Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Intégration Patch Manager avec AWS Security Hub
AWS Security Hubvous fournit une vue complète de votre état de sécurité dans AWS. Security Hub collecte des données de sécurité provenant de l'ensemble Comptes AWS des Services AWS produits partenaires et pris en charge par des tiers. Avec Security Hub, vous pouvez vérifier votre environnement par rapport aux normes et aux meilleures pratiques de l'industrie de la sécurité. Security Hub vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité hautement prioritaires.
En utilisant l'intégration entre Patch Manager, une fonctionnalité de AWS Systems Manager, et Security Hub, vous pouvez envoyer des informations concernant des nœuds non conformes depuis Patch Manager vers Security Hub. Vous pouvez observer parmi les résultats l'enregistrement d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub peut ensuite inclure ces résultats liés aux correctifs dans son analyse de votre posture de sécurité.
Les informations des rubriques suivantes s'appliquent, quels que soient la méthode ou le type de configuration que vous utilisez pour vos opérations d'application de correctifs :
-
Une politique de correctifs configurée dans Quick Setup
-
Une option de gestion d'hôte configurée dans Quick Setup
-
Une fenêtre de maintenance pour exécuter un correctif
Scanou une tâcheInstall -
Une opération Patch now (Appliquer les correctifs maintenant) à la demande
Table des matières
Comment ? Patch Manager envoie les résultats à Security Hub
Dans Security Hub, les problèmes de sécurité sont suivis en tant que findings. (résultats) Certains résultats proviennent de problèmes détectés par d'autres partenaires Services AWS ou par des partenaires tiers. Security Hub utilise également un ensemble de règles pour détecter les problèmes de sécurité et générer des résultats.
Patch Manager est l'une des fonctionnalités de Systems Manager qui envoie les résultats à Security Hub. Une fois que vous avez effectué une opération de correction en exécutant un SSM document (AWS-RunPatchBaseline,, ouAWS-RunPatchBaselineWithHooks)AWS-RunPatchBaselineAssociation, les informations d'application des correctifs sont envoyées à Inventory ou Compliance, aux fonctionnalités de AWS Systems Manager, ou aux deux. Une fois que l'inventaire, la conformité ou les deux ont reçu les données, Patch Manager reçoit une notification. Ensuite, Patch Manager évalue l'exactitude, le formatage et la conformité des données. Si toutes les conditions sont réunies, Patch Manager transmet les données à Security Hub.
Security Hub fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Pour de plus amples informations, consultez la section Viewing findings (Affichage des résultats) dans le Guide de l'utilisateur AWS Security Hub . Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour de plus amples informations, veuillez consulter Prendre des mesure en fonction des résultats dans le Guide de l'utilisateur AWS Security Hub .
Tous les résultats de Security Hub utilisent un JSON format standard appelé AWS Security Finding Format (ASFF). ASFFCela inclut des détails sur la source du problème, les ressources concernées et l'état actuel de la découverte. Pour plus d'informations, voir AWS Security Finding Format (ASFF) dans le guide de AWS Security Hub l'utilisateur.
Types de résultats qui Patch Manager envoie
Patch Manager envoie les résultats à Security Hub en utilisant le format AWS Security Finding Format (ASFF). DansASFF, le Types champ fournit le type de recherche. Conclusions tirées de Patch Manager ont la valeur suivante pour Types :
-
Vérifications de logiciels et de configuration/Gestion des correctifs
Patch Manager envoie un résultat par nœud géré non conforme. La découverte est signalée avec le type de ressource AwsEc2Instanceafin que les résultats puissent être corrélés avec d'autres intégrations Security Hub qui signalent des types de AwsEc2Instance ressources. Patch Manager ne transmet une constatation à Security Hub que si l'opération a découvert que le nœud géré n'était pas conforme. Le résultat contient les résultats du Résumé des correctifs.
Note
Après avoir signalé un nœud non conforme à Security Hub. Patch Manager n'envoie pas de mise à jour à Security Hub une fois que le nœud est conforme. Vous pouvez résoudre manuellement les résultats dans Security Hub une fois que les correctifs requis ont été appliqués au nœud géré.
Pour plus d'informations sur les définitions de conformité, consultez Valeurs de l'état de conformité des correctifs. Pour plus d'informations surPatchSummary, voir PatchSummaryla AWS Security Hub APIréférence.
Latence pour l'envoi des résultats
Lorsque Patch Manager crée une nouvelle découverte, elle est généralement envoyée à Security Hub dans un délai de quelques secondes à 2 heures. La vitesse dépend du trafic en cours de traitement dans la Région AWS à ce moment-là.
Réessayer lorsque Security Hub n'est pas disponible
En cas de panne de service, une AWS Lambda fonction est exécutée pour remettre les messages dans la file d'attente principale après la réexécution du service. Une fois les messages dans la file d'attente principale, la nouvelle tentative est automatique.
Si Security Hub n'est pas disponible, Patch Manager essaie à nouveau d'envoyer les résultats jusqu'à ce qu'ils soient reçus.
Afficher les résultats dans Security Hub
Cette procédure explique comment consulter les résultats dans Security Hub concernant les nœuds gérés de votre flotte qui ne sont pas conformes aux correctifs.
Pour examiner les résultats de Security Hub en matière de conformité aux correctifs
Connectez-vous à la AWS Security Hub console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/securityhub/
. -
Dans le volet de navigation, choisissez Conclusions.
-
Choisissez la case Ajouter des filtres (
). -
Dans le menu, sous Filtres, choisissez Nom du produit.
-
Dans la boîte de dialogue qui s'ouvre, sélectionnez est dans le premier champ, puis saisissez
Systems Manager Patch Managerdans le deuxième champ. -
Choisissez Appliquer.
-
Ajoutez les filtres supplémentaires que vous souhaitez pour affiner vos résultats.
-
Dans la liste des résultats, choisissez le titre d'un résultat sur lequel vous souhaitez obtenir plus d'informations.
Un volet s'ouvre sur le côté droit de l'écran. Il contient plus de détails sur la ressource, le problème découvert et les solutions recommandées.
Important
À l'heure actuelle, Security Hub indique le type de ressource de tous les nœuds gérés sous la forme
EC2 Instance. Cela inclut les serveurs locaux et les machines virtuelles (VMs) que vous avez enregistrés pour être utilisés avec Systems Manager.
Classifications de sévérité
La liste des résultats de Systems Manager Patch
Manager comprend un rapport sur la sévérité du résultat. Les niveaux de sévérité sont les suivants, du plus faible au plus élevé :
-
INFORMATIONAL— Aucun problème n'a été détecté.
-
LOW— Le problème n'a pas besoin d'être corrigé.
-
MEDIUM— Le problème doit être traité mais il n'est pas urgent.
-
HIGH— Le problème doit être traité en priorité.
-
CRITICAL— Le problème doit être résolu immédiatement pour éviter toute escalade.
La sévérité est déterminée par le package non conforme le plus sévère d'une instance. Comme vous pouvez disposer de plusieurs référentiels de correctifs avec différents niveaux de sévérité, le niveau de sévérité le plus élevé est indiqué parmi tous les packages non conformes. Supposons, par exemple, que vous ayez deux packages non conformes. Le niveau de sévérité du package A est « critique » et celui du package B est « faible ». La sévérité sera signalée comme étant « critique ».
Notez que le champ de gravité est directement en corrélation avec le Patch Manager Compliancechamp. Il s'agit d'un champ que vous attribuez aux correctifs individuels qui correspondent à la règle. Ce champ Compliance étant affecté à des correctifs individuels, il n'est pas reflété au niveau du résumé des correctifs.
Contenu connexe
-
Résultats du Guide de l'utilisateur AWS Security Hub
-
Conformité des correctifs multicomptes avec Patch Manager et Security Hub
dans le blog AWS de gestion et de gouvernance
Constatation typique tirée de Patch Manager
Patch Manager envoie les résultats à Security Hub à l'aide du format AWS Security Finding (ASFF).
Voici un exemple de résultat typique tiré de Patch Manager.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2021-11-11T22:05:25Z", "UpdatedAt": "2021-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-2", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-2" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-0c10e65780EXAMPLE", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2021-11-11T22:05:06Z", "OperationEndTime": "2021-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }
Activation et configuration de l'intégration
Pour utiliser le plugin Patch Manager lors de l'intégration avec Security Hub, vous devez activer Security Hub. Pour obtenir des informations sur l'activation de Security Hub, consultez Configuration de Security Hub dans le Guide de l'utilisateur AWS Security Hub .
La procédure suivante décrit comment intégrer Patch Manager et Security Hub lorsque Security Hub est déjà actif mais Patch Manager l'intégration est désactivée. Cette procédure doit être effectuée uniquement si l'intégration a été désactivée manuellement.
Pour ajouter Patch Manager à l'intégration de Security Hub
Dans le volet de navigation, choisissez Patch Manager.
-
Sélectionnez l'onglet Settings.
-ou-
Si vous accédez Patch Manager pour la première fois dans le moment Région AWS, choisissez Commencer par un aperçu, puis cliquez sur l'onglet Paramètres.
-
Dans la section Exporter vers Security Hub, à droite de la case Les résultats de conformité des correctifs ne sont pas exportés vers Security Hub, sélectionnez Activer.
Comment arrêter l'envoi des résultats
Pour arrêter d'envoyer des résultats à Security Hub, vous pouvez utiliser la console Security Hub ou leAPI.
Pour plus d'informations, consultez les rubriques suivantes dans le AWS Security Hub Guide de l'utilisateur :
