurar a integração](#securityhub-integration-enable)
+ [Como parar de enviar descobertas](#securityhub-integration-disable)

## Como o Patch Manager envia as descobertas para o CSPM do Security Hub
<a name="securityhub-integration-sending-findings"></a>

No CSPM do Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros Serviços da AWS ou por parceiros terceirizados. O CSPM do Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.

 O Patch Manager é uma das ferramentas do Systems Manager que envia descobertas ao Security Hub CSPM. Depois de executar uma operação de aplicação de patches executando um documento SSM (`AWS-RunPatchBaseline`, `AWS-RunPatchBaselineAssociation`, ou`AWS-RunPatchBaselineWithHooks`), as informações sobre a aplicação de patches serão enviadas às ferramentas Inventory ou Compliance do AWS Systems Manager ou a ambas. Depois que o Inventário, a Conformidade ou ambos receberem os dados, o Patch Manager receberá uma notificação. Em seguida, o Patch Manager avalia os dados quanto a precisão, formatação e conformidade. Se todas as condições forem cumpridas, o Patch Manager encaminhará os dados ao Security Hub CSPM.

O CSPM do Security Hub fornece ferramentas para gerenciar descobertas em todas essas origens. É possível exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Para obter mais informações, consulte [Visualizar descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) no *Guia do usuário do AWS Security Hub*. Também é possível rastrear o status de uma investigação em uma descoberta. Para obter mais informações, consulte [Tomar medidas sobre descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html) no *Manual do usuário do AWS Security Hub*.

Todas as descobertas no CSPM do Security Hub usam um formato JSON padrão chamado Formato de Descobertas de Segurança da AWS (ASFF). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.htm) no *Manual do usuário do AWS Security Hub*.

### Tipos de descobertas que o Patch Manager envia
<a name="securityhub-integration-finding-types"></a>

O Patch Manager envia descobertas ao Security Hub CSPM usando o [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). No ASFF, o campo `Types` fornece o tipo de descoberta. As descobertas do Patch Manager podem ter os seguintes valores para `Types`:
+ Verificações de software e configuração/Gerenciamento de patches

 Patch ManagerO envia uma descoberta por nó gerenciado não compatível. A descoberta é relatada com o tipo de recurso [https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsec2instance) para que as descobertas possam ser correlacionadas com outras integrações do Security Hub CSPM que relatam tipos de recursos do `AwsEc2Instance`. O Patch Manager somente encaminhará uma descoberta ao Security Hub CSPM se a operação descobrir que a instância não é compatível. A descoberta inclui os resultados do Resumo do Patch. 

**nota**  
Depois de reportar um nó fora de conformidade ao Security Hub CSPM. O Patch Manager não envia uma atualização para o Security Hub CSPM depois que o nó é colocado em conformidade. É possível resolver manualmente as descobertas no Security Hub CSPM após a aplicação dos patches necessários ao nó gerenciado.

Para obter mais informações sobre definições de conformidade, consulte [Valores de estados de conformidade de patches](patch-manager-compliance-states.md). Para obter mais informações sobre o `PatchSummary`, consulte [Resumo de Patches](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_PatchSummary.html)na *Referência de API do AWS Security Hub*.

### Latência para enviar descobertas
<a name="securityhub-integration-finding-latency"></a>

Quando o Patch Manager cria uma nova descoberta, ela normalmente é enviada para o Security Hub CSPM dentro de alguns segundos a duas horas. A velocidade depende do tráfego na Região da AWS sendo processado naquele momento.

### Tentar novamente quando o CSPM do Security Hub não está disponível
<a name="securityhub-integration-retry-send"></a>

Se houver uma interrupção do serviço, uma função AWS Lambda será executada para colocar as mensagens de volta na fila principal depois que o serviço estiver sendo executado novamente. Depois que as mensagens estiverem na fila principal, a tentativa será automática.

Se o Security Hub CSPM não estiver disponível, o Patch Manager tentará enviar as descobertas novamente até que sejam recebidas.

### Visualização de descobertas do no CSPM do Security Hub
<a name="securityhub-integration-view-findings"></a>

Este procedimento descreve como visualizar as descobertas no Security Hub CSPM sobre nós gerenciados da frota que estão fora de conformidade com os patches.

**Para analisar as descobertas do Security Hub CSPM quanto à conformidade de patches**

1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Security Hub CSPM em [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).

1. No painel de navegação, selecione **Descobertas**.

1. Escolha a caixa **Adicionar filtros** (![\[The Search icon\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/search-icon.png)).

1. No menu, em **Filtros**, escolha **Nome do produto**.

1. Na caixa de diálogo que é aberta, escolha **é** no primeiro campo e insira **Systems Manager Patch Manager** no segundo campo.

1. Escolha **Aplicar**.

1. Adicione quaisquer filtros que você quiser para ajudar a restringir os resultados.

1. Na lista de resultados, escolha o título da descoberta sobre a qual você deseja ver mais informações.

   Um painel é exibido no lado direito da tela com mais detalhes sobre o recurso, o problema descoberto e uma correção recomendada.
**Importante**  
No momento, o Security Hub CSPM relata como `EC2 Instance` o tipo de recurso de todos os nós gerenciados. Isso inclui servidores on-premises e máquinas virtuais (VMs) registrados para uso com o Systems Manager.

**Classificações de gravidade**  
A lista de descobertas do **Systems Manager Patch Manager** inclui um relatório da gravidade da descoberta. Os níveis de **gravidade** incluem este, do mais baixo ao mais alto:
+ **INFORMATIVO**: nenhum problema foi encontrado.
+ **BAIXO**: o problema não requer correção.
+ **MÉDIA**: o problema deve ser solucionado, mas não é urgente.
+ **ALTA**: o problema deve ser tratado como prioridade.
+ **CRÍTICA**: o problema deve ser corrigido imediatamente para evitar que seja escalonado.

A gravidade é determinada pelo pacote fora de conformidade mais grave da instância. Como é possível ter várias listas de referência de patches com vários níveis de gravidade, a gravidade mais alta é relatada de todos os pacotes fora de conformidade. Por exemplo, suponha que você tenha dois pacotes fora de conformidade em que a gravidade do pacote A seja “Crítica” e a gravidade do pacote B seja “Baixa”. “Crítica” será relatada como a gravidade.

O campo da gravidade está diretamente correlacionado com o campo `Compliance` do Patch Manager. É um campo que você define para atribuir a patches individuais que correspondem à regra. Como esse campo `Compliance` é atribuído a patches individuais, ele não é refletido no nível de resumo do patch.

**Conteúdo relacionado**
+ [Findings](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) no *Guia do usuário do AWS Security Hub*
+ [Conformidade de patches de várias contas com o Patch Manager e o Security Hub](https://aws.amazon.com/blogs/mt/multi-account-patch-compliance-with-patch-manager-and-security-hub/) no *Blog de gerenciamento e governança da AWS*

## Descoberta típica do Patch Manager
<a name="securityhub-integration-finding-example"></a>

O Patch Manager envia descobertas para o Security Hub CSPM por meio do [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

Aqui está um exemplo de uma descoberta típica do Patch Manager.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}
```

## Ativar e configurar a integração
<a name="securityhub-integration-enable"></a>

Para usar o Patch Manager com o Security Hub CSPM, é necessário ativar o Security Hub CSPM. Para obter informações sobre como habilitar o Security Hub CSPM, consulte [Configurar o Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) no *Guia do usuário do AWS Security Hub*.

O procedimento a seguir descreve como integrar o Patch Manager e o Security Hub CSPM quando o Security Hub CSPM já está ativo, mas a integração com o Patch Manager está desativada. Você só precisa concluir este procedimento se a integração foi desativada manualmente.

**Para adicionar o Patch Manager à integração com o Security Hub CSPM**

1. No painel de navegação, escolha **Patch Manager**.

1. Escolha a guia **Configurações**.

   - ou -

   Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha **Start with an overview** (Começar com uma visão geral) e, em seguida, escolha a guia **Settings** (Configurações).

1. Na seção **Exportar para Security Hub CSPM**, à direita de **As descobertas de conformidade de patches não estão sendo exportadas para o Security Hub**, escolha **Habilitar**.

## Como parar de enviar descobertas
<a name="securityhub-integration-disable"></a>

Para interromper o envio de descobertas ao CSPM do Security Hub, você poderá usar o console ou a API do CSPM do Security Hub.

Para saber mais, consulte os seguintes tópicos no *Manual do usuário do AWS Security Hub*:
+ [Desabilitar e habilitar o fluxo de descobertas em uma integração (console)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)
+ [Desabilitar e habilitar o fluxo de descobertas em uma integração (API do Security Hub CSPM, AWS CLI)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api)