Integrazione di Patch Manager con AWS Security Hub CSPM - AWS Systems Manager
Come Patch Manager invia i risultati al Security Hub CSPMEsito tipico di Patch ManagerAttivazione e configurazione dell'integrazioneCome interrompere l'invio degli esiti

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedi modifica della AWS Systems ManagerChange Manager disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione di Patch Manager con AWS Security Hub CSPM

AWS Security Hub CSPMti offre una visione completa del tuo stato di sicurezza in. AWS Security Hub CSPM raccoglie dati sulla sicurezza da tutti i prodotti Account AWS partner Servizi AWS di terze parti e supporta. Con Security Hub CSPM, puoi verificare il tuo ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub CSPM ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità.

Utilizzando l'integrazione traPatch Manager, uno strumento in AWS Systems Manager e Security Hub CSPM, è possibile inviare i risultati sui nodi non conformi al Security Patch Manager Hub CSPM. Un esito è la registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. Security Hub CSPM può quindi includere i risultati relativi alle patch nella sua analisi del livello di sicurezza.

Le informazioni contenute negli argomenti seguenti si applicano indipendentemente dal metodo o dal tipo di configurazione utilizzato per le operazioni di applicazione di patch:

  • Una policy di patch configurata in Quick Setup

  • Un'opzione di gestione host configurata in Quick Setup

  • Una finestra di manutenzione per eseguire un'attività Scan o Install di patch

  • Un'operazione Applica subito una patch on demand

Come Patch Manager invia i risultati al Security Hub CSPM

In Security Hub CSPM, i problemi di sicurezza vengono registrati come risultati. Alcuni risultati derivano da problemi rilevati da altri partner Servizi AWS o da partner terzi. Security Hub CSPM dispone anche di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.

Patch Managerè uno degli strumenti di Systems Manager che invia i risultati al Security Hub CSPM. Dopo aver eseguito un'operazione di applicazione delle patch eseguendo un documento SSM (AWS-RunPatchBaseline,, oAWS-RunPatchBaselineWithHooks)AWS-RunPatchBaselineAssociation, le informazioni sull'applicazione delle patch vengono inviate a Inventory o Compliance, agli strumenti di o a entrambi. AWS Systems Manager Dopo che Inventory, Compliance o entrambi ricevono i dati, Patch Manager riceve una notifica. In seguito, Patch Manager valuta i dati per verificarne la precisione, la formattazione e la conformità. Se tutte le condizioni sono soddisfatte, Patch Manager inoltra i dati al Security Hub CSPM.

Security Hub CSPM fornisce strumenti per gestire i risultati provenienti da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di esiti e visualizzare i dettagli per un riscontro. Per ulteriori informazioni, consulta Visualizzazione degli esiti nella Guida per l'utente AWS Security Hub . È inoltre possibile monitorare lo stato di un'indagine in un esito. Per ulteriori informazioni, consulta Operazioni sugli esiti nella Guida per l'utente di AWS Security Hub .

Tutti i risultati in Security Hub CSPM utilizzano un formato JSON standard chiamato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente dell'esito. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub .

Tipi di esiti che Patch Manager invia

Patch Managerinvia i risultati a Security Hub CSPM utilizzando il AWS Security Finding Format (ASFF). In ASFF, il Types campo fornisce il tipo di esito. Gli esiti ottenuti da Patch Manager possono avere i seguenti valori per Types:

  • Gestione del software e della configurazione Checks/Patch

Patch Manager invia un esito per nodo gestito non conforme. Il risultato viene riportato con il tipo di risorsa AwsEc2Instancein modo che i risultati possano essere correlati con altre integrazioni CSPM di Security Hub che segnalano i tipi di risorse. AwsEc2Instance Patch Managerinoltra un risultato a Security Hub CSPM solo se l'operazione ha rilevato che il nodo gestito non è conforme. L'esito include i risultati di riepilogo di patch.

Nota

Dopo aver segnalato un nodo non conforme a Security Hub CSPM. Patch Managernon invia un aggiornamento a Security Hub CSPM dopo che il nodo è stato reso conforme. È possibile risolvere manualmente i risultati in Security Hub CSPM dopo l'applicazione delle patch richieste al nodo gestito.

Per ulteriori informazioni sulla definizione di conformità, consulta Valori dello stato di conformità delle patch. Per ulteriori informazioni in meritoPatchSummary, consulta l'API PatchSummaryReference.AWS Security Hub

Latenza per l'invio degli esiti

Quando viene Patch Manager creato un nuovo risultato, di solito viene inviato al CSPM di Security Hub entro pochi secondi o 2 ore. La velocità dipende dal traffico nella Regione AWS in fase di elaborazione in quel momento.

Riprovare quando Security Hub CSPM non è disponibile

In caso di interruzione del servizio, viene eseguita una AWS Lambda funzione per reinserire i messaggi nella coda principale dopo la ripresa del servizio. Dopo che i messaggi sono nella coda principale, il tentativo è automatico.

Se Security Hub CSPM non è disponibile, Patch Manager riprova a inviare i risultati finché non vengono ricevuti.

Visualizzazione dei risultati in Security Hub CSPM

Questa procedura descrive come visualizzare i risultati in Security Hub CSPM sui nodi gestiti della flotta che non sono conformi alle patch.

Per esaminare i risultati CSPM di Security Hub per la conformità delle patch

  1. Accedi a Console di gestione AWS e apri la AWS Security Hub CSPM console all'indirizzo. https://console.aws.amazon.com/securityhub/

  2. Nel riquadro di navigazione, seleziona Esiti.

  3. Scegli la casella Aggiungi filtri ( The Search icon ).

  4. Nel menu, sotto Filtri, scegli Nome prodotto.

  5. Nella finestra di dialogo che si apre, scegli è nel primo campo e poi inserisci Systems Manager Patch Manager nel secondo campo.

  6. Scegli Applica.

  7. Aggiungi eventuali filtri aggiuntivi che desideri per restringere i risultati.

  8. Nell'elenco degli esiti, scegli il titolo di un esito su cui desideri maggiori informazioni.

    Sul lato destro dello schermo si apre un riquadro con ulteriori dettagli sulla risorsa, sul problema rilevato e sulla soluzione consigliata.

    Importante

    Al momento, Security Hub CSPM riporta il tipo di risorsa di tutti i nodi gestiti come. EC2 Instance Sono inclusi i server locali e le macchine virtuali (VMs) registrati per l'uso con Systems Manager.

Classificazioni di gravità

L'elenco degli esiti di Systems Manager Patch Manager include un report sulla gravità dell'esito. I livelli di gravità includono i seguenti, dal meno grave al più grave:

  • INFORMATIVO: non è stato riscontrato alcun problema.

  • BASSO: il problema non richiede alcuna correzione.

  • MEDIO: il problema va risolto, ma non con urgenza.

  • ALTO: il problema deve essere risolto in via prioritaria.

  • CRITICO: il problema deve essere risolto immediatamente per evitare l'escalation.

La gravità è determinata dal pacchetto non conforme più grave presente su un'istanza. Poiché è possibile disporre di più baseline delle patch con più livelli di gravità, tra tutti i pacchetti non conformi viene segnalata la gravità più elevata. Ad esempio, supponiamo di avere due pacchetti non conformi in cui la gravità del pacchetto A è "Critica" e la gravità del pacchetto B è "Bassa". "Critica" verrà riportata come gravità.

Tieni presente che il campo di gravità è direttamente correlato al campo Compliance di Patch Manager. Si tratta di un campo che è possibile assegnare alle singole patch che corrispondono alla regola. Poiché questo campo Compliance è assegnato a singole patch, non si riflette sul livello di riepilogo delle patch.

Contenuti correlati

Esito tipico di Patch Manager

Patch Managerinvia i risultati al Security Hub CSPM utilizzando il AWS Security Finding Format (ASFF).

Ecco un esempio di un esito tipico di Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Attivazione e configurazione dell'integrazione

Per utilizzare l'Patch Managerintegrazione con Security Hub CSPM, è necessario attivare Security Hub CSPM. Per informazioni su come attivare Security Hub CSPM, vedere Configurazione del CSPM di Security Hub nella Guida per l'utente.AWS Security Hub

La procedura seguente descrive come integrare Patch Manager e Security Hub CSPM quando Security Hub CSPM è già attivo ma Patch Manager l'integrazione è disattivata. È necessario completare questa procedura solo se l'integrazione è stata disattivata manualmente.

Per aggiungere Patch Manager all'integrazione CSPM di Security Hub

  1. Nel pannello di navigazione, scegli Patch Manager.

  2. Seleziona la scheda Impostazioni.

    oppure

    Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli Inizia da una panoramica e quindi scegli la scheda Impostazioni.

  3. Nella sezione Esporta in Security Hub CSPM, a destra dei risultati di conformità delle patch che non vengono esportati in Security Hub, scegli Abilita.

Come interrompere l'invio degli esiti

Per interrompere l'invio dei risultati a Security Hub CSPM, puoi utilizzare la console CSPM di Security Hub o l'API.

Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente AWS Security Hub :