Patch Managerと AWS Security Hub の統合 - AWS Systems Manager

Patch Managerと AWS Security Hub の統合

AWS Security Hub は、AWS のセキュリティ状態の包括的なビューを提供します。Security Hub は、 AWS アカウント 、AWS のサービス、およびサポートされているサードパーティーパートナー製品全体からセキュリティデータを収集します。Security Hub により、セキュリティ業界の標準とベストプラクティスに照らしてお使いの環境をチェックできます。Security Hub を使用すると、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定できます。

AWS Systems Manager の一機能である Patch Manager とSecurity Hub の統合を利用して、Patch Manager から Security Hub に検出結果を送信できます。検出結果は、セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコードです。Security Hub では、このような検出結果をセキュリティポスチャの分析に含めることができます。

Patch Manager から Security Hub に検出結果を送信する方法

Security Hub では、セキュリティの問題が調査結果として追跡されます。結果の中には、他の AWS のサービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、調査結果を生成するために使用する一連のルールもあります。

Patch Manager は、Security Hub に検出結果を送信する Systems Manager 機能の 1 つです。SSM ドキュメント (AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation またはAWS-RunPatchBaselineWithHooks ) を実行してパッチ適用オペレーションを実行すると、AWS Systems Manager の機能であるインベントリまたは Compliance、またはその両方にパッチ適用情報が送信されます。インベントリ、Compliance、またはその両方がデータを受け取ると、Patch Manager が通知を受信します。次に、Patch Manager はデータの精度、書式設定、およびコンプライアンスを評価します。すべての条件が満たされた場合、Patch Manager はデータを Security Hub に転送します。

Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。

Security Hub のすべての検出結果で、AWS Security Finding Format (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。詳細については、AWS Security Hub ユーザーガイドAWS Security Finding Format (ASFF)を参照してください。

Patch Manager が送信する検出結果の種類

Patch Manager は、AWS Security Finding Format (ASFF) を使用して結果を Security Hub に送信します。ASFF では、Types フィールドが検出結果タイプを提供します。Patch Manager の検出結果には、Types に対する次の値があります。

  • ソフトウェアおよび設定のチェック/パッチ管理

Patch Manager は、非準拠マネージドノードごとに 1 つの検出結果を送信します。検出結果は、AwsEc2Instance リソースタイプとともに報告されるため、検出結果の AwsEc2Instance リソースタイプを報告する他の Security Hub 統合と相関させることができます。Patch Manager は、オペレーションによってマネージドノードが非準拠であることが検出された場合にのみ Security Hub に検出結果を転送します。検出結果には、パッチのサマリー結果が含まれます。コンプライアンス定義については、「パッチコンプライアンス状態の値について」を参照してください。PatchSummary の詳細については、AWS Security Hub API リファレンスPatchSummary を参照してください。

結果が送信されるまでのレイテンシー

Patch Manager によって新しい検出結果が作成されると、通常は数秒から 2 時間以内に Security Hub に送信されます。速度は、その時点で処理されている AWS リージョン のトラフィックによって異なります。

Security Hub が使用できないときに再試行する

サービスの停止が発生した場合、AWS Lambda 関数が実行され、サービスが再度実行された後、メッセージをメインキューに戻すことができます。メッセージがメインキューに入ると、再試行は自動的に行われます。

Security Hub が使用できない場合、Patch Manager は検出結果が受信されるまでその結果を再送信し続けます。

Security Hub の既存の結果を更新する

Patch Manager は、検出結果を Security Hub に送信した後、結果を更新しません。

マネージドノードがコンプライアンス基準になる前に、AwsEc2Instance リソースタイプに対する追加のパッチ適用オペレーションを行うと、新しい検出結果が Security Hub に送信されます。

Patch Manager からの一般的な結果

Patch Manager は、AWS 脆弱性レポート形式 (ASFF)を使用して結果を Security Hub に送信します。

以下に、Patch Manager からの一般的な検出結果の例を示します。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2020-11-11T22:05:25Z", "UpdatedAt": "2020-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-1.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-1", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-1" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-07e6d4e9bc703f2e3", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2020-11-11T22:05:06Z", "OperationEndTime": "2020-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }

統合の有効化と設定

Security Hub と Patch Manager 統合を使用するには、Security Hub を有効にする必要があります。Security Hub を有効にする方法の詳細については、AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。

次の手順では、Security Hub が既にアクティブでも、Patch Manager 統合が無効になっている場合に、Patch Manager と Security Hub を統合する方法について説明します。以下の手順を完了する必要があるのは、統合を手動で無効にした場合だけです。

Security Hub 統合に Patch Manager を追加するには

  1. ナビゲーションペインで、[Patch Manager] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開いた際、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Patch Manager] を選択します。

  2. [Settings (設定)] タブを選択します。

  3. [Patch compliance findings are not being exported to Security Hub (パッチコンプライアンス結果が Security Hub にエクスポートされてない)] の右側にある [Export to Security Hub (Security Hub にエクスポート)] セクションで、[有効にする] を選択します。

検出結果の送信を停止する方法

Security Hub への検出結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。

詳細については、AWS Security Hub ユーザーガイドの次のトピックを参照してください。