Identifizieren von nicht konformen verwalteten Knoten - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identifizieren von nicht konformen verwalteten Knoten

Out-of-compliance -verwaltete Knoten werden identifiziert, wenn eines von zwei AWS Systems Manager Dokumenten (SSM-Dokumente) ausgeführt wird. Diese SSM-Dokumente verweisen auf die entsprechende Patch-Baseline für jeden verwalteten Knoten in Patch Manager, einer Funktion von AWS Systems Manager. Anschließend werten sie den Patch-Zustand des verwalteten Knoten aus und stellen Ihnen dann Compliance-Ergebnisse zur Verfügung.

Es gibt zwei SSM-Dokumente, die verwendet werden, um nicht konforme verwaltete Knoten zu identifizieren oder zu aktualisieren: AWS-RunPatchBaseline und AWS-RunPatchBaselineAssociation. Jedes wird von verschiedenen Prozessen verwendet, und ihre Compliance-Ergebnisse sind über verschiedene Kanäle verfügbar. In der folgenden Tabelle werden die Unterschiede zwischen diesen Dokumenten aufgeführt.

Anmerkung

Patch-Compliance-Daten von Patch Manager können an AWS Security Hub gesendet werden. Mit dem Security Hub erhalten Sie einen umfassenden Überblick über Ihre Sicherheitswarnungen und den Compliance-Status mit hoher Priorität. Er überwacht auch den Patching-Status Ihrer Flotte. Weitere Informationen finden Sie unter Integrieren Patch Manager mit AWS Security Hub.

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
Prozesse, die das Dokument verwenden

On-Demand-Patchen – Sie können verwaltete Knoten bei Bedarf scannen oder patchen, indem Sie die Option Patch now (Jetzt patchen) verwenden. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten.

Quick Setup-Patch-Richtlinien von Systems Manager – Sie können eine Patching-Konfiguration in Quick Setup, einer Funktion von AWS Systems Manager, erstellen, die fehlende Patches in separaten Zeitplänen für eine gesamte Organisation, eine Teilmenge von Organisationseinheiten oder ein einzelnes AWS-Konto scannen oder installieren kann. Weitere Informationen finden Sie unter Patching für Instanzen in einer Organisation konfigurieren.

Einen Befehl ausführen – Sie können AWS-RunPatchBaseline manuell in einer Operation in Run Command, einer Funktion von AWS Systems Manager, ausführen. Weitere Informationen finden Sie unter Ausführen von Befehlen über die Konsole.

Wartungsfenster – Sie können ein Wartungsfenster erstellen, das das SSM-Dokument AWS-RunPatchBaseline in einem Run Command-Aufgabentyp verwendet. Weitere Informationen finden Sie unter Walkthrough: Erstellen eines Wartungsfensters für das Einspielen von Patches (Konsole).

Quick Setup-Host-Verwaltung für Systems Manager – Sie können eine Host-Management-Konfigurationsoption in Quick Setup aktivieren, um Ihre verwalteten Instances täglich auf Patch-Compliance zu scannen. Weitere Informationen finden Sie unter Amazon EC2 EC2-Hostmanagement einrichten.

Systems Manager Explorer – Wenn Sie Explorer, eine Funktion von AWS Systems Manager, aktiviert, überprüft es Ihre verwalteten Instances regelmäßig auf Patch-Compliance und meldet Ergebnisse im Explorer-Dashboard.
Format der Patch-Scan-Ergebnisdaten

Nach der Ausführung von AWS-RunPatchBaseline sendet Patch Manager ein AWS:PatchSummary-Objekt an Inventory, eine Funktion von AWS Systems Manager.

Nach der Ausführung von AWS-RunPatchBaselineAssociation sendet Patch Manager ein AWS:ComplianceItem-Objekt an Systems Manager Inventory.
So zeigen Sie aktuelle Compliance-Berichte in der Konsole an

Sie können Patch-Compliance-Informationen für Prozesse anzeigen, die AWS-RunPatchBaseline in Systems Manager Compliance und Mit verwalteten Knoten arbeiten verwenden. Weitere Informationen finden Sie unter Anzeigen der Patch-Compliance-Ergebnisse.

Wenn Sie Quick Setup verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht unter Systems Manager State Manager, auf das Sie über die Schaltfläche Ergebnisse anzeigen in Quick Setup zugreifen.

Wenn Sie Explorer verwenden, um Ihre verwalteten Instances auf Patch-Compliance zu überprüfen, finden Sie den Compliance-Bericht sowohl unter Explorer als auch unter Systems Manager OpsCenter.
AWS CLI-Befehle zum Anzeigen von Patch-Compliance-Ergebnissen

Für Prozesse, die AWS-RunPatchBaseline verwenden, können Sie die folgenden AWS CLI-Befehle verwenden, um zusammenfassende Informationen zu Patches auf einem verwalteten Knoten anzuzeigen.

Für Prozesse, die AWS-RunPatchBaselineAssociation verwenden, können Sie den folgenden AWS CLI-Befehl verwenden, um zusammenfassende Informationen zu Patches auf einer Instance anzuzeigen.
Patch-Operationen

Für Prozesse, die AWS-RunPatchBaseline verwenden, geben Sie an, ob der Vorgang nur eine Scan-Operation oder eine Scan and install-Operation ausführen soll.

Wenn Ihr Ziel darin besteht, nicht konforme verwaltete Knoten zu identifizieren und nicht zu beheben, führen Sie nur eine Scan-Operation durch.

 Quick Setup- und Explorer-Prozesse, die AWS-RunPatchBaselineAssociation verwenden, führen nur eine Scan-Operation aus.
Weitere Informationen

Informationen über das AWS-RunPatchBaseline SSM-Dokument

Informationen über das AWS-RunPatchBaselineAssociation SSM-Dokument

Informationen zu den verschiedenen Patch-Compliance-Status, die möglicherweise gemeldet werden, finden Sie unter Grundlegendes zu Patch-Compliance-Statuswerten

Informationen zur Behebung verwalteter Knoten, die die Patch-Compliance nicht erfüllen, finden Sie unter Patchen nicht konformer verwalteter Knoten.