Integration von Patch Manager in AWS Security Hub CSPM - AWS Systems Manager
Wie Patch Manager sendet man Ergebnisse an Security Hub CSPMTypische Erkenntnis von Patch ManagerAktivieren und Konfigurieren der IntegrationSo beenden Sie das Senden von Ergebnissen

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration von Patch Manager in AWS Security Hub CSPM

AWS Security Hub CSPMbietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in. AWS Security Hub CSPM sammelt Sicherheitsdaten von allen AWS-Konten und unterstützten Produkten von Drittanbietern. AWS-Services Mit Security Hub CSPM können Sie Ihre Umgebung anhand von Branchenstandards und Best Practices überprüfen. Security Hub CSPM hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.

Mithilfe der Integration zwischenPatch Manager, einem Tool in AWS Systems Manager und Security Hub CSPM können Sie Erkenntnisse über nicht konforme Knoten von Patch Manager an Security Hub CSPM senden. Ein Ergebnis ist der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub CSPM kann diese patch-bezogenen Ergebnisse dann in die Analyse Ihres Sicherheitsstatus einbeziehen.

Die Informationen in den folgenden Themen gelten unabhängig davon, welche Methode oder Art der Konfiguration Sie für Ihre Patching-Vorgänge verwenden:

  • Eine in Quick Setup konfigurierte Patch-Richtlinie

  • Eine in Quick Setup konfigurierte Host-Management-Option

  • Ein Wartungsfenster zum Ausführen eines Patch-Scan oder einer Install-Aufgabe

  • Ein On-Demand-Jetzt patchen-Vorgang

Wie Patch Manager sendet man Ergebnisse an Security Hub CSPM

In Security Hub CSPM werden Sicherheitsprobleme als Ergebnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS-Services oder von Drittanbietern entdeckt wurden. Security Hub CSPM verfügt außerdem über eine Reihe von Regeln, anhand derer Sicherheitsprobleme erkannt und Ergebnisse generiert werden.

Patch Managerist eines der Systems Manager Manager-Tools, das Ergebnisse an Security Hub CSPM sendet. Nachdem Sie einen Patchvorgang durchgeführt haben, indem Sie ein SSM-Dokument (AWS-RunPatchBaseline,, oderAWS-RunPatchBaselineWithHooks) ausführenAWS-RunPatchBaselineAssociation, werden die Patching-Informationen an Inventory oder Compliance, Tools in oder an beide gesendet. AWS Systems Manager Nachdem Inventory, Compliance oder beide die Daten erhalten haben, erhält Patch Manager eine Benachrichtigung. Dann wertet Patch Manager die Daten auf Genauigkeit, Formatierung und Compliance aus. Wenn alle Bedingungen erfüllt sind, werden die Daten an Security Hub CSPM Patch Manager weitergeleitet.

Security Hub CSPM bietet Tools zur Verwaltung von Ergebnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub -Benutzerhandbuch. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub -Benutzerhandbuch.

Alle Ergebnisse in Security Hub CSPM verwenden ein standardmäßiges JSON-Format, das AWS Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen finden Sie unter AWS -Security Finding-Format (ASFF) im AWS Security Hub -Benutzerhandbuch.

Arten von Erkenntnissen, die Patch Manager sendet

Patch Managersendet die Ergebnisse mithilfe des Security Finding Formats (ASFF) an AWS Security Hub CSPM. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Die Ergebnisse von Patch Manager können den folgenden Wert für Types haben:

  • Software- und Konfigurationsmanagement Checks/Patch

Patch Manager sendet ein Ergebnis pro nicht konformen verwalteten Knoten. Das Ergebnis wird mit dem Ressourcentyp gemeldet, AwsEc2Instancesodass die Ergebnisse mit anderen Security Hub CSPM-Integrationen, die Ressourcentypen melden, korreliert werden können. AwsEc2Instance Patch Managerleitet ein Ergebnis nur dann an Security Hub CSPM weiter, wenn bei dem Vorgang festgestellt wurde, dass der verwaltete Knoten nicht konform ist. Das Ergebnis enthält die Ergebnisse der Patch-Zusammenfassung.

Anmerkung

Nach der Meldung eines nicht konformen Knotens an Security Hub CSPM. Patch Managersendet kein Update an Security Hub CSPM, nachdem der Knoten konform gemacht wurde. Sie können die Ergebnisse in Security Hub CSPM manuell beheben, nachdem die erforderlichen Patches auf den verwalteten Knoten angewendet wurden.

Weitere Informationen zu Compliance-Definitionen finden Sie unter Statuswerte der Patch-Compliance. Weitere Informationen zu PatchSummary finden Sie PatchSummaryin der AWS Security Hub API-Referenz.

Latenz für das Senden von Erkenntnissen

Wenn ein neues Ergebnis Patch Manager erstellt wird, wird es normalerweise innerhalb weniger Sekunden bis 2 Stunden an Security Hub CSPM gesendet. Die Geschwindigkeit hängt vom Verkehr zu diesem Zeitpunkt in der AWS-Region verarbeiteten Verkehr ab.

Wiederholter Versuch, wenn Security Hub CSPM nicht verfügbar ist

Bei einem Dienstausfall wird eine AWS Lambda Funktion ausgeführt, mit der die Nachrichten wieder in die Hauptwarteschlange verschoben werden, nachdem der Dienst wieder ausgeführt wurde. Nachdem sich die Nachrichten in der Hauptwarteschlange befinden, erfolgt die Wiederholung automatisch.

Wenn Security Hub CSPM nicht verfügbar ist, Patch Manager versucht es erneut, die Ergebnisse zu senden, bis sie empfangen werden.

Ergebnisse in Security Hub CSPM anzeigen

In diesem Verfahren wird beschrieben, wie Sie in Security Hub CSPM Ergebnisse zu verwalteten Knoten in Ihrer Flotte einsehen können, die nicht mehr patch-konform sind.

Um die CSPM-Ergebnisse von Security Hub auf Patch-Konformität zu überprüfen

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Security Hub CSPM Konsole unter. https://console.aws.amazon.com/securityhub/

  2. Wählen Sie im Navigationsbereich Findings aus.

  3. Wählen Sie das Feld Filter hinzufügen ( The Search icon ).

  4. Wählen Sie im Menü unter Filter die Option Produktname aus.

  5. Wählen Sie in dem sich öffnenden Dialogfeld im ersten Feld die Option ist und geben Sie dann Systems Manager Patch Manager im zweiten Feld ein.

  6. Wählen Sie Anwenden aus.

  7. Fügen Sie weitere Filter hinzu, um Ihre Ergebnisse einzugrenzen.

  8. Wählen Sie in der Ergebnisliste den Titel eines Erkenntnisses aus, zu dem Sie weitere Informationen wünschen.

    Auf der rechten Seite des Bildschirms wird ein Bereich mit weiteren Informationen zur Ressource, dem erkannten Problem und einer empfohlenen Lösung geöffnet.

    Wichtig

    Derzeit meldet Security Hub CSPM den Ressourcentyp aller verwalteten Knoten als. EC2 Instance Dazu gehören lokale Server und virtuelle Maschinen (VMs), die Sie für die Verwendung mit Systems Manager registriert haben.

Schweregradklassifizierungen

Die Liste der Erkenntnisse für Systems Manager Patch Manager enthält einen Bericht über den Schweregrad des Befundes. Zu den Schweregraden gehören die folgenden, vom niedrigsten zum höchsten:

  • INFORMATIV – Es wurde kein Problem gefunden.

  • NIEDRIG — Das Problem muss nicht behoben werden.

  • MITTEL – Das Problem muss angegangen werden, aber ist nicht dringend.

  • HOCH – Das Problem muss vorrangig behandelt werden.

  • KRITISCH – Das Problem muss sofort behoben werden, um eine Eskalation zu vermeiden.

Der Schweregrad wird durch das schwerwiegendste nicht konforme Paket auf einer Instance bestimmt. Da Sie mehrere Patch-Baselines mit verschiedenen Schweregraden haben können, wird der höchste Schweregrad von allen nicht konformen Paketen gemeldet. Nehmen wir zum Beispiel an, Sie haben zwei nicht konforme Pakete, wobei der Schweregrad von Paket A „Kritisch“ und der von Paket B „Gering“ ist. „Kritisch“ wird als Schweregrad angegeben werden.

Beachten Sie, dass das Schweregradfeld direkt mit dem Feld Patch Manager Compliance korreliert. Dies ist ein Feld, das Sie einzelnen Patches zuweisen, die der Regel entsprechen. Da dieses Compliance-Feld einzelnen Patches zugewiesen ist, wird es nicht auf der Ebene der Patch-Zusammenfassung wiedergegeben.

Verwandter Inhalt

Typische Erkenntnis von Patch Manager

Patch Managersendet Ergebnisse mithilfe des Security Finding Formats (ASFF) an AWS Security Hub CSPM.

Hier ist ein Beispiel für ein typisches Ergebnis von Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Aktivieren und Konfigurieren der Integration

Um die Patch Manager Integration mit Security Hub CSPM zu verwenden, müssen Sie Security Hub CSPM aktivieren. Informationen zum Aktivieren von Security Hub CSPM finden Sie unter Security Hub CSPM einrichten im Benutzerhandbuch.AWS Security Hub

Das folgende Verfahren beschreibt, wie Security Hub CSPM integriert Patch Manager wird, wenn Security Hub CSPM bereits aktiv, aber die Patch Manager Integration ausgeschaltet ist. Sie müssen diesen Vorgang nur abschließen, wenn die Integration manuell deaktiviert wurde.

Um die CSPM-Integration Patch Manager zur Security Hub hinzuzufügen

  1. Wählen Sie im Navigationsbereich Patch Manager aus.

  2. Wählen Sie die Registerkarte Einstellungen.

    –oder–

    Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie Mit einer Übersicht beginnen und dann die Registerkarte Einstellungen aus.

  3. Wählen Sie im Abschnitt Export to Security Hub CSPM rechts neben Die Ergebnisse der Patch-Konformität werden nicht nach Security Hub exportiert die Option Aktivieren aus.

So beenden Sie das Senden von Ergebnissen

Um das Senden von Ergebnissen an Security Hub CSPM zu beenden, können Sie entweder die Security Hub CSPM-Konsole oder die API verwenden.

Weitere Informationen finden Sie in folgenden Themen im AWS Security Hub -Benutzerhandbuch: