Identificazione di nodi gestiti non conformi - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identificazione di nodi gestiti non conformi

Out-of-compliance i nodi gestiti vengono identificati quando uno dei due AWS Systems Manager documenti (documenti SSM) viene eseguito. Questi documenti SSM fanno riferimento alla patch di base appropriata per ogni nodo gestito in Patch Manager, uno strumento in. AWS Systems Manager Essi valutano quindi lo stato della patch del nodo gestito e quindi rendono disponibili i risultati di conformità.

Esistono due documenti SSM utilizzati per identificare o aggiornare nodi gestiti non conformi: AWS-RunPatchBaseline e AWS-RunPatchBaselineAssociation. Ognuno di essi è utilizzato da processi diversi e i risultati di conformità sono disponibili attraverso diversi canali. La tabella seguente illustra le differenze tra questi documenti.

Nota

Aggiorna i dati di conformità da Patch Manager può essere inviato a AWS Security Hub. Security Hub offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione di patch del parco istanze. Per ulteriori informazioni, consulta Integrazione Patch Manager con AWS Security Hub.

AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation
Processi che utilizzano il documento

Patch on demand - È possibile eseguire la scansione o applicare patch sui nodi gestiti su richiesta utilizzando l'opzione Applica patch ora. Per informazioni, consultare Patching dei nodi gestiti on demand.

Systems Manager Quick Setup politiche di patch: è possibile creare una configurazione di applicazione delle patch in Quick Setup, uno strumento in AWS Systems Manager grado di ricercare o installare le patch mancanti in base a pianificazioni separate per un'intera organizzazione, un sottoinsieme di unità organizzative o una singola. Account AWS Per informazioni, consultare Configurare l'applicazione di patch per le istanze in un'organizzazione utilizzando Quick Setup.

Esecuzione di un comando: è possibile eseguire manualmente un'operazione AWS-RunPatchBaseline in Run Command, uno strumento in AWS Systems Manager. Per informazioni, consultare Esecuzione di comandi dalla console.

Finestra di manutenzione: è possibile creare una finestra di manutenzione che utilizza il documento SSM AWS-RunPatchBaseline in un Run Command tipo di attività. Per informazioni, consultare Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console.

Systems Manager Quick Setup Gestione dell'host: è possibile abilitare un'opzione di configurazione della gestione degli host in Quick Setup per scansionare ogni giorno le istanze gestite per verificare la conformità delle patch. Per informazioni, consultare Configura la gestione EC2 dell'host Amazon utilizzando Quick Setup.

Systems Manager Explorer— Quando lo consentite Explorer, uno strumento che analizza regolarmente le istanze gestite per verificare la conformità delle patch e riporta i risultati AWS Systems ManagerExplorer dashboard.

Formato dei dati dei risultati della scansione delle patch

Dopo le AWS-RunPatchBaseline corse, Patch Manager invia un AWS:PatchSummary oggetto a Inventory, uno strumento in AWS Systems Manager.

Dopo le AWS-RunPatchBaselineAssociation corse, Patch Manager invia un AWS:ComplianceItem oggetto a Systems Manager Inventory.

Visualizzazione di report di conformità delle patch nella console

È possibile visualizzare le informazioni sulla conformità delle patch per i processi che utilizzano AWS-RunPatchBaseline in Conformità della configurazione di Systems Manager e Utilizzo dei nodi gestiti. Per ulteriori informazioni, consulta Visualizzazione dei risultati di conformità delle patch.

Se si utilizza Quick Setup per eseguire la scansione delle istanze gestite per verificare la conformità delle patch, è possibile visualizzare il rapporto di conformità in Systems Manager Fleet Manager. Nel Fleet Manager console, scegli l'ID del nodo gestito. Nel menu Generale, scegli Conformità alla configurazione.

Se si utilizza Explorer per scansionare le istanze gestite per verificare la conformità delle patch, puoi visualizzare il rapporto di conformità in entrambe Explorer e Systems Manager OpsCenter.

AWS CLI comandi per la visualizzazione dei risultati di conformità delle patch

Per i processi che utilizzanoAWS-RunPatchBaseline, è possibile utilizzare i seguenti AWS CLI comandi per visualizzare informazioni di riepilogo sulle patch su un nodo gestito.

Per i processi che utilizzanoAWS-RunPatchBaselineAssociation, è possibile utilizzare il AWS CLI comando seguente per visualizzare informazioni di riepilogo sulle patch su un'istanza.

Informazioni sull'applicazione di patch

Per i processi che utilizzano AWS-RunPatchBaseline, si specifica se si desidera che l'operazione esegua solo un'operazione Scan o un'operazione Scan and install.

Se il tuo obiettivo è identificare i nodi gestiti non conformi e non correggerli, esegui solo un'operazione Scan.

Quick Setup e Explorer i processi, che utilizzanoAWS-RunPatchBaselineAssociation, eseguono solo un'Scanoperazione.
Ulteriori informazioni

Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline

Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaselineAssociation

Per informazioni sui vari stati di conformità delle patch che potrebbero essere riportati, consulta Valori dello stato di conformità delle patch

Per informazioni sulla correzione dei nodi gestiti che non rispettano la conformità delle patch, consulta Applicazione di patch a nodi gestiti non conformi.