本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
整合 Patch Manager 使用 AWS Security Hub
AWS Security Hub 為您提供 中安全狀態的全面檢視 AWS。Security Hub 會從 AWS 帳戶 AWS 服務、 和支援的第三方合作夥伴產品收集安全資料。使用 Security Hub,您可以檢查環境是否符合安全業界標準和最佳實務。Security Hub 可協助您分析安全趨勢,並識別最高優先級的安全問題。
使用 之間的整合 Patch Manager、 AWS Systems Manager和 Security Hub 的功能,您可以從 傳送有關不合規節點的調查結果 Patch Manager 至 Security Hub。問題清單是安全檢查或安全性相關偵測的可觀察記錄。Security Hub 接著可將這些相關修補問題清單納入其安全狀態的分析中。
無論您使用哪種方法或組態類型進行修補操作,下列主題中的資訊都適用:
-
在 中設定的修補程式政策 Quick Setup
-
在 中設定的主機管理選項 Quick Setup
-
用來執行修補程式
Scan或Install任務的維護時段 -
隨需 Patch now (立即修補) 操作
內容
方法 Patch Manager 會將調查結果傳送至 Security Hub
在 Security Hub 中,將安全問題作為問題清單進行追蹤。有些調查結果來自其他 AWS 服務 或第三方合作夥伴偵測到的問題。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。
Patch Manager 是將調查結果傳送至 Security Hub 的 Systems Manager 功能之一。在您執行SSM文件 (AWS-RunPatchBaseline、 或 AWS-RunPatchBaselineWithHooks) 執行修補操作之後AWS-RunPatchBaselineAssociation,修補資訊會傳送至庫存或合規、 的功能 AWS Systems Manager,或兩者。在庫存、合規或兩者都收到資料後,Patch Manager 會收到通知。然後,Patch Manager 評估資料的準確性、格式和合規性。如果符合所有條件,Patch Manager 會將資料轉送至 Security Hub。
Security Hub 提供用來跨所有這些來源管理問題清單的工具。您可以檢視並篩選問題清單列表,並檢視問題清單的詳細資訊。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的檢視問題清單。您也可以追蹤問題清單的調查狀態。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的針對問題清單採取動作。
Security Hub 中的所有調查結果都會使用稱為 AWS Security Finding JSON 格式 () 的標準格式ASFF。ASFF 包括問題來源、受影響資源的詳細資訊,以及調查結果的目前狀態。如需詳細資訊,請參閱 AWS Security Hub 使用者指南 中的AWS 安全調查結果格式 (ASFF)。
調查結果的類型 Patch Manager 傳送
Patch Manager 會使用安全調查結果AWS 格式 (ASFF) 將調查結果傳送至 Security Hub。在 中ASFF, Types 欄位提供調查結果類型。調查結果來自 Patch Manager 的 值如下Types:
-
軟體和組態檢查/修補程式管理
Patch Manager 會為每個不合規的受管節點傳送一個調查結果。調查結果會與資源類型一起報告,AwsEc2Instance以便調查結果可以與其他報告AwsEc2Instance資源類型的 Security Hub 整合建立關聯。Patch Manager 只有在操作發現受管節點不合規時,才會將調查結果轉送至 Security Hub。問題清單包括「修補程式摘要」結果。
注意
向 Security Hub 報告不合規節點之後。Patch Manager 在節點符合規範之後, 不會將更新傳送至 Security Hub。將所需的修補程式套用至受管節點後,您可以手動解析 Security Hub 中的調查結果。
如需合規定義的詳細資訊,請參閱 修補合規狀態值。如需 的詳細資訊PatchSummary,請參閱 參考 PatchSummary中的 。 AWS Security Hub API
傳送問題清單延遲
當 Patch Manager 會建立新的調查結果,通常會在幾秒鐘到 2 小時內傳送至 Security Hub。速度取決於該時間點 AWS 區域 中處理的流量。
無法使用 Security Hub 時重試
如果出現服務中斷,則會執行 AWS Lambda 函數,以在服務再次執行後將訊息放回主佇列。訊息位於主要佇列之後,會自動重試。
如果 Security Hub 無法使用,Patch Manager 會重試傳送調查結果,直到收到為止。
檢視 Security Hub 中的調查結果
此程序說明如何在 Security Hub 中檢視機群中修補程式不合規之受管節點的調查結果。
檢閱 Security Hub 調查結果以檢查修補程式合規性
登入 AWS Management Console 並在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/
。 -
在導覽窗格中,選擇調查結果。
-
選擇新增篩選條件 (
) 方塊。 -
在選單中的篩選條件下,選擇產品名稱。
-
在開啟的對話方塊中,在第一個欄位中選擇是,然後在第二個欄位中輸入
Systems Manager Patch Manager。 -
選擇套用。
-
新增任何您想要用於縮小搜尋結果範圍的其他篩選條件。
-
在結果清單中,選擇您想要獲取詳細資訊的調查結果的標題。
畫面右側會開啟一個窗格,其中會顯示有關資源、發現的問題以及建議的修復方法的詳細資訊。
重要
此時,Security Hub 會將所有受管節點的資源類型報告為
EC2 Instance。這包括您已註冊與 Systems Manager 搭配使用的內部部署伺服器和虛擬機器 (VMs)。
嚴重性分類
Systems Manager Patch
Manager 的調查結果清單包含調查結果嚴重性的報告。嚴重性分下列等級 (程度從最低到最高):
-
INFORMATIONAL – 找不到問題。
-
LOW – 問題不需要修復。
-
MEDIUM – 必須解決問題,但並非緊急問題。
-
HIGH – 問題必須以優先順序處理。
-
CRITICAL – 問題必須立即修復,以避免升級。
嚴重性是由執行個體上不合規程度最嚴重的套件所決定。由於您可以擁有多個具有不同嚴重性等級的修補基準,因此會報告所有不合規的套件中最高的嚴重性。例如,假設您有兩個不合規的套件,其中套件 A 的嚴重性為「嚴重」,而套件 B 的嚴重性為「低」。則報告的嚴重性將為「嚴重」。
請注意,嚴重性欄位與 直接相關 Patch Manager Compliance 欄位。這是您設定並指派給符合規則的個別修補程式的欄位。由於此 Compliance 欄位是指派給個別修補程式,因此它不會反映在「修補程式摘要」層級。
相關內容
-
《AWS Security Hub 使用者指南》中的調查結果一節
來自 的典型調查結果 Patch Manager
Patch Manager 會使用安全調查結果AWS 格式 (ASFF) 將調查結果傳送至 Security Hub。
以下是來自 的典型調查結果範例 Patch Manager.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2021-11-11T22:05:25Z", "UpdatedAt": "2021-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-2", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-2" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-0c10e65780EXAMPLE", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2021-11-11T22:05:06Z", "OperationEndTime": "2021-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }
開啟與設定整合
若要使用 Patch Manager 與 Security Hub 整合,您必須開啟 Security Hub。如需有關如何開啟 Security Hub 的資訊,請參閱《AWS Security Hub 使用者指南》中的設定 Security Hub。
下列程序說明如何整合 Patch Manager 和 Security Hub,當 Security Hub 已處於作用中狀態,但 Patch Manager 整合已關閉。只有在手動關閉整合時,您才需要完成此處理程序。
若要新增 Patch Manager 至 Security Hub 整合
在導覽窗格中,選擇 Patch Manager.
-
選擇 Settings (設定) 標籤。
-或-
如果您正在存取 Patch Manager 第一次在目前的 中 AWS 區域,選擇從概觀開始 ,然後選擇設定索引標籤。
-
在 Export to Security Hub (匯出至 Security Hub) 區段下,Patch compliance findings aren't being exported to Security Hub (修補程式合規問題清單未匯出至 Security Hub) 的右側,選擇 Enable (啟用)。
如何停止傳送問題清單
若要停止將調查結果傳送至 Security Hub,您可以使用 Security Hub 主控台或 API。
如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的以下主題:
