Patch Manager와 AWS Security Hub 통합

AWS Security Hub는 AWS 내의 보안 상태에 대한 포괄적인 뷰를 제공합니다. Security Hub는 AWS 계정, AWS 서비스 및 지원되는 서드 파티 파트너 제품에서 보안 데이터를 수집합니다. Security Hub를 사용하면 환경에서 보안 업계 표준 및 모범 사례를 준수하는지 확인할 수 있습니다. Security Hub는 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움이 됩니다.

AWS Systems Manager의 기능인 Patch Manager와 Security Hub 간 통합을 사용하여 Patch Manager에서 Security Hub로 규정 미준수 노드에 관한 조사 결과를 보낼 수 있습니다. 결과는 보안 점검 또는 보안 관련 감지의 관찰 가능한 기록입니다. 그러면 Security Hub는 보안 태세 분석에 이러한 패치 관련 결과를 포함할 수 있습니다.

다음 항목의 정보는 패치 작업에 사용하는 구성 방법 또는 유형에 관계없이 적용됩니다.

• Quick Setup에서 구성된 패치 정책

• Quick Setup에서 구성된 호스트 관리 옵션

• 패치 Scan 또는 Install 태스크를 실행하기 위한 유지 관리 기간

• 온디맨드 Patch now(지금 패치) 작업

목차

• Patch Manager에서 Security Hub로 조사 결과를 보내는 방법
  • Patch Manager이(가) 보내는 결과의 유형
  • 조사 결과 전송 지연 시간
  • Security Hub 사용할 수 없을 때 다시 시도
  • Security Hub에서 조사 결과 보기
• Patch Manager의 일반적 결과
• 통합 설정 및 구성
• 결과 전송을 중지하는 방법

Patch Manager에서 Security Hub로 조사 결과를 보내는 방법

Security Hub의 경우 보안 문제를 조사 결과와 같이 추적합니다. 일부 결과는 다른 AWS 서비스 또는 서드 파티에서 감지한 문제에서 비롯됩니다. Security Hub에는 보안 문제를 감지하고 결과를 생성하는 데 사용하는 규칙 집합도 있습니다.

Patch Manager는 결과를 Security Hub로 보내는 Systems Manager 기능 중 하나입니다. SSM 문서(AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation 또는 AWS-RunPatchBaselineWithHooks)를 실행하여 패치 작업을 수행하면 패치 정보가 AWS Systems Manager의 기능인 Inventory나 Compliance 또는 둘 다로 전송됩니다. Inventory나 Compliance 또는 둘 다 데이터를 수신한 후 Patch Manager가 알림을 수신합니다. 그런 다음 Patch Manager가 데이터의 정확성, 형식 및 규정 준수 여부를 평가합니다. 모든 조건이 충족되면 Patch Manager는 데이터를 Security Hub로 전달합니다.

Security Hub는 이러한 모든 출처를 총망라하여 결과를 관리할 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. 자세한 내용은 AWS Security Hub User Guide의 Viewing findings를 참조하세요. 또한 주어진 결과에 대한 조사 상태를 추적할 수도 있습니다. 자세한 내용은 AWS Security Hub User Guide의 Taking action on findings를 참조하세요.

Security Hub의 모든 결과는 표준 JSON 형식을 사용합니다. 이를 AWS Security Finding Format(ASFF)이라고 합니다. ASFF에는 문제의 출처, 영향을 받은 리소스와 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. 자세한 내용은 AWS Security Hub User Guide의 AWS Security Finding Format (ASFF)을 참조하세요.

Patch Manager이(가) 보내는 결과의 유형

Patch Manager는 AWS Security Finding Format(ASFF)을 사용하여 결과를 Security Hub로 보냅니다. ASFF의 경우, Types 필드가 결과 유형을 제공합니다. Patch Manager의 결과는 Types의 값이 다음과 같습니다.

• 소프트웨어 및 구성 확인/패치 관리

Patch Manager는 규정을 준수하지 않는 관리형 노드당 하나의 검색 결과를 보냅니다. 결과는 리소스 유형 AwsEc2Instance로 보고되므로 결과는 AwsEc2Instance 리소스 유형을 보고하는 다른 Security Hub 통합과 상호 연관될 수 있습니다. Patch Manager는 작업에서 관리형 노드가 비준수임을 발견한 경우에만 결과를 Security Hub로 전달합니다. 결과에는 패치 요약 결과가 포함됩니다.

참고

규정 미준수 노드를 Security Hub에 보고한 후에 노드가 규정을 준수하면 Patch Manager는 Security Hub에 업데이트를 보내지 않습니다. 필요한 패치를 관리형 노드에 적용한 후 Security Hub에서 조사 결과를 수동으로 확인할 수 있습니다.

규정 준수 정의에 대한 자세한 내용은 패치 규정 준수 상태 값 섹션을 참조하세요. PatchSummary에 대한 자세한 내용은 AWS Security Hub API Reference의 PatchSummary를 참조하세요.

조사 결과 전송 지연 시간

Patch Manager가 새로운 결과를 생성하면 일반적으로 몇 초에서 2시간 이내에 Security Hub로 결과가 전송됩니다. 속도는 해당 시간에 처리 중인 AWS 리전의 트래픽에 따라 달라집니다.

Security Hub 사용할 수 없을 때 다시 시도

서비스 중단이 발생하면 AWS Lambda 기능이 실행되어 서비스가 다시 실행된 후 메시지를 기본 대기열에 다시 넣습니다. 메시지가 기본 대기열에 있으면 다시 시도는 자동으로 수행됩니다.

Security Hub를 사용할 수 없는 경우 Patch Manager는 결과가 수신될 때까지 결과 전송을 재시도합니다.

Security Hub에서 조사 결과 보기

이 절차에서는 패치 규정을 준수하지 않는 플릿의 관리형 노드에 대한 Security Hub의 조사 결과를 보는 방법을 설명합니다.

패치 규정 준수에 대한 Security Hub 조사 결과를 검토하는 방법

1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

2. 탐색 창에서 결과를 선택합니다.

3. 필터 추가( ) 상자를 선택합니다.

4. 메뉴의 필터에서 제품 이름을 선택합니다.

5. 이때 열리는 대화 상자의 첫 번째 필드에서 is를 선택한 다음에 두 번째 필드에서 Systems Manager Patch Manager를 입력합니다.

6. 적용을 선택합니다.

7. 결과 범위를 좁히는 데 도움이 되도록 원하는 추가 필터를 추가합니다.

8. 자세한 내용을 알아보려는 조사 결과의 제목을 결과 목록에서 선택합니다.

   화면 오른쪽에 리소스, 발견된 문제 및 권장 문제 해결에 대한 자세한 정보가 포함된 창이 열립니다.

   중요

   현재 Security Hub에서는 모든 관리형 노드의 리소스 유형을 EC2 Instance로 보고합니다. 여기에는 Systems Manager에서 사용하려고 등록한 온프레미스 서버와 가상 머신이 포함됩니다.

심각도 분류

Systems Manager Patch Manager의 결과 목록에는 조사 결과의 심각도에 대한 보고서가 포함됩니다. 심각도 수준에는 최저부터 최고까지 다음이 포함됩니다.

• INFORMATIONAL – 찾은 문제가 없습니다.

• LOW – 문제 해결이 필요하지 않습니다.

• MEDIUM – 문제를 해결해야 하지만 긴급하지는 않습니다.

• HIGH – 우선적으로 해결해야 할 문제입니다.

• CRITICAL – 문제가 에스컬레이션되지 않도록 즉시 해결해야 합니다.

심각도는 인스턴스의 가장 심각한 규정 미준수 패키지에 의해 결정됩니다. 심각도 수준 여러 개인 패치 기준선이 여러 개 있을 수 있으므로 모든 규정 미준수 패키지 중에서 최고 심각도가 보고됩니다. 예를 들면, 패키지 A의 심각도는 "심각"이고 패키지 B의 심각도는 "낮음"인 2개의 규정 미준수 패키지가 있을 수 있습니다. "심각"이 심각도로 보고됩니다.

심각도 필드는 Patch Manager Compliance 필드와 직접적으로 연관됩니다. 이 필드는 규칙과 일치하는 개별 패치에 할당되도록 설정하는 필드입니다. 이 Compliance 필드는 개별 패치에 할당되므로 패치 요약 수준에서는 반영되지 않습니다.

관련 콘텐츠

• AWS Security Hub 사용 설명서의 조사 결과

• AWS 관리 및 거버넌스 블로그의 Patch Manager 및 Security Hub로 다중 계정 패치 규정 준수

Patch Manager의 일반적 결과

Patch Manager는 AWS Security Finding Format(ASFF)을 사용하여 결과를 Security Hub로 보냅니다.

다음은 Patch Manager의 일반적인 결과를 예시로 나타낸 것입니다.

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2021-11-11T22:05:25Z",
  "UpdatedAt": "2021-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-2",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-0c10e65780EXAMPLE",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2021-11-11T22:05:06Z",
    "OperationEndTime": "2021-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

통합 설정 및 구성

Patch Manager와 Security Hub 통합을 사용하려면 Security Hub를 설정해야 합니다. Security Hub를 설정하는 방법에 대한 자세한 내용은 AWS Security Hub User Guide의 Setting up Security Hub를 참조하세요.

다음 절차에서는 Security Hub가 이미 활성화되어 있지만 Patch Manager 통합이 해제된 경우 Patch Manager와 Security Hub를 통합하는 방법을 설명합니다 통합이 수동으로 해제된 경우에만 이 절차를 수행합니다.

Security Hub 통합에 Patch Manager를 추가하려면

1. 탐색 창에서 Patch Manager를 선택합니다.

2. 설정 탭을 선택합니다.

   -또는-

   현재 AWS 리전에서 처음으로 Patch Manager에 액세스한 경우 개요를 통한 시작을 선택하고 설정 탭을 선택합니다.

3. [Security Hub로 내보내기(Export to Security Hub)] 섹션 아래의 [패치 규정 준수 결과가 Security Hub로 내보내지지 않음(Patch compliance findings aren't being exported to Security Hub)] 오른쪽에서 [사용(Enable)]을 선택합니다.

결과 전송을 중지하는 방법

Security Hub로 결과를 전송하는 작업을 중지하려면 Security Hub 콘솔 또는 API를 사용하면 됩니다.

자세한 내용은 AWS Security Hub 사용 설명서에서 다음 주제를 참조하세요.

• 통합에서 결과의 흐름 사용 중지 및 사용 설정(콘솔)

• 통합에서 결과의 흐름 사용 중지(Security Hub API, AWS CLI)