將 AWS Security Hub​ 與 Patch Manager​ 整合 - AWS Systems Manager

將 AWS Security Hub​ 與 Patch Manager​ 整合

AWS Security Hub 可供您全面檢視 AWS 中的安全狀態。Security Hub 會從 AWS 帳戶、AWS 服務,以及支援的第三方合作夥伴產品來收集安全資料。使用 Security Hub,您可以檢查環境是否符合安全業界標準和最佳實務。Security Hub 可協助您分析安全趨勢,並識別最高優先級的安全問題。

透過使用 Patch Manager (AWS Systems Manager 功能) 和 Security Hub 之間的整合,您可以從 Patch Manager 傳送問題清單至 Security Hub。問題清單是安全檢查或安全性相關偵測的可觀察記錄。Security Hub 接著可將這些問題清單納入其安全狀態的分析中。

Patch Manager 如何將問題清單傳送到 Security Hub

在 Security Hub 中,將安全問題作為問題清單進行追蹤。有些問題清單是由其他 AWS 服務或第三方合作夥伴偵測所得。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。

Patch Manager 是將問題清單傳送至 Security Hub 的 Systems Manager 功能之一。透過執行 SSM 文件 (AWS-RunPatchBaselineAWS-RunPatchBaselineAssociationAWS-RunPatchBaselineWithHooks) 執行修補操作後,修補資訊會傳送至「庫存」或「合規」(AWS Systems Manager 功能) 或同時傳送至兩者。在「庫存」、「合規」或兩者都收到資料之後,Patch Manager 會收到通知。然後,Patch Manager 在準確性、格式和合規方面對資料進行評估。如果符合所有條件,Patch Manager 會將資料轉寄至 Security Hub。

Security Hub 提供用來跨所有這些來源管理問題清單的工具。您可以檢視並篩選問題清單列表,並檢視問題清單的詳細資訊。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的檢視問題清單。您也可以追蹤問題清單的調查狀態。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的針對問題清單採取動作

所有 Security Hub 中的問題清單都使用稱為 AWS 安全問題清單格式 (ASFF) 的標準 JSON 格式。ASFF 包含問題來源、受影響的資源以及問題清單目前狀態的詳細資訊。請參閱《AWS Security Hub 使用者指南》中的 AWS 安全問題清單格式 (ASFF)

Patch Manager 傳送的問題清單類型

Patch Manager 會使用 AWS 安全問題清單格式 (ASFF) 將問題清單傳送到 Security Hub。在 ASFF 中,Types 欄位提供問題清單類型。來自 Patch Manager 的問題清單可以具有以下 Types 值:

  • 軟體和組態檢查/修補程式管理

Patch Manager 會針對每個不合規受管節點傳送一份問題清單。問題清單會以資源類型 AwsEc2Instance 報告,讓問題清單可以與報告 AwsEc2Instance 資源類型的其他 Security Hub 整合相關聯。Patch Manager 只會在操作發現受管節點不合規時,才將問題清單轉寄至 Security Hub。問題清單包括「修補程式摘要」結果。如需合規定義的詳細資訊,請參閱 了解修補程式合規狀態值。如需有關 PatchSummary 的詳細資訊,請參閱《AWS Security Hub API 參考》中的 PatchSummary

傳送問題清單延遲

Patch Manager 建立新的問題清單時,通常會在幾秒到 2 小時內傳送至 Security Hub。速度取決於該時間點 AWS 區域 中處理的流量。

無法使用 Security Hub 時重試

如果服務中斷,AWS Lambda 函數會在服務再次執行之後,將訊息放回主佇列。訊息位於主要佇列之後,會自動重試。

如果 Security Hub 無法使用,Patch Manager 會重試傳送問題清單,直到收到問題清單。

更新 Security Hub 中的現有問題清單

問題清單傳送至 Security Hub 之後,Patch Manager 不會更新問題清單。

受管節點符合合規標準之前,任何 AwsEc2Instance 資源類型上的其他修補操作皆會導致新的問題清單傳送至 Security Hub。

來自 Patch Manager 的一般問題清單

Patch Manager 會使用 AWS 安全問題清單格式 (ASFF) 將問題清單傳送到 Security Hub。

這是來自 Patch Manager 的一般問題清單範例。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2020-11-11T22:05:25Z", "UpdatedAt": "2020-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This AWS control checks whether each instance that is managed by AWS Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-1.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-1", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-1" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-07e6d4e9bc703f2e3", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2020-11-11T22:05:06Z", "OperationEndTime": "2020-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }

開啟與設定整合

若要使用 Patch Manager 與 Security Hub 的整合,您必須開啟 Security Hub。如需有關如何開啟 Security Hub 的資訊,請參閱《AWS Security Hub 使用者指南》中的設定 Security Hub

下列處理程序描述了如何在 Security Hub 已經處於作用中狀態但 Patch Manager 整合關閉時將 Patch Manager 與 Security Hub 整合。只有在手動關閉整合時,您才需要完成此處理程序。

新增 Patch Manager 至 Security Hub 整合

  1. 在導覽窗格中,選擇 Patch Manager

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後選擇 Patch Manager

  2. 選擇 Settings (設定) 索引標籤。

  3. Export to Security Hub (匯出至 Security Hub) 區段下,Patch compliance findings aren't being exported to Security Hub (修補程式合規問題清單未匯出至 Security Hub) 的右側,選擇 Enable (啟用)。

如何停止傳送問題清單

若要停止將問題清單傳送至 Security Hub,您可以使用 Security Hub 主控台或 API。

如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的以下主題: