Amazon Security Hub 与 Patch Manager 集成 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Security Hub 与 Patch Manager 集成

Amazon Security Hub为您提供了安全状态的全面视图,Amazon. Security Hub 从跨 Amazon Web Services 账户 、Amazon服务和受支持的第三方合作伙伴产品。借助 Security Hub,您可以在实践上检查环境是否符合安全行业标准和最佳实践。Security Hub 可帮助您分析安全趋势并确定最高优先级的安全问题。

通过使用Patch Manager,功能为Amazon Systems Manager和 Security Hub,您可以从Patch Manager添加到 Security Hub ( 发现是安全检查或与安全相关的检测的可观察记录。然后,Security Hub 可以在其安全状况分析中包含这些结果。

操作方法Patch Manager将结果发送到 Security Hub

在 Security Hub 中,安全问题按结果进行跟踪。一些调查结果来自其他Amazon服务或第三方合作伙伴提供的。Security Hub 还有一套用于检测安全问题和生成结果的规则。

Patch Manager是将调查结果发送到 Security Hub 的 Systems Manager 功能之一。通过运行 SSM 文档执行修补操作后(AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation,或者AWS-RunPatchBaselineWithHooks),则修补信息将发送到 “清单” 或 “合规性”,Amazon Systems Manager,或同时选择两者。在库存、合规性或两者收到数据后,Patch Manager会收到通知。然后,Patch Manager评估数据的准确性、格式化和合规性。如果满足所有条件,Patch Manager将数据转发到 Security Hub。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。有关更多信息,请参阅 。查看结果中的Amazon Security Hub用户指南. 您还可以跟踪结果的调查状态。有关更多信息,请参阅 。对结果采取行动中的Amazon Security Hub用户指南.

Security Hub 中的所有结果都使用标准的 JSON 格式,称为AmazonSecurity Fister 格式 (ASFF)。ASFF 包括有关问题根源、受影响资源以及结果当前状态的详细信息。有关更多信息,请参阅 。AmazonSecurity Finding 格式 (ASFF)中的Amazon Security Hub用户指南.

Patch Manager 发送的结果类型

Patch Manager将调查结果发送到 Security Hub 使用AmazonSecurity Finding 格式 (ASFF). 在 ASFF 中,Types 字段提供结果类型。来自的结果Patch Manager具有以下值Types

  • 软件和配置检查/补丁管理

Patch Manager每个不合规实例发送一个查找结果。此调查结果将与资源类型一起报告AwsEc2Instance,以便调查结果可以与其他 Security Hub 集成相关联,这些集成报告AwsEc2Instance资源类型。Patch Manager只有当操作发现实例不符合要求时,才会将调查结果转发给 Security Hub。查找结果包括修补程序摘要结果。有关合规性定义的更多信息,请参阅了解修补程序合规性状态值. 有关 的更多信息PatchSummary,请参阅补丁程序摘要中的Amazon Security HubAPI 参考.

发送结果的延迟

何时Patch Manager创建新结果,通常会在几秒到 2 小时内将结果发送到 SeverSecurity Hub。速度取决于 Amazon Web Services 区域 当时正在处理。

当 Security Hub 不可用时重试

如果存在服务中断,则Amazon Lambda函数,以便在服务再次运行后将消息放回主队列。消息进入主队列后,将自动重试。

如果 Security Hub 不可用,Patch Manager重新尝试发送结果,直到收到这些结果。

更新 Security Hub 中的现有结果

Patch Manager在将查找结果发送到 Security Hub 后不会更新调查结果。

上的任何其他修补操作AwsEc2Instance资源类型,然后才使实例达到合规性标准,将新的调查结果发送到 Security Hub。

来自 Patch Manager 的典型结果

Patch Manager将调查结果发送到 Security HubAmazonSecurity Finding 格式 (ASFF).

下面是 Patch Manager 典型结果的示例。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2020-11-11T22:05:25Z", "UpdatedAt": "2020-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This Amazon control checks whether each instance that is managed by Amazon Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-1.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-1", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-1" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-07e6d4e9bc703f2e3", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2020-11-11T22:05:06Z", "OperationEndTime": "2020-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }

启用和配置集成

使用Patch Manager与 Security Hub 集成,则必须打开 Security Hub。有关如何打开 Security Hub 的信息,请参阅设置 Security Hub中的Amazon Security Hub用户指南.

以下过程介绍如何将Patch Manager和 Security Hub(如果 Security Hub 已处于活动状态,但Patch Manager集成处于关闭状态。只有在手动关闭集成时,才需要完成此过程。

添加Patch Manager到 Security Hub 集成

  1. 在导航窗格中,选择。Patch Manager

    -或者-

    如果Amazon Systems Manager首先打开主页,选择菜单图标( )打开导航窗格中的,然后选择Patch Manager.

  2. 选择 Settings 选项卡。

  3. 导出到 Security Hub部分的右侧修补程序合规性调查结果未导出到 Security Hub中,选择启用.

如何停止发送结果

要停止向 Security Hub 发送结果,您可以使用 Security Hub 控制台或 API。

有关更多信息,请参阅 Amazon Security Hub 用户指南 中的以下主题: