Integración de Patch Manager con AWS Security Hub CSPM - AWS Systems Manager
Cómo Patch Manager envía resultados al CSPM de Security HubResultado típico de Patch ManagerActivación y configuración de la integraciónCómo dejar de enviar resultados

AWS Systems Manager Change Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte Cambio en la disponibilidad de Change Manager de AWS Systems Manager.

Integración de Patch Manager con AWS Security Hub CSPM

AWS Security Hub CSPM proporciona una visión completa de su estado de seguridad en AWS. Security Hub CSPM recopila datos de seguridad de todas las Cuentas de AWS, los Servicios de AWS y los productos de socios terceros compatibles. Security Hub CSPM le permite comprobar su entorno con los estándares y las prácticas recomendadas del sector de la seguridad. Security Hub CSPM lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.

Gracias a la integración entre Patch Manager, una herramienta de AWS Systems Manager, y Security Hub CSPM, puede enviar los resultados sobre los nodos no conformes de Patch Manager a Security Hub CSPM. Un resultado consiste en el registro observable de una comprobación de seguridad o de una detección relacionada con la seguridad. Después, Security Hub CSPM puede incluir esos resultados relacionados con revisiones en su análisis sobre la posición de seguridad.

La información en los siguientes temas se aplica independientemente del método o el tipo de configuración que utilice para las operaciones de aplicación de revisiones:

  • Una política de revisiones configurada en Quick Setup

  • Una opción de administración de host configurada en Quick Setup

  • Una ventana de mantenimiento para ejecutar una revisión Scan o una tarea Install

  • Una operación Patch Now (Aplicar revisión ahora) bajo demanda

Cómo Patch Manager envía resultados al CSPM de Security Hub

En el CSPM de Security Hub, se realiza seguimiento de los problemas de seguridad como resultados. Algunos resultados provienen de problemas detectados por otros Servicios de AWS o por socios terceros. El CSPM de Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.

Patch Manager es una de las herramientas de Systems Manager que envía los resultados a Security Hub CSPM. Después de llevar a cabo una operación de aplicación de revisiones mediante la ejecución de un documento de SSM (AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation o AWS-RunPatchBaselineWithHooks), la información de revisión se envía a Inventario o Cumplimiento, herramientas de AWS Systems Manager, o ambas. Después de que Inventory, Compliance o ambos hayan recibido los datos, Patch Manager recibe una notificación. A continuación, Patch Manager evalúa los datos para comprobar la precisión, el formato y la conformidad. Si se cumplen todas las condiciones, Patch Manager reenvía los datos a Security Hub CSPM.

El CSPM de Security Hub proporciona herramientas para administrar resultados procedentes de todos estos orígenes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Para obtener más información, consulte Visualización de resultados en la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener más información, consulte Adopción de medidas en función de los resultados en la Guía del usuario de AWS Security Hub.

Todos los resultados en Security Hub CSPM usan un formato JSON estándar llamado Formato AWS Security Finding (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub.

Tipos de resultados que envía Patch Manager

Patch Manager envía los resultados a Security Hub CSPM mediante AWS Security Finding Format (ASFF). En ASFF, el campo Types proporciona el tipo de resultado. Los resultados de Patch Manager tienen el siguiente valor para Types:

  • Verificaciones de software y configuración/Administración de revisiones

Patch Manager envía una búsqueda por nodo administrado no conforme. El resultado se notifica con el tipo de recurso de AwsEc2Instance para que los resultados puedan relacionarse con otras integraciones de Security Hub CSPM que notifican tipos de recursos de AwsEc2Instance. Patch Manager solo envía un resultado a Security Hub CSPM si la operación detectó que el nodo administrado no era conforme. El resultado incluye los datos del resumen de revisiones.

nota

Tras informar de un nodo no conforme a Security Hub CSPM, Patch Manager no envía una actualización a Security Hub CSPM cuando el nodo cumple con las normas. Puede resolver manualmente los resultados en Security Hub CSPM una vez que se hayan aplicado las revisiones necesarias al nodo administrado.

Para obtener más información acerca de las definiciones de conformidad, consulte Valores de estado de conformidad de las revisiones. Para obtener más información acerca de PatchSummary, consulte PatchSummary en la Referencia de la API de AWS Security Hub.

Latencia para el envío de resultados

Cuando Patch Manager crea un nuevo resultado, por lo general, se envía a Security Hub CSPM en un plazo de entre unos pocos segundos y 2 horas. La velocidad varía en función del tráfico de la Región de AWS que se esté procesando en ese momento.

Reintento cuando Security Hub CSPM no está disponible

Si hay una interrupción del servicio, se ejecuta una función de AWS Lambda para devolver los mensajes a la cola principal una vez que el servicio vuelve a funcionar. Una vez que los mensajes se encuentran en la cola principal, la acción de reintentar es automática.

Si Security Hub CSPM no está disponible, Patch Manager reintenta enviar los resultados hasta que se reciban.

Visualización de resultados de en el CSPM de Security Hub

Este procedimiento describe cómo ver en Security Hub CSPM los resultados sobre los nodos administrados de su flota no conformes con las revisiones.

Revision de los resultados de Security Hub CSPM con el objetivo de comprobar el cumplimiento de las revisiones

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Security Hub CSPM en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, seleccione Findings (Resultados).

  3. Seleccione la casilla Agregar filtros ( The Search icon ).

  4. En el menú, en Filtros, seleccione Nombre del producto.

  5. En el cuadro de diálogo que se abre, elija es en el primer campo y, a continuación, introduzca Systems Manager Patch Manager en el segundo campo.

  6. Seleccione Aplicar.

  7. Agregue los filtros adicionales que desee para reducir los resultados.

  8. En la lista de resultados, elija el título de un resultado sobre el que desee obtener más información.

    Se abre un panel en la parte derecha de la pantalla con más detalles sobre el recurso, el problema descubierto y una solución recomendada.

    importante

    En este momento, Security Hub CSPM informa que el tipo de recurso de todos los nodos administrados es EC2 Instance. Esto incluye servidores en las instalaciones y las máquinas virtuales (VM) que haya registrado para utilizarlas con Systems Manager.

Clasificaciones de gravedad

La lista de resultados para Systems Manager Patch Manager, incluye un informe sobre la gravedad del resultado. Los niveles de gravedad incluyen los siguientes, de el más bajo al más alto:

  • INFORMATIVO: no se encontró ningún problema.

  • BAJO: el problema no requiere solución.

  • MEDIO: el problema debe abordarse, pero no es urgente.

  • ALTO: el problema debe abordarse con prioridad.

  • CRÍTICO: el problema debe solucionarse de inmediato para evitar una escalada.

La gravedad se determina según el paquete de incumplimiento más severo de una instancia. Como puede tener varios líneas de base de revisiones con varios niveles de gravedad, se indica el nivel de severidad más alto de todos los paquetes no conformes. Por ejemplo, supongamos que tiene dos paquetes no conformes en los que la gravedad del paquete A es “crítica” y la del paquete B es “baja”. La gravedad se indicará como “crítica”.

Tenga en cuenta que el campo de gravedad se correlaciona directamente con el campo Patch Manager Compliance. Se trata de un campo que puede configurar para asignar a las revisiones individuales que coincidan con la regla. Como este campo Compliance está asignado a revisiones individuales, no se refleja en el nivel de resumen de revisiones.

Contenido relacionado

Resultado típico de Patch Manager

Patch Manager envía los resultados a Security Hub CSPM mediante AWS Security Finding Format (ASFF).

Aquí hay un ejemplo de un hallazgo típico de Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Activación y configuración de la integración

Para utilizar la integración de Patch Manager a Security Hub CSPM, debe activar Security Hub CSPM. Para obtener información acerca de cómo activar Security Hub CSPM, consulte la Configuración de Security Hub CSPM en la Guía del usuario de AWS Security Hub.

En el siguiente procedimiento, se describe cómo integrar Patch Manager y Security Hub CSPM cuando Security Hub CSPM ya está activo pero la integración de Patch Manager se encuentra desactivada. Solo es necesario completar este procedimiento si la integración se desactivó de forma manual.

Para agregar Patch Manager a la integración de Security Hub CSPM

  1. En el panel de navegación, elija Patch Manager.

  2. Elija la pestaña Settings.

    -o bien-

    Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione Comience por la información general, y luego la pestaña Configuración.

  3. En la sección Export to Security Hub CSPM (Exportar a Security Hub CSPM), situada a la derecha de Los resultados de conformidad de revisiones no se exportan a Security Hub CSPM, elija Activar.

Cómo dejar de enviar resultados

Para dejar de enviar resultados a Security Hub CSPM, puede utilizar la consola de Security Hub CSPM o la API.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS Security Hub: