Generazione di report sulla conformità delle patch csv - AWS Systems Manager
Cosa c'è in un report sulla conformità delle patch generato?Generazione di report sulla conformità delle patch per un singolo nodoGenerazione di report sulla conformità delle patch per tutti i nodi gestitiVisualizzazione della cronologia dei rapporti sulla conformità delle patchVisualizzazione delle pianificazioni di report sulla conformità delle patchRisoluzione dei problemi relativi alla generazione del report sulla conformità delle patch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Generazione di report sulla conformità delle patch csv

Puoi utilizzare la AWS Systems Manager console per generare report di conformità delle patch che vengono salvati come file.csv in un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare un singolo report su richiesta o specificare una pianificazione per la generazione automatica dei report.

I report possono essere generati per un singolo nodo gestito o per tutti i nodi gestiti nell'area selezionata. Account AWS Regione AWS Per un singolo nodo, un report contiene dettagli completi, incluse le patch relative alla non conformità IDs di un nodo. Per un report su tutti i nodi gestiti, vengono fornite solo le informazioni di riepilogo e i conteggi delle patch dei nodi non conformi.

Dopo aver generato un report, puoi utilizzare uno strumento come Amazon QuickSight per importare e analizzare i dati. Amazon QuickSight è un servizio di business intelligence (BI) che puoi utilizzare per esplorare e interpretare le informazioni in un ambiente visivo interattivo. Per ulteriori informazioni, consulta la Amazon QuickSight User Guide.

Nota

Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical o High. Se lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

Puoi anche specificare un argomento Amazon Simple Notification Service (AmazonSNS) da utilizzare per l'invio di notifiche quando viene generato un report.

Ruoli del servizio per la generazione di report sulla conformità delle patch

La prima volta che generi un report, Systems Manager crea un ruolo di automazione denominato AWS-SystemsManager-PatchSummaryExportRole da utilizzare per il processo di esportazione a S3.

Nota

Se stai esportando dati di conformità in un bucket S3 crittografato, devi aggiornare la politica delle AWS KMS chiavi associata per fornire le autorizzazioni necessarie per. AWS-SystemsManager-PatchSummaryExportRole Ad esempio, aggiungi un'autorizzazione simile a questa alla politica del tuo bucket S3: AWS KMS 

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}

Replace (Sostituisci) role-arn con l'Amazon Resource Name (ARN) del file creato nel tuo account, nel formatoarn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

La prima volta che si genera un rapporto in base a una pianificazione, Systems Manager crea un altro ruolo di servizio denominatoAWS-EventBridge-Start-SSMAutomationRole, insieme al ruolo di servizio AWS-SystemsManager-PatchSummaryExportRole (se non è già stato creato) da utilizzare per il processo di esportazione. AWS-EventBridge-Start-SSMAutomationRoleconsente EventBridge ad Amazon di avviare un'automazione utilizzando il runbook AWS- ExportPatchReportTo S3.

Si consiglia di non tentare di modificare questi criteri e ruoli. In questo modo, la generazione del report sulla conformità delle patch potrebbe non riuscire. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch.

Cosa c'è in un report sulla conformità delle patch generato?

In questo argomento vengono fornite informazioni sui tipi di contenuto inclusi nei report di conformità delle patch generati e scaricati in un bucket S3 specificato.

Un report generato per un singolo nodo gestito fornisce informazioni di riepilogo e dettagliate.

Scaricare un report di esempio (singolo nodo)

Le informazioni di riepilogo per un singolo nodo gestito includono quanto segue:

  • Indice

  • ID istanza

  • Instance name (Nome dell'istanza)

  • IP istanza

  • Nome piattaforma

  • Versione della piattaforma

  • SSM Agent version

  • Base di patch

  • Gruppo di patch

  • Compliance status (Stato di conformità)

  • Gravità di conformità

  • Conteggio delle patch di gravità critica non conforme

  • Conteggio delle patch a gravità elevata non conforme

  • Conteggio delle patch di gravità media non conforme

  • Conteggio delle patch a bassa gravità non conforme

  • Conteggio delle patch di gravità delle informazioni non conforme

  • Conteggio delle patch di gravità non conforme non specificato

Le informazioni dettagliate per un singolo nodo gestito includono quanto segue:

  • Indice

  • ID istanza

  • Instance name (Nome dell'istanza)

  • Nome patch

  • ID KB /ID patch

  • Stato della patch

  • Ora dell'ultimo report

  • Livelli di conformità

  • Gravità della patch

  • Classificazione di patch

  • CVEID

  • Base di patch

  • Registri URL

  • IP istanza

  • Nome piattaforma

  • Versione della piattaforma

  • SSM Agent version

Nota

Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical o High. Se lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

Un report generato per tutti i nodi gestiti fornisce solo informazioni di riepilogo.

Scarica un report di esempio (tutti i nodi gestiti)

Le informazioni di riepilogo per tutti i nodi gestiti includono:

  • Indice

  • ID istanza

  • Instance name (Nome dell'istanza)

  • IP istanza

  • Nome piattaforma

  • Versione della piattaforma

  • SSM Agent version

  • Base di patch

  • Gruppo di patch

  • Compliance status (Stato di conformità)

  • Gravità di conformità

  • Conteggio delle patch di gravità critica non conforme

  • Conteggio delle patch a gravità elevata non conforme

  • Conteggio delle patch di gravità media non conforme

  • Conteggio delle patch a bassa gravità non conforme

  • Conteggio delle patch di gravità delle informazioni non conforme

  • Conteggio delle patch di gravità non conforme non specificato

Generazione di report sulla conformità delle patch per un singolo nodo

Utilizzare la procedura seguente per generare un report di riepilogo delle patch per un singolo nodo nel tuo Account AWS. Il rapporto per un singolo nodo gestito fornisce dettagli su ogni patch non conforme, inclusi i nomi delle patch eIDs.

Per generare report sulla conformità delle patch per un singolo nodo gestito

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Scegli il pulsante relativo alla riga del nodo gestito per il quale generare un report e quindi fai clic su Visualizza i dettagli.

  5. Sulla sezione Pagina di riepilogo patch, scegli Esporta in S3.

  6. Per Nome del report, immetti un nome per semplificare l'identificazione del report in un secondo momento.

  7. Per Frequenza di report, scegli una delle opzioni seguenti:

    • On demand - Consente di creare un report una tantum. Passare alla fase 9.

    • In un programma - Specifica una pianificazione ricorrente per la generazione automatica dei report. Continua alla fase 8.

  8. Per Tipo di pianificazione, specifica un'espressione di frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.

    Per informazioni sulle espressioni cron, consulta Riferimento: espressioni Cron e Rate per Systems Manager.

  9. Per Nome bucket, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.

    Importante

    Se lavori in un Regione AWS bucket lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta Abilitazione di una regione in nella Riferimenti generali di Amazon Web Services.

  10. (Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione dell'SNSargomento, quindi scegli un SNS argomento Amazon esistente dall'SNSargomento Amazon Resource Name (ARN).

  11. Scegli Invia.

Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta Visualizzazione della cronologia dei rapporti sulla conformità delle patch.

Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta Visualizzazione delle pianificazioni di report sulla conformità delle patch.

Generazione di report sulla conformità delle patch per tutti i nodi gestiti

Utilizza la procedura seguente per generare un report di riepilogo delle patch per tutti i nodi gestiti in Account AWS. Il report per tutti i nodi gestiti indica quali nodi non sono conformi e il numero di patch non conformi. Non fornisce i nomi o altri identificatori delle patch. Per questi dettagli aggiuntivi, è possibile generare un report sulla conformità delle patch per un singolo nodo gestito. Per ulteriori informazioni, consulta la sezione Generazione di report sulla conformità delle patch per un singolo nodo riportata in precedenza in questo argomento.

Per generare report sulla conformità delle patch per tutti i nodi gestiti

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Scegli Esportazione in S3. (Non selezionare prima un ID nodo.)

  5. Per Nome del report, immetti un nome per semplificare l'identificazione del report in un secondo momento.

  6. Per Frequenza di report, scegli una delle opzioni seguenti:

    • On demand - Consente di creare un report una tantum. Passare alla fase 8.

    • In un programma - Specifica una pianificazione ricorrente per la generazione automatica dei report. Continuare con la fase 7.

  7. Per Tipo di pianificazione, specifica un'espressione di frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.

    Per informazioni sulle espressioni cron, consulta Riferimento: espressioni Cron e Rate per Systems Manager.

  8. Per Nome bucket, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.

    Importante

    Se lavori in un Regione AWS bucket lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta Abilitazione di una regione in nella Riferimenti generali di Amazon Web Services.

  9. (Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione dell'SNSargomento, quindi scegli un SNS argomento Amazon esistente dall'SNSargomento Amazon Resource Name (ARN).

  10. Scegli Invia.

Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta Visualizzazione della cronologia dei rapporti sulla conformità delle patch.

Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta Visualizzazione delle pianificazioni di report sulla conformità delle patch.

Visualizzazione della cronologia dei rapporti sulla conformità delle patch

Utilizza le informazioni contenute in questo argomento per visualizzare i dettagli sui report di conformità delle patch generati nel tuo Account AWS.

Visualizzazione della cronologia dei rapporti sulla conformità delle patch

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Scegliere Visualizza tutte le esportazioni di S3 e quindi selezionare la scheda Cronologia dell'esportazione.

Visualizzazione delle pianificazioni di report sulla conformità delle patch

Utilizza le informazioni contenute in questo argomento per visualizzare i dettagli sulle pianificazioni di segnalazione della conformità delle patch create nel tuo Account AWS.

Visualizzazione della cronologia dei rapporti sulla conformità delle patch

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Seleziona la scheda Report di conformità.

  4. Sceglie Visualizza tutte le esportazioni di S3 e quindi selezionare la casella Regole di report pianificati.

Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch

Utilizza le seguenti informazioni per aiutarti a risolvere i problemi relativi alla generazione dei report di conformità delle patch in Patch Manager, una capacità di. AWS Systems Manager

Un messaggio segnala che la policy AWS-SystemsManager-PatchManagerExportRolePolicy è danneggiata

Problema: viene visualizzato un messaggio di errore simile al seguente, indicando che AWS-SystemsManager-PatchManagerExportRolePolicy è danneggiato:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.

  • Soluzione: utilizzare Patch Manager console o AWS CLI per eliminare i ruoli e le politiche interessati prima di generare un nuovo rapporto di conformità delle patch.

    Per eliminare la policy danneggiata utilizzando la console

    1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

    2. Esegui una di queste operazioni:

      Report on demand - Se il problema si è verificato durante la generazione di un report su richiesta una tantum, nella navigazione a sinistra selezionare Policy, cercare AWS-SystemsManager-PatchManagerExportRolePolicy, quindi eliminare la policy. Quindi, selezionare Ruoli, cercare AWS-SystemsManager-PatchSummaryExportRole ed eliminare il ruolo.

      Report pianificati - Se il problema si è verificato durante la generazione di un report in base a una pianificazione, nella navigazione a sinistra seleziona Policy, cerca uno alla volta per AWS-EventBridge-Start-SSMAutomationRolePolicy e AWS-SystemsManager-PatchManagerExportRolePolicy ed elimina ogni policy. Quindi, selezionare Ruoli, cerca uno alla volta per AWS-EventBridge-Start-SSMAutomationRole e AWS-SystemsManager-PatchSummaryExportRole ed eliminare ogni ruolo.

    Per eliminare la politica danneggiata, utilizzare il AWS CLI

    Sostituire il placeholder values con l'ID del tuo account.

    • Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Dopo aver completato una delle due procedure, segui i passaggi per generare o pianificare un nuovo report sulla conformità delle patch.

Dopo aver eliminato i ruoli o i criteri di conformità delle patch, i report pianificati non vengono generati correttamente

Problema: la prima volta che si genera un report, Systems Manager crea un ruolo di servizio e una policy da utilizzare per il processo di esportazione (AWS-SystemsManager-PatchSummaryExportRole e AWS-SystemsManager-PatchManagerExportRolePolicy). La prima volta che si genera un report in base a una pianificazione, Systems Manager crea un altro ruolo di servizio e una policy (AWS-EventBridge-Start-SSMAutomationRole e AWS-EventBridge-Start-SSMAutomationRolePolicy). Questi consentono EventBridge ad Amazon di avviare un'automazione utilizzando il runbook AWS- ExportPatchReportTo S3.

Se elimini una di queste politiche o ruoli, le connessioni tra la tua pianificazione e il bucket S3 specificato e l'SNSargomento Amazon potrebbero andare perse.

  • Soluzione: per risolvere questo problema, si consiglia di eliminare la pianificazione precedente e di creare una nuova pianificazione per sostituire quella che si verificava problemi.