Identificación de nodos administrados no conformes - AWS Systems Manager

Identificación de nodos administrados no conformes

Los nodos administrados que no están en conformidad se identifican en el momento en que se ejecuta cualquiera de los dos documentos de AWS Systems Manager (documentos de SSM). Estos documentos de SSM hacen referencia a la línea de base de revisiones adecuada para cada nodo administrado en Patch Manager, una capacidad de AWS Systems Manager. A continuación, se evalúa el estado de la revisión del nodo administrado y se ponen a disposición los resultados de conformidad.

Hay dos documentos de SSM que se utilizan para identificar o actualizar los nodos administrados no conformes: AWS-RunPatchBaseline y AWS-RunPatchBaselineAssociation. Cada una de ellas se utiliza en diferentes procesos, y sus resultados de conformidad se encuentran disponibles en distintos canales. En la siguiente tabla se exponen las diferencias entre estos documentos.

nota

Se pueden enviar los datos de conformidad de revisiones de Patch Manager a AWS Security Hub. Security Hub ofrece una visión completa de las alertas de seguridad de alta prioridad y el estado de conformidad. También monitorea el estado de aplicación de revisiones de la flota. Para obtener más información, consulte Integración de Patch Manager con AWS Security Hub.

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
Procesos que utilizan el documento

Revisión bajo demanda: puede analizar o aplicar revisiones a nodos administrados bajo demanda mediante la opción Patch now (Aplicar revisión ahora). Para obtener más información, consulte Aplicación de revisiones a nodos administrados bajo demanda.

Las políticas de revisiones de Systems ManagerQuick Setup – Puede crear una configuración de revisiones en Quick Setup, una capacidad de AWS Systems Manager, que pueda buscar o instalar las revisiones que faltan según cronogramas separados para toda una organización, un subconjunto de unidades organizativas o una sola Cuenta de AWS. Para obtener más información, consulte Configurar las revisiones para las instancias de una organización.

Ejecución de un comando: puede ejecutar AWS-RunPatchBaseline manualmente en una operación en Run Command, una capacidad de AWS Systems Manager. Para obtener más información, consulte Ejecución de comandos desde la consola.

Periodo de mantenimiento: puede crear un periodo de mantenimiento que utilice el documento de SSM AWS-RunPatchBaseline en un tipo de tarea de Run Command. Para obtener más información, consulte Explicación: creación de una ventana de mantenimiento para la aplicación de revisiones (consola).

Administración de host de Quick Setup de Systems Manager: puede habilitar una opción de configuración de administración de host en Quick Setup para analizar diariamente sus instancias administradas con el fin de comprobar la conformidad de las revisiones. Para obtener más información, consulte Instalar la administración de host de Amazon EC2.

Systems Manager Explorer: cuando permite Explorer, una capacidad de AWS Systems Manager, esta analiza periódicamente sus instancias administradas con el fin de comprobar la conformidad con las revisiones e informa los resultados en el panel de Explorer.
Formato de los datos de los resultados obtenidos en el análisis de revisiones

Una vez que se ejecuta AWS-RunPatchBaseline, Patch Manager envía un objeto AWS:PatchSummary a Inventory, una capacidad de AWS Systems Manager.

Una vez que se ejecuta AWS-RunPatchBaselineAssociation, Patch Manager envía un objeto AWS:ComplianceItem a Systems Manager Inventory.
Visualización de informes de conformidad de revisiones en la consola

Puede visualizar la información de conformidad de las revisiones para los procesos que utilizan AWS-RunPatchBaseline en Conformidad de configuración de Systems Manager y Trabajo con nodos administrados. Para obtener más información, consulte Visualización de resultados de conformidad de revisiones.

Si utiliza Quick Setup para analizar sus instancias administradas para comprobar la conformidad con las revisiones, podrá consultar el informe de conformidad en Systems Manager State Manager, al que se puede acceder mediante un botón View results (Ver resultados) en Quick Setup.

Si utiliza Explorer para analizar sus instancias administradas para comprobar la conformidad con las revisiones, podrá consultar el informe de conformidad tanto en Explorer como en Systems Manager OpsCenter.
Comandos de la AWS CLI para visualizar los resultados de conformidad de revisiones

Para los procesos que utilizan AWS-RunPatchBaseline, puede usar los siguientes comandos de la AWS CLI para obtener información de resumen acerca de las revisiones en un nodo administrado.

Para los procesos que utilizan AWS-RunPatchBaselineAssociation, puede usar el siguiente comando de la AWS CLI para obtener información de resumen acerca de las revisiones en una instancia.
Operaciones de aplicación de revisiones

Para los procesos que utilizan AWS-RunPatchBaseline, se especifica si se desea que la operación ejecute únicamente una operación Scan o una operación Scan and install.

Si el objetivo es identificar los nodos administrados no conformes en lugar de corregirlos, ejecute únicamente una operación Scan.

 Los procesos Quick Setup y Explorer, que utilizan AWS-RunPatchBaselineAssociation, ejecutan únicamente una operación Scan.
Más información

Acerca del documento AWS-RunPatchBaseline de SSM

Acerca del documento AWS-RunPatchBaselineAssociation de SSM

Para obtener información acerca de los distintos estados de conformidad de las revisiones que se podrían notificar, consulte Conocimiento de los valores del estado de conformidad de parches

Para obtener información acerca de cómo corregir los nodos administrados que no están en conformidad con las revisiones, consulte Revisiones en nodos administrados que no están en conformidad.