Intégration d'Patch Manager à AWS Security Hub CSPM - AWS Systems Manager
Comment Patch Manager envoyer les résultats à Security Hub (CSPM)Résultats types de Patch ManagerActivation et configuration de l'intégrationComment arrêter l'envoi des résultats

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration d'Patch Manager à AWS Security Hub CSPM

AWS Security Hub CSPMvous fournit une vue complète de votre état de sécurité dans AWS. Security Hub CSPM collecte des données de sécurité provenant de l'ensemble Comptes AWS des produits partenaires et pris en charge par des tiers. Services AWS Avec Security Hub CSPM, vous pouvez vérifier que votre environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques. Security Hub CSPM vous aide à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires.

En utilisant l'intégration entre Patch Manager Security Hub CSPM et un outil intégré à AWS Systems Manager Security Hub, vous pouvez envoyer des informations concernant des nœuds non conformes à Security Patch Manager Hub CSPM. Vous pouvez observer parmi les résultats l'enregistrement d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub CSPM peut ensuite inclure les résultats relatifs aux correctifs dans son analyse de votre posture de sécurité.

Les informations des rubriques suivantes s'appliquent, quels que soient la méthode ou le type de configuration que vous utilisez pour vos opérations d'application de correctifs :

  • Une politique de correctifs configurée dans Quick Setup

  • Une option de gestion des hôtes configurée dans Quick Setup

  • Une fenêtre de maintenance pour exécuter un correctif Scan ou une tâche Install

  • Une opération Patch now (Appliquer les correctifs maintenant) à la demande

Comment Patch Manager envoyer les résultats à Security Hub (CSPM)

Dans Security Hub CSPM, les problèmes de sécurité sont suivis au fur et à mesure des découvertes. Certains résultats proviennent de problèmes détectés par d'autres partenaires Services AWS ou par des partenaires tiers. Security Hub CSPM dispose également d'un ensemble de règles qu'il utilise pour détecter les problèmes de sécurité et générer des résultats.

Patch Managerest l'un des outils de Systems Manager qui envoie les résultats au Security Hub CSPM. Après avoir effectué une opération de correction en exécutant un document SSM (AWS-RunPatchBaseline,, ouAWS-RunPatchBaselineWithHooks)AWS-RunPatchBaselineAssociation, les informations d'application des correctifs sont envoyées à Inventory ou Compliance, aux outils, ou aux deux AWS Systems Manager. Après qu'Inventory, Compliance, ou les deux, ont reçu les données, Patch Manager reçoit une notification. Ensuite, Patch Manager évalue l'exactitude, le formatage et la conformité des données. Si toutes les conditions sont remplies, Patch Manager transmet les données à Security Hub CSPM.

Security Hub CSPM fournit des outils pour gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Pour de plus amples informations, consultez la section Viewing findings (Affichage des résultats) dans le Guide de l'utilisateur AWS Security Hub . Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour de plus amples informations, veuillez consulter Prendre des mesure en fonction des résultats dans le Guide de l'utilisateur AWS Security Hub .

Tous les résultats du Security Hub CSPM utilisent un format JSON standard appelé AWS Security Finding Format (ASFF). Le format ASFF comprend des informations sur la source du problème, les ressources affectées et le statut actuel du résultat. Pour de plus amples informations, veuillez consulter AWS Security Finding Format (ASFF) dans le Guide de l'utilisateur AWS Security Hub .

Types de résultats que Patch Manager envoie

Patch Managerenvoie les résultats à Security Hub CSPM en utilisant le format ASFF (AWS Security Finding Format). Dans le format ASFF, le champ Types fournit le type de résultat. Les résultats de Patch Manager peuvent avoir la valeur suivante pour Types :

  • Checks/Patch Gestion des logiciels et des configurations

Patch Manager envoie un résultat par nœud géré non conforme. La découverte est signalée avec le type de ressource AwsEc2Instanceafin que les résultats puissent être corrélés avec d'autres intégrations Security Hub CSPM qui signalent des types de ressources. AwsEc2Instance Patch Managerne transmet une constatation à Security Hub CSPM que si l'opération a découvert que le nœud géré n'était pas conforme. Le résultat contient les résultats du Résumé des correctifs.

Note

Après avoir signalé un nœud non conforme à Security Hub CSPM. Patch Managern'envoie pas de mise à jour au Security Hub CSPM une fois que le nœud est devenu conforme. Vous pouvez résoudre manuellement les résultats dans Security Hub CSPM une fois que les correctifs requis ont été appliqués au nœud géré.

Pour plus d'informations sur les définitions de conformité, consultez Valeurs de l’état de conformité des correctifs. Pour plus d'informations à ce sujetPatchSummary, consultez PatchSummaryla référence de AWS Security Hub l'API.

Latence pour l'envoi des résultats

Lors de Patch Manager la création d'un nouveau résultat, il est généralement envoyé au Security Hub CSPM dans un délai de quelques secondes à 2 heures. La vitesse dépend du trafic en cours de traitement dans la Région AWS à ce moment-là.

Réessayer lorsque Security Hub CSPM n'est pas disponible

En cas de panne de service, une AWS Lambda fonction est exécutée pour remettre les messages dans la file d'attente principale après la réexécution du service. Une fois les messages dans la file d'attente principale, la nouvelle tentative est automatique.

Si Security Hub CSPM n'est pas disponible, Patch Manager réessaie d'envoyer les résultats jusqu'à ce qu'ils soient reçus.

Afficher les résultats dans Security Hub CSPM

Cette procédure explique comment consulter dans Security Hub CSPM les résultats concernant les nœuds gérés de votre parc qui ne sont pas conformes aux correctifs.

Pour consulter les résultats du Security Hub CSPM relatifs à la conformité des correctifs

  1. Connectez-vous à la AWS Security Hub CSPM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le volet de navigation, choisissez Conclusions.

  3. Choisissez la case Ajouter des filtres ( The Search icon ).

  4. Dans le menu, sous Filtres, choisissez Nom du produit.

  5. Dans la boîte de dialogue qui s'ouvre, sélectionnez est dans le premier champ, puis saisissez Systems Manager Patch Manager dans le deuxième champ.

  6. Cliquez sur Appliquer.

  7. Ajoutez les filtres supplémentaires que vous souhaitez pour affiner vos résultats.

  8. Dans la liste des résultats, choisissez le titre d'un résultat sur lequel vous souhaitez obtenir plus d'informations.

    Un volet s'ouvre sur le côté droit de l'écran. Il contient plus de détails sur la ressource, le problème découvert et les solutions recommandées.

    Important

    À l'heure actuelle, Security Hub CSPM indique le type de ressource de tous les nœuds gérés sous la forme. EC2 Instance Cela inclut les serveurs locaux et les machines virtuelles (VMs) que vous avez enregistrés pour être utilisés avec Systems Manager.

Classifications de sévérité

La liste des résultats de Systems Manager Patch Manager comprend un rapport sur la sévérité du résultat. Les niveaux de sévérité sont les suivants, du plus faible au plus élevé :

  • INFORMATIF : aucun problème n'a été détecté.

  • FAIBLE : le problème ne nécessite aucune correction.

  • MOYEN : le problème doit être traité, mais n'est pas urgent.

  • ÉLEVÉ : le problème doit être traité en priorité.

  • CRITIQUE : le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.

La sévérité est déterminée par le package non conforme le plus sévère d'une instance. Comme vous pouvez disposer de plusieurs référentiels de correctifs avec différents niveaux de sévérité, le niveau de sévérité le plus élevé est indiqué parmi tous les packages non conformes. Supposons, par exemple, que vous ayez deux packages non conformes. Le niveau de sévérité du package A est « critique » et celui du package B est « faible ». La sévérité sera signalée comme étant « critique ».

Veuillez noter que le champ de sévérité est directement corrélé au champ Compliance de Patch Manager. Il s'agit d'un champ que vous attribuez aux correctifs individuels qui correspondent à la règle. Ce champ Compliance étant affecté à des correctifs individuels, il n'est pas reflété au niveau du résumé des correctifs.

Contenu connexe

Résultats types de Patch Manager

Patch Managerenvoie les résultats au Security Hub CSPM en utilisant le format ASFF (AWS Security Finding Format).

Voici un exemple de résultat type de Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Activation et configuration de l'intégration

Pour utiliser l'Patch Managerintégration avec Security Hub CSPM, vous devez activer Security Hub CSPM. Pour plus d'informations sur la façon d'activer Security Hub CSPM, consultez la section Configuration de Security Hub CSPM dans le guide de l'utilisateur.AWS Security Hub

La procédure suivante décrit comment intégrer Patch Manager Security Hub CSPM lorsque Security Hub CSPM est déjà actif mais que Patch Manager l'intégration est désactivée. Cette procédure doit être effectuée uniquement si l'intégration a été désactivée manuellement.

À ajouter Patch Manager à l'intégration de Security Hub CSPM

  1. Dans le panneau de navigation, sélectionnez Patch Manager.

  2. Sélectionnez l’onglet Paramètres.

    -ou-

    Si vous accédez à Patch Manager pour la première fois dans la Région AWS actuelle, choisissez Commencer par une présentation, puis sélectionnez l'onglet Paramètres.

  3. Dans la section Exporter vers Security Hub CSPM, à droite de « Les résultats de conformité des correctifs ne sont pas exportés vers Security Hub », choisissez Enable.

Comment arrêter l'envoi des résultats

Pour arrêter d'envoyer des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l'API.

Pour plus d'informations, consultez les rubriques suivantes dans le AWS Security Hub Guide de l'utilisateur :