Intégration d'Patch Manager à AWS Security Hub - AWS Systems Manager
Comment Patch Manager envoie des résultats à Security HubRésultats types de Patch ManagerActivation et configuration de l'intégrationComment arrêter l'envoi des résultats

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration d'Patch Manager à AWS Security Hub

AWS Security Hub vous propose une vue complète de votre état de sécurité dans AWS. Security Hub collecte des données de sécurité entre les Comptes AWS, les Services AWS et les produits de partenaires tiers pris en charge. Avec Security Hub, vous pouvez vérifier votre environnement par rapport aux normes et aux meilleures pratiques de l'industrie de la sécurité. Security Hub vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité hautement prioritaires.

En utilisant l’intégration entre Patch Manager, un outil d’AWS Systems Manager, et Security Hub, vous pouvez envoyer les résultats concernant les nœuds non conformes depuis Patch Manager à Security Hub. Vous pouvez observer parmi les résultats l'enregistrement d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub peut ensuite inclure ces résultats liés aux correctifs dans son analyse de votre posture de sécurité.

Les informations des rubriques suivantes s'appliquent, quels que soient la méthode ou le type de configuration que vous utilisez pour vos opérations d'application de correctifs :

  • Une politique de correctifs configurée dans Quick Setup

  • Une option de gestion des hôtes configurée dans Quick Setup

  • Une fenêtre de maintenance pour exécuter un correctif Scan ou une tâche Install

  • Une opération Patch now (Appliquer les correctifs maintenant) à la demande

Comment Patch Manager envoie des résultats à Security Hub

Dans Security Hub, les problèmes de sécurité sont suivis en tant que findings. (résultats) Certains résultats proviennent de problèmes qui sont détectés par d'autres Services AWS ou par des partenaires tiers. Security Hub utilise également un ensemble de règles pour détecter les problèmes de sécurité et générer des résultats.

Patch Manager est un des outils de Systems Manager qui envoie les résultats à Security Hub. Après que vous avez effectué une opération de correction en exécutant un document SSM (AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation ou AWS-RunPatchBaselineWithHooks), les informations de correction sont envoyées à Inventory ou à Compliance, des outils d’AWS Systems Manager, ou aux deux. Après qu'Inventory, Compliance, ou les deux, ont reçu les données, Patch Manager reçoit une notification. Ensuite, Patch Manager évalue l'exactitude, le formatage et la conformité des données. Si toutes les conditions sont remplies, Patch Manager transmet les données à Security Hub.

Security Hub fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Pour de plus amples informations, consultez la section Viewing findings (Affichage des résultats) dans le Guide de l'utilisateur AWS Security Hub. Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour de plus amples informations, veuillez consulter Prendre des mesure en fonction des résultats dans le Guide de l'utilisateur AWS Security Hub.

Tous les résultats dans Security Hub utilisent un format JSON standard appelé AWS Security Finding Format (ASFF). Le format ASFF comprend des informations sur la source du problème, les ressources affectées et le statut actuel du résultat. Pour de plus amples informations, veuillez consulter AWS Security Finding Format (ASFF) dans le Guide de l'utilisateur AWS Security Hub.

Types de résultats que Patch Manager envoie

Patch Manager envoie les résultats à Security Hub dans le format AWS Security Finding Format (ASFF). Dans le format ASFF, le champ Types fournit le type de résultat. Les résultats de Patch Manager peuvent avoir la valeur suivante pour Types :

  • Vérifications de logiciels et de configuration/Gestion des correctifs

Patch Manager envoie un résultat par nœud géré non conforme. Le résultat est signalé avec le type de ressource AwsEc2Instance pour pouvoir le mettre ne corrélation avec d'autres intégrations Security Hub qui signalent des types de ressources AwsEc2Instance. Patch Manager ne transmet un résultat à Security Hub que si l'opération a découvert que le nœud géré n'était pas conforme. Le résultat contient les résultats du Résumé des correctifs.

Note

Après avoir signalé un nœud non conforme à Security Hub. Patch Manager n’envoie pas de mise à jour à Security Hub après la mise en conformité du nœud. Vous pouvez résoudre manuellement les résultats dans Security Hub après que les correctifs requis ont été appliqués au nœud géré.

Pour plus d'informations sur les définitions de conformité, consultez Valeurs de l’état de conformité des correctifs. Pour de plus amples informations sur PatchSummary, veuillez consulter PatchSummary dans la Référence des API AWS Security Hub.

Latence pour l'envoi des résultats

Quand Patch Manager crée un résultat, ce dernier est généralement envoyé à Security Hub dans un délai de quelques secondes à 2 heures. La vitesse dépend du trafic en cours de traitement dans la Région AWS à ce moment-là.

Réessayer lorsque Security Hub n'est pas disponible

En cas de panne de service, une fonction AWS Lambda est exécutée pour remettre les messages dans la file d'attente principale lorsque l'exécution du service reprend. Une fois les messages dans la file d'attente principale, la nouvelle tentative est automatique.

Si Security Hub n'est pas disponible, Patch Manager essaie de renvoyer les résultats jusqu'à ce qu'ils soient reçus.

Afficher les résultats dans Security Hub

Cette procédure explique comment consulter les résultats dans Security Hub concernant les nœuds gérés de votre flotte qui ne sont pas conformes aux correctifs.

Pour examiner les résultats de Security Hub en matière de conformité aux correctifs

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le volet de navigation, choisissez Conclusions.

  3. Choisissez la case Ajouter des filtres ( The Search icon ).

  4. Dans le menu, sous Filtres, choisissez Nom du produit.

  5. Dans la boîte de dialogue qui s'ouvre, sélectionnez est dans le premier champ, puis saisissez Systems Manager Patch Manager dans le deuxième champ.

  6. Choisissez Appliquer.

  7. Ajoutez les filtres supplémentaires que vous souhaitez pour affiner vos résultats.

  8. Dans la liste des résultats, choisissez le titre d'un résultat sur lequel vous souhaitez obtenir plus d'informations.

    Un volet s'ouvre sur le côté droit de l'écran. Il contient plus de détails sur la ressource, le problème découvert et les solutions recommandées.

    Important

    À l'heure actuelle, Security Hub indique le type de ressource de tous les nœuds gérés sous la forme EC2 Instance. Cela inclut les serveurs sur site et les machines virtuelles (VM) que vous avez enregistrés pour une utilisation avec Systems Manager.

Classifications de sévérité

La liste des résultats de Systems Manager Patch Manager comprend un rapport sur la sévérité du résultat. Les niveaux de sévérité sont les suivants, du plus faible au plus élevé :

  • INFORMATIF : aucun problème n'a été détecté.

  • FAIBLE : le problème ne nécessite aucune correction.

  • MOYEN : le problème doit être traité, mais n'est pas urgent.

  • ÉLEVÉ : le problème doit être traité en priorité.

  • CRITIQUE : le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.

La sévérité est déterminée par le package non conforme le plus sévère d'une instance. Comme vous pouvez disposer de plusieurs référentiels de correctifs avec différents niveaux de sévérité, le niveau de sévérité le plus élevé est indiqué parmi tous les packages non conformes. Supposons, par exemple, que vous ayez deux packages non conformes. Le niveau de sévérité du package A est « critique » et celui du package B est « faible ». La sévérité sera signalée comme étant « critique ».

Veuillez noter que le champ de sévérité est directement corrélé au champ Compliance de Patch Manager. Il s'agit d'un champ que vous attribuez aux correctifs individuels qui correspondent à la règle. Ce champ Compliance étant affecté à des correctifs individuels, il n'est pas reflété au niveau du résumé des correctifs.

Contenu connexe

Résultats types de Patch Manager

Patch Manager envoie les résultats à Security Hub dans le format AWS Security Finding Format (ASFF).

Voici un exemple de résultat type de Patch Manager.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

Activation et configuration de l'intégration

Pour utiliser l'intégration de Patch Manager à Security Hub, vous devez activer Security Hub. Pour obtenir des informations sur l'activation de Security Hub, veuillez consulter Configuration de Security Hub dans le Guide de l'utilisateur AWS Security Hub.

La procédure suivante décrit l'intégration de Patch Manager et Security Hub lorsque Security Hub est déjà actif mais que l'intégration de Patch Manager est désactivée. Cette procédure doit être effectuée uniquement si l'intégration a été désactivée manuellement.

Pour ajouter l'intégration de Patch Manager et Security Hub

  1. Dans le panneau de navigation, sélectionnez Patch Manager.

  2. Sélectionnez l'onglet Settings.

    -ou-

    Si vous accédez à Patch Manager pour la première fois dans la Région AWS actuelle, choisissez Commencer par une présentation, puis sélectionnez l'onglet Paramètres.

  3. Dans la section Exporter vers Security Hub, à droite de la case Les résultats de conformité des correctifs ne sont pas exportés vers Security Hub, sélectionnez Activer.

Comment arrêter l'envoi des résultats

Pour arrêter l'envoi des résultats à Security Hub, vous pouvez utiliser la console Security Hub ou l'API.

Pour plus d'informations, consultez les rubriques suivantes dans le AWS Security HubGuide de l'utilisateur :