Patch Managerと AWS Security Hub の統合

AWS Security Hub は、AWS のセキュリティ状態の包括的なビューを提供します。Security Hub は、AWS アカウント、AWS サービス、およびサポートされているサードパーティーパートナー製品全体からセキュリティデータを収集します。Security Hub により、セキュリティ業界の標準とベストプラクティスに照らしてお使いの環境をチェックできます。Security Hub を使用すると、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定できます。

AWS Systems Manager の一機能である Patch Manager と Security Hub 間の統合を利用して、Patch Manager から Security Hub に非準拠ノードの検出結果を送信できます。検出結果は、セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコードです。Security Hub では、このようなパッチ関連の検出結果をセキュリティ体制の分析に含めることができます。

以下のトピックの情報は、パッチ適用オペレーションに使用する設定の方法や種類に関係なく適用されます。

• Quick Setup で設定されているパッチポリシー

• Quick Setup で設定されているホスト管理オプション

• パッチ Scan または Install のタスクを実行するためのメンテナンスウィンドウ

• オンデマンドの [Patch now] (今すぐパッチ適用) オペレーション

目次

• Patch Manager から Security Hub に結果を送信する方法
  • Patch Manager が送信する検出結果の種類
  • 結果が送信されるまでのレイテンシー
  • Security Hub が使用できないときに再試行する
  • Security Hub での 結果の表示
• Patch Manager からの一般的な結果
• 統合の有効化と設定
• 検出結果の送信を停止する方法

Patch Manager から Security Hub に結果を送信する方法

Security Hub では、セキュリティの問題が調査結果として追跡されます。結果の中には、他の AWS サービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。

Patch Manager は、Security Hub に検出結果を送信する Systems Manager 機能の 1 つです。SSM ドキュメント (AWS-RunPatchBaseline、AWS-RunPatchBaselineAssociation またはAWS-RunPatchBaselineWithHooks ) を実行してパッチ適用オペレーションを実行すると、AWS Systems Manager の機能であるインベントリまたは Compliance、またはその両方にパッチ適用情報が送信されます。インベントリ、Compliance、またはその両方がデータを受け取ると、Patch Manager が通知を受信します。次に、Patch Manager はデータの精度、書式設定、およびコンプライアンスを評価します。すべての条件が満たされた場合、Patch Manager はデータを Security Hub に転送します。

Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。

Security Hub のすべての検出結果で、AWS Security Finding Format (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。詳細については、AWS Security Hub ユーザーガイドの AWS Security Finding Format (ASFF)を参照してください。

Patch Manager が送信する検出結果の種類

Patch Manager は、AWS Security Finding Format (ASFF) を使用して結果を Security Hub に送信します。ASFF では、Types フィールドが検出結果タイプを提供します。Patch Manager の検出結果には、Types に対する次の値があります。

• ソフトウェアおよび設定のチェック/パッチ管理

Patch Manager は、非準拠マネージドノードごとに 1 つの検出結果を送信します。検出結果は、AwsEc2Instance リソースタイプとともに報告されるため、検出結果の AwsEc2Instance リソースタイプを報告する他の Security Hub 統合と相関させることができます。Patch Manager は、オペレーションによってマネージドノードが非準拠であることが検出された場合にのみ Security Hub に検出結果を転送します。検出結果には、パッチのサマリー結果が含まれます。

注記

非準拠のノードを Security Hub に報告した後は、ノードが準拠した状態になっても、Patch Manager は Security Hub に更新を送信しません。必要なパッチがマネージドノードに適用されたら、Security Hub の検出結果を手動で解決できます。

コンプライアンス定義については、「パッチコンプライアンス状態の値について」を参照してください。PatchSummary の詳細については、AWS Security Hub API リファレンスの PatchSummary を参照してください。

結果が送信されるまでのレイテンシー

Patch Manager によって新しい検出結果が作成されると、通常は数秒から 2 時間以内に Security Hub に送信されます。速度は、その時点で処理されている AWS リージョン のトラフィックによって異なります。

Security Hub が使用できないときに再試行する

サービスの停止が発生した場合、AWS Lambda 関数が実行され、サービスが再度実行された後、メッセージをメインキューに戻すことができます。メッセージがメインキューに入ると、再試行は自動的に行われます。

Security Hub が使用できない場合、Patch Manager は検出結果が受信されるまでその結果を再送信し続けます。

Security Hub での 結果の表示

以下の手順では、パッチコンプライアンスに違反しているフリート内のマネージドノードに関する Security Hub の検出結果を表示する方法について説明します。

パッチコンプライアンスに関する Security Hub の検出結果を確認するには

1. AWS Management Console にサインインして、AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

2. ナビゲーションペインで 調査結果を選択します。

3. [Add filters (フィルターの追加)] ( ) ボックスを選択します。

4. メニューの [フィルタ] で、[製品名] を選択します。

5. 表示されたダイアログボックスの最初のフィールドで [is (=)] を選択し、2 番目のフィールドに「Systems Manager Patch Manager」と入力します。

6. [Apply] を選択します。

7. 結果を絞り込むために必要なフィルターを追加します。

8. 結果のリストで、詳細情報が必要な検出結果のタイトルを選択します。

   画面の右側にペインが開き、リソース、検出された問題、推奨される修正に関する詳細が表示されます。

   重要

   現時点では、Security Hub は、すべてのマネージドインスタンスのリソースタイプを EC2 Instance としてレポートします。これには、Systems Manager で使用するために登録したオンプレミスサーバーおよび仮想マシン (VM) が含まれます。

重要度の分類

Systems Manager Patch Manager の検出結果の一覧には、検出結果の重大度に関するレポートが含まれています。[重要度] には、低いものから高いものまで、次のものが含まれます。

• [情報] - 問題は見つかりませんでした。

• [低] - この問題はアクションを必要としません。

• [中] - この問題は対処する必要がありますが、緊急ではありません。

• [高] - この問題は優先事項として対処する必要があります。

• [重要] - この問題を悪化させないようにすぐに修正する必要があります。

重要度は、インスタンス上の最も深刻である非準拠パッケージによって決定される。複数の重要度レベルのパッチベースラインを作成できるため、すべての非準拠パッケージの中で最も重要度が高いものが報告されます。例えば、パッケージ A の重要度が「重要」で、パッケージ B の重要度が「低」の 2 つの非準拠パッケージがあるとします。重要度として「重要」が報告されます。

重要度フィールドは Patch Manager Compliance フィールドと直接相関していることに注意してください。このフィールドは、ルールに一致する個々のパッチに割り当てるよう設定します。Compliance フィールドは個々のパッチに割り当てられるため、パッチの概要レベルには反映されません。

関連情報

• 「AWS Security Hub ユーザーガイド」の「検出結果」

• AWS 管理およびガバナンスのブログ内の「Patch Manager およびセキュリティハブマルチを使用するアカウントパッチのコンプライアンス」

Patch Manager からの一般的な結果

Patch Manager は、AWS 脆弱性レポート形式 (ASFF)を使用して結果を Security Hub に送信します。

以下に、Patch Manager からの一般的な検出結果の例を示します。

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

統合の有効化と設定

Security Hub と Patch Manager 統合を使用するには、Security Hub を有効にする必要があります。Security Hub を有効にする方法の詳細については、AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。

次の手順では、Security Hub が既にアクティブでも、Patch Manager 統合が無効になっている場合に、Patch Manager と Security Hub を統合する方法について説明します。以下の手順を完了する必要があるのは、統合を手動で無効にした場合だけです。

Security Hub 統合に Patch Manager を追加するには

1. ナビゲーションペインで、Patch Manager を選択します。

2. [Settings] (設定) タブを選択します。

   -または-

   現在の AWS リージョン で Patch Manager に初めてアクセスしている場合は、[事前定義されたパッチベースラインを表示する] を選択してから、[設定] タブを選択します。

3. [Patch compliance findings are not being exported to Security Hub (パッチコンプライアンス結果が Security Hub にエクスポートされてない)] の右側にある [Export to Security Hub (Security Hub にエクスポート)] セクションで、[有効にする] を選択します。

検出結果の送信を停止する方法

Security Hub への検出結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。

詳細については、AWS Security Hub ユーザーガイドの次のトピックを参照してください。

• 統合からの検出結果のフローの無効化と有効化 (コンソール)

• 統合からの検出結果のフローの無効化 (Security Hub API、AWS CLI)