Identifizieren von nicht konformen verwalteten Knoten - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identifizieren von nicht konformen verwalteten Knoten

Out-of-compliance verwaltete Knoten werden identifiziert, wenn eines von zwei AWS Systems Manager Dokumenten (SSM-Dokumente) ausgeführt wird. Diese SSM-Dokumente verweisen auf die entsprechende Patch-Baseline für jeden verwalteten Knoten in Patch Manager, ein Tool in AWS Systems Manager. Anschließend werten sie den Patch-Zustand des verwalteten Knoten aus und stellen Ihnen dann Compliance-Ergebnisse zur Verfügung.

Es gibt zwei SSM-Dokumente, die verwendet werden, um nicht konforme verwaltete Knoten zu identifizieren oder zu aktualisieren: AWS-RunPatchBaseline und AWS-RunPatchBaselineAssociation. Jedes wird von verschiedenen Prozessen verwendet, und ihre Compliance-Ergebnisse sind über verschiedene Kanäle verfügbar. In der folgenden Tabelle werden die Unterschiede zwischen diesen Dokumenten aufgeführt.

Anmerkung

Patchen Sie Compliance-Daten von Patch Manager können gesendet werden an AWS Security Hub. Mit dem Security Hub erhalten Sie einen umfassenden Überblick über Ihre Sicherheitswarnungen und den Compliance-Status mit hoher Priorität. Er überwacht auch den Patching-Status Ihrer Flotte. Weitere Informationen finden Sie unter Integration Patch Manager mit AWS Security Hub.

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
Prozesse, die das Dokument verwenden

On-Demand-Patchen – Sie können verwaltete Knoten bei Bedarf scannen oder patchen, indem Sie die Option Patch now (Jetzt patchen) verwenden. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten.

Systems Manager Quick Setup Patch-Richtlinien — Sie können eine Patching-Konfiguration in erstellen Quick Setup, ein Tool in AWS Systems Manager, das nach separaten Zeitplänen für eine gesamte Organisation, eine Teilmenge von Organisationseinheiten oder eine einzelne Organisation nach fehlenden Patches suchen oder diese installieren kann. AWS-Konto Weitere Informationen finden Sie unter Konfigurieren Sie das Patching für Instanzen in einer Organisation mit Quick Setup.

Einen Befehl ausführen — Sie können einen Vorgang manuell ausführen AWS-RunPatchBaseline in Run Command, ein Tool in AWS Systems Manager. Weitere Informationen finden Sie unter Ausführen von Befehlen über die Konsole.

Wartungsfenster — Sie können ein Wartungsfenster erstellen, das das SSM-Dokument AWS-RunPatchBaseline in einem Run Command Aufgabentyp. Weitere Informationen finden Sie unter Tutorial: Erstellen Sie ein Wartungsfenster zum Patchen über die Konsole.

Systems Manager Quick Setup Host-Verwaltung — Sie können eine Host-Management-Konfigurationsoption in aktivieren Quick Setup um Ihre verwalteten Instanzen täglich auf Patch-Konformität zu überprüfen. Weitere Informationen finden Sie unter Richten Sie die EC2 Amazon-Hostverwaltung ein mit Quick Setup.

Systems Manager Explorer— Wenn Sie es zulassen Explorer, ein Tool in AWS Systems Manager, das Ihre verwalteten Instanzen regelmäßig auf Patch-Konformität überprüft und die Ergebnisse in der Explorer Dashboard.

Format der Patch-Scan-Ergebnisdaten

Nach den AWS-RunPatchBaseline Läufen Patch Manager sendet ein AWS:PatchSummary Objekt an das Inventar, ein Tool in AWS Systems Manager.

Nach den AWS-RunPatchBaselineAssociation Läufen Patch Manager sendet ein AWS:ComplianceItem Objekt an Systems Manager Inventory.

So zeigen Sie aktuelle Compliance-Berichte in der Konsole an

Sie können Patch-Compliance-Informationen für Prozesse anzeigen, die AWS-RunPatchBaseline in Systems Manager Compliance und Arbeiten mit verwalteten Knoten verwenden. Weitere Informationen finden Sie unter Anzeigen der Patch-Compliance-Ergebnisse.

Wenn Sie verwenden Quick Setup Um Ihre verwalteten Instanzen auf Patch-Konformität zu überprüfen, können Sie den Compliance-Bericht in Systems Manager einsehen Fleet Manager. In der Fleet Manager Wählen Sie in der Konsole die Knoten-ID Ihres verwalteten Knotens aus. Wählen Sie im Menü Allgemein die Option Konfigurationskonformität aus.

Wenn Sie verwenden Explorer Um Ihre verwalteten Instanzen auf Patch-Konformität zu überprüfen, können Sie den Compliance-Bericht in beiden Versionen einsehen Explorer und Systems Manager OpsCenter.

AWS CLI Befehle zum Anzeigen der Patch-Konformitätsergebnisse

Für Prozesse, die dies verwendenAWS-RunPatchBaseline, können Sie die folgenden AWS CLI Befehle verwenden, um zusammenfassende Informationen zu Patches auf einem verwalteten Knoten anzuzeigen.

Für Prozesse, die dies verwendenAWS-RunPatchBaselineAssociation, können Sie den folgenden AWS CLI Befehl verwenden, um zusammenfassende Informationen zu Patches auf einer Instanz anzuzeigen.

Patch-Operationen

Für Prozesse, die AWS-RunPatchBaseline verwenden, geben Sie an, ob der Vorgang nur eine Scan-Operation oder eine Scan and install-Operation ausführen soll.

Wenn Ihr Ziel darin besteht, nicht konforme verwaltete Knoten zu identifizieren und nicht zu beheben, führen Sie nur eine Scan-Operation durch.

Quick Setup and Explorer Prozesse, die nur einen Scan Vorgang verwendenAWS-RunPatchBaselineAssociation, ausführen.
Weitere Informationen

SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaseline

SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaselineAssociation

Informationen zu den verschiedenen Patch-Compliance-Status, die möglicherweise gemeldet werden, finden Sie unter Statuswerte der Patch-Compliance

Informationen zur Behebung verwalteter Knoten, die die Patch-Compliance nicht erfüllen, finden Sie unter Patchen nicht konformer verwalteter Knoten.