如何Patch Manager將問題清單傳送至 Security Hub CSPM 來自 Patch Manager 的一般問題清單開啟與設定整合如何停止傳送問題清單

將 AWS Security Hub CSPM 與 Patch Manager 整合

AWS Security Hub CSPM 為您提供安全狀態的完整檢視 AWS。Security Hub CSPM 會從跨 AWS 帳戶 AWS 服務和支援的第三方合作夥伴產品收集安全資料。使用 Security Hub CSPM，您可以根據安全產業標準和最佳實務檢查您的環境。Security Hub CSPM 可協助您分析安全趨勢，並識別最高優先順序的安全問題。

透過使用 Patch Manager中的工具 AWS Systems Manager和 Security Hub CSPM 之間的整合，您可以將有關不合規節點的問題清單從 Patch Manager 傳送至 Security Hub CSPM。問題清單是安全檢查或安全性相關偵測的可觀察記錄。然後，Security Hub CSPM 可以在分析您的安全狀態時包含這些修補程式相關的調查結果。

無論您使用哪種方法或組態類型進行修補操作，下列主題中的資訊都適用：

在 Quick Setup 中設定的修補程式政策
在 Quick Setup 中設定的主機管理選項
用來執行修補程式 Scan 或 Install 任務的維護時段
隨需 Patch now (立即修補) 操作

內容

如何Patch Manager將問題清單傳送至 Security Hub CSPM

在 Security Hub CSPM 中，安全問題會追蹤為問題清單。有些問題清單來自其他 AWS 服務或第三方合作夥伴偵測到的問題。Security Hub CSPM 也有一組規則，可用來偵測安全問題並產生問題清單。

Patch Manager 是將問題清單傳送到 Security Hub CSPM 的 Systems Manager 工具之一。在您執行 SSM 文件 (AWS-RunPatchBaseline、或 AWS-RunPatchBaselineWithHooks) 執行修補操作之後AWS-RunPatchBaselineAssociation，修補資訊會傳送至庫存或合規、中的工具 AWS Systems Manager，或兩者。在「庫存」、「合規」或兩者都收到資料之後，Patch Manager 會收到通知。然後，Patch Manager 在準確性、格式和合規方面對資料進行評估。如果符合所有條件，會將資料Patch Manager轉送至 Security Hub CSPM。

Security Hub CSPM 提供工具來管理所有這些來源的調查結果。您可以檢視並篩選問題清單列表，並檢視問題清單的詳細資訊。如需詳細資訊，請參閱《AWS Security Hub 使用者指南》中的檢視問題清單。您也可以追蹤問題清單的調查狀態。如需詳細資訊，請參閱《AWS Security Hub 使用者指南》中的針對問題清單採取動作。

Security Hub CSPM 中的所有問題清單都使用稱為 AWS 安全問題清單格式 (ASFF) 的標準 JSON 格式。ASFF 包含問題來源、受影響的資源以及問題清單目前狀態的詳細資訊。請參閱《AWS Security Hub 使用者指南》中的 AWS 安全問題清單格式 (ASFF)。

Patch Manager 傳送的問題清單類型

Patch Manager 會使用安全調查結果AWS 格式 (ASFF) 將調查結果傳送至 Security Hub CSPM。在 ASFF 中，Types 欄位提供問題清單類型。來自 Patch Manager 的問題清單可以具有以下 Types 值：

軟體和組態檢查/修補程式管理

Patch Manager 會針對每個不合規受管節點傳送一份問題清單。問題清單會以資源類型回報，AwsEc2Instance以便問題清單可以與其他報告AwsEc2Instance資源類型的 Security Hub CSPM 整合建立關聯。只有在操作發現受管節點不合規時， Patch Manager才會將問題清單轉送至 Security Hub CSPM。問題清單包括「修補程式摘要」結果。

注意

向 Security Hub CSPM 報告不合規節點之後。在節點合規之後， Patch Manager 不會將更新傳送至 Security Hub CSPM。在將所需的修補程式套用至受管節點之後，您可以手動解析 Security Hub CSPM 中的問題清單。

如需合規定義的詳細資訊，請參閱修補程式合規狀態值。如需有關 PatchSummary 的詳細資訊，請參閱《AWS Security Hub API 參考》中的 PatchSummary。

傳送問題清單延遲

當 Patch Manager建立新的問題清單時，通常會在幾秒鐘到 2 小時內傳送至 Security Hub CSPM。速度取決於該時間點 AWS 區域中處理的流量。

無法使用 Security Hub CSPM 時重試

如果發生服務中斷，則會執行 AWS Lambda 函數，以在服務再次執行後將訊息放回主佇列。訊息位於主要佇列之後，會自動重試。

如果 Security Hub CSPM 無法使用， Patch Manager 會重試傳送問題清單，直到收到問題清單為止。

在 Security Hub CSPM 中檢視問題清單

此程序說明如何在 Security Hub CSPM 中檢視有關機群中不符合修補程式合規之受管節點的問題清單。

檢閱 Security Hub CSPM 調查結果是否符合修補程式合規

登入 AWS 管理主控台並開啟位於 https：//https://console.aws.amazon.com/securityhub/ 的 AWS Security Hub CSPM 主控台。
在導覽窗格中，選擇調查結果。
選擇新增篩選條件 ( ) 方塊。
在選單中的篩選條件下，選擇產品名稱。
在開啟的對話方塊中，在第一個欄位中選擇是，然後在第二個欄位中輸入 Systems Manager Patch Manager。
選擇套用。
新增任何您想要用於縮小搜尋結果範圍的其他篩選條件。
在結果清單中，選擇您想要獲取詳細資訊的調查結果的標題。

畫面右側會開啟一個窗格，其中會顯示有關資源、發現的問題以及建議的修復方法的詳細資訊。

重要
目前，Security Hub CSPM 會將所有受管節點的資源類型報告為 EC2 Instance。這包含您已登記為與 Systems Manager 搭配使用的內部部署伺服器和虛擬機器 (VM)。

嚴重性分類

Systems Manager Patch Manager 的調查結果清單包含調查結果嚴重性的報告。嚴重性分下列等級 (程度從最低到最高)：

資訊性 – 未發現任何問題。
低 – 此問題不需要修復。
中 – 此問題必須解決，但不緊急。
高 – 此問題必須優先處理。
嚴重 – 此問題必須立即修正以免加重。

嚴重性是由執行個體上不合規程度最嚴重的套件所決定。由於您可以擁有多個具有不同嚴重性等級的修補基準，因此會報告所有不合規的套件中最高的嚴重性。例如，假設您有兩個不合規的套件，其中套件 A 的嚴重性為「嚴重」，而套件 B 的嚴重性為「低」。則報告的嚴重性將為「嚴重」。

請注意，嚴重性欄位與 Patch Manager Compliance 欄位直接相關。這是您設定並指派給符合規則的個別修補程式的欄位。由於此 Compliance 欄位是指派給個別修補程式，因此它不會反映在「修補程式摘要」層級。

相關內容

《AWS Security Hub 使用者指南》中的調查結果一節
AWS 管理與治理部落格中的使用 Patch Manager 和 Security Hub 實現多帳戶修補程式合規

來自 Patch Manager 的一般問題清單

Patch Manager 使用安全調查結果AWS 格式 (ASFF) 將調查結果傳送至 Security Hub CSPM。

這是來自 Patch Manager 的一般問題清單範例。


{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

開啟與設定整合

若要使用與 Security Hub CSPM 的Patch Manager整合，您必須開啟 Security Hub CSPM。如需有關如何開啟 Security Hub CSPM 的資訊，請參閱AWS Security Hub 《使用者指南》中的設定 Security Hub CSPM。

下列程序說明如何在 Security Hub CSPM 已處於作用中狀態但Patch Manager整合已關閉時整合 Patch Manager和 Security Hub CSPM。只有在手動關閉整合時，您才需要完成此處理程序。

將 Patch Manager新增至 Security Hub CSPM 整合

在導覽窗格中，選擇 Patch Manager。
選擇 Settings (設定) 標籤。

-或-

如果您是第一次在目前 AWS 區域存取 Patch Manager，請選擇從概觀開始，然後選擇設定索引標籤。
在匯出至 Security Hub CSPM 區段下，修補程式合規調查結果右側的不會匯出至 Security Hub，請選擇啟用。

如何停止傳送問題清單

若要停止將問題清單傳送至 Security Hub CSPM，您可以使用 Security Hub CSPM 主控台或 API。

如需詳細資訊，請參閱《AWS Security Hub 使用者指南》中的以下主題：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

建立和管理修補程式群組

透過AWS CLI使用 Patch Manager 資源

將 AWS Security Hub CSPM​ 與 Patch Manager​ 整合

內容