将 Patch Manager 与 Amazon Security Hub 集成 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

将 Patch Manager 与 Amazon Security Hub 集成

Amazon Security Hub 向您提供在 Amazon 中安全状态的全面视图。Security Hub 会跨 Amazon Web Services 账户、Amazon Web Services 和受支持的第三方合作伙伴产品采集安全数据。利用 Security Hub,您可以根据安全行业标准和最佳实践检查您的环境。Security Hub 帮助您分析安全趋势并确定最高优先级的安全问题。

通过使用 Patch Manager(Amazon Systems Manager 的一个功能)和 Security Hub 之间的集成,您可以将有关不合规节点的检查结果从 Patch Manager 发送至 Security Hub。结果是安全检查或与安全相关的检测的可观察记录。然后,Security Hub 可以在其对您的安保状况分析中包含这些补丁相关的检查结果。

Patch Manager 将结果发送到 Security Hub 的方式

在 Security Hub 中,安全问题按结果进行跟踪。一些检查结果来自其他 Amazon Web Services或第三方合作伙伴检测到的问题。Security Hub 还有一套用于检测安全问题和生成结果的规则。

Patch Manager 是 Systems Manager 功能之一,是将结果发送到 Security Hub。在您通过运行 SSM 文档 (AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation,或者AWS-RunPatchBaselineWithHooks)来执行修补操作之后,修补信息将被发送至“库存”或“合规性”(Amazon Systems Manager 的功能),或同时发给两者。在库存、合规性或两者收到数据后,Patch Manager 会收到通知。然后,Patch Manager 评估数据的准确性、格式化和合规性。如果满足所有条件,Patch Manager 将数据转发到 Security Hub。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。有关更多信息,请参阅 Amazon Security Hub 用户指南中的查看结果。您还可以跟踪结果的调查状态。有关更多信息,请参阅 Amazon Security Hub 用户指南对结果采取行动

Security Hub 中的所有结果都使用标准 JSON 格式,称为 Amazon 安全结果格式 (ASFF)。ASFF 包括有关问题根源、受影响资源以及结果当前状态的详细信息。有关更多信息,请参阅 Amazon Security Hub 用户指南中的 Amazon Security Finding 格式 (ASFF)

Patch Manager 发送的结果类型

Patch Manager 使用 Amazon 安全结果格式 (ASFF) 将结果发送到 Security Hub。在 ASFF 中,Types 字段提供结果类型。来自 Patch Manager 的结果可能具有 Types 的以下值:

  • 软件和配置检查/补丁管理

Patch Manager 为每个不合规的托管式节点发送一个结果。结果与资源类型 AwsEc2Instance 一起报告,以便结果可以与其他 Security Hub 集成相关联,这些集成会报告 AwsEc2Instance 资源类型。只有当操作发现托管式节点不合规时,Patch Manager 才会将结果转发给 Security Hub。结果中包括补丁摘要结果。有关合规性定义的更多信息,请参阅 了解补丁合规性状态值。有关 PatchSummary 的更多信息,请参阅 Amazon Security Hub API 参考中的补丁程序摘要

发送结果的延迟

当 Patch Manager 创建新结果时,通常会在几秒到 2 小时内将结果发送到 Security Hub。速度取决于处理 Amazon Web Services 区域 时的流量。

当 Security Hub 不可用时重试

如果存在服务中断,则运行 Amazon Lambda 函数,以便在服务再次运行后将消息放回主队列。当消息进入主队列后,将自动重试。

如果 Security Hub 不可用,Patch Manager 重试发送结果,直到收到这些结果。

更新 Security Hub 中的现有结果

Patch Manager 在将结果发送到 Security Hub 后不会更新结果。如果在某个已报告为补丁不合规的 AwsEc2Instance 资源类型上运行补丁安装操作,并且再次发现该资源不合规,则会将新的检查结果发送到 Security Hub。系统不会发送与合规的资源有关的检查结果,即使这些资源以前不合规。

来自 Patch Manager 的典型结果

Patch Manager 使用 Amazon 安全结果格式 (ASFF)将结果发送到 Security Hub。

下面是 Patch Manager 典型结果的示例。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2021-11-11T22:05:25Z", "UpdatedAt": "2021-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This Amazon control checks whether each instance that is managed by Amazon Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-2", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-2" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-0c10e65780EXAMPLE", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2021-11-11T22:05:06Z", "OperationEndTime": "2021-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }

打开并配置集成

要使用 Patch Manager与 Security Hub 的集成,必须打开 Security Hub。有关如何打开 Security Hub 的信息,请参阅 Amazon Security Hub 用户指南设置 Security Hub

以下过程介绍如何集成 Patch Manager 和 Security Hub(如果 Security Hub 已处于活动状态,但 Patch Manager 集成处于关闭状态)。只有在手动关闭集成时,才需要完成此过程。

把 Patch Manager 添加到 Security Hub 集成

  1. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( ) 打开导航窗格,然后选择 Patch Manager

  2. 选择 Settings 选项卡。

    - 或者 -

    如果您是在当前 Patch Manager首次访问 Amazon Web Services 区域,请选择 View predefined patch baselines(查看预定义补丁基准),然后选择 Settings(设置)选项卡。

  3. 导出到 Security Hub 部分(在补丁合规性结果未导出到 Security Hub 的右侧),选择启用

如何停止发送结果

要停止向 Security Hub 发送结果,您可以使用 Security Hub 控制台或 API。

有关更多信息,请参阅 Amazon Security Hub 用户指南 中的以下主题: