与 Amazon Security Hub 集成 - Amazon Web Services Systems Manager
修补程序管理器如何向 Security Hub 发送结果来自补丁 Manager 的典型结果启用和配置集成如何停止发送结果
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 Amazon Security Hub 集成

Amazon Security Hub提供了您在Amazon。Security Hub 从跨Amazon Web Services 账户、Amazon服务和受支持的第三方合作伙伴产品。借助 Security Hub,您可以借助安全行业标准和最佳实践检查环境。Security Hub 可帮助您分析安全趋势并确定最高优先级的安全问题。

通过使用修补程序管理器之间的集成,Amazon Web Services Systems Manager和 Security Hub,您可以将调查结果从修补程序管理器发送到 Security Hub。结果是安全检查或与安全相关的检测的可观察记录。然后,Security Hub 可以在其安全状况分析中包含这些结果。

修补程序管理器如何向 Security Hub 发送结果

在 Security Hub 中,安全问题按结果进行跟踪。一些调查结果来自其他Amazon服务或第三方合作伙伴提供的。Security Hub 还有一套用于检测安全问题和生成结果的规则。

修补程序管理器是将调查结果发送到 Security Hub 的 Systems Manager 功能之一。通过运行 SSM 文档 (AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation,或者AWS-RunPatchBaselineWithHooks),则修补信息将发送到 “清单” 或 “合规性”,Amazon Web Services Systems Manager,或同时选择两者。清单、合规性或两者都收到数据后,修补程序管理器会收到通知。然后,补丁程序管理器会评估数据的准确性、格式化和合规性。如果满足所有条件,修补程序管理器将数据转发到 Security Hub。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。有关更多信息,请参阅 。查看结果中的Amazon Security Hub用户指南。您还可以跟踪结果的调查状态。有关更多信息,请参阅 。对结果采取行动中的Amazon Security Hub用户指南

Security Hub 中的所有结果都使用标准的 JSON 格式,称为AmazonSecurity Fearch 格式 (ASFF)。ASFF 包括有关问题根源、受影响资源以及结果当前状态的详细信息。有关更多信息,请参阅 。AmazonSecurity Finding 格式 (ASFF)中的Amazon Security Hub用户指南

Patch Manager 发送的结果类型

修补程序管理器将调查结果发送到 Security Hub 使用AmazonSecurity Finding 格式 (ASFF)。在 ASFF 中,Types 字段提供结果类型。修补程序管理器中的调查结果具有以下值:Types

  • 软件和配置检查/Patch Manager

修补程序管理器每个不合规实例发送一个查找结果 此调查结果将与资源类型一起报告AwsEc2Instance,以便调查结果可以与其他 Security Hub 集成相关联,这些集成报告AwsEc2Instance资源类型。只有在操作发现实例不符合要求时,修补程序管理器才会将调查结果转发到 Security Hub。查找结果包括修补程序摘要结果。有关合规性定义的更多信息,请参阅。了解修补程序合规性状态值。有关 的更多信息PatchSummary,请参阅补丁程序摘要中的Amazon Security HubAPI 参考

发送结果的延迟

Patch Manager 创建新结果时,通常会在几秒至 2 小时内将结果发送到 Security Hub。速度取决于Amazon Web Services 区域当时正在处理。

在 Security Hub 不可用时重试

如果存在服务中断,则Amazon Lambda函数,以便在服务再次运行后将消息放回主队列。消息进入主队列后,将自动重试。

如果 Security Hub 不可用,修补程序管理器将重新尝试发送调查结果,直到收到它们为止。

更新 Security Hub 中的现有结果

修补程序管理器将查找结果发送到 Security Hub 后,不会更新调查结果。

上的任何其他修补操作AwsEc2Instance资源类型,然后才使实例达到合规性标准,将新的调查结果发送到 Security Hub。

来自补丁 Manager 的典型结果

修补程序管 Security Hub 使用AmazonSecurity Finding 格式 (ASFF)

下面是补丁管理器典型结果的示例。

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager",
  "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software & Configuration Checks/Patch Management/Compliance"
  ],
  "CreatedAt": "2020-11-11T22:05:25Z",
  "UpdatedAt": "2020-11-11T22:05:25Z",
  "Severity": {
    "Label": "INFORMATIONAL",
    "Normalized": 0
  },
  "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant",
  "Description": "This Amazon control checks whether each instance that is managed by Amazon Web Services Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.",
      "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html"
    }
  },
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/systems-manager/managed-instances/i-02573cafcfEXAMPLE/patch?region=us-east-1",
  "ProductFields": {
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0b0ecb9c",
    "aws/securityhub/ProductName": "Systems Manager Patch Manager",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "i-02573cafcfEXAMPLE",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "PatchSummary": {
    "Id": "pb-07e6d4e9bc703f2e3",
    "InstalledCount": 45,
    "MissingCount": 2,
    "FailedCount": 0,
    "InstalledOtherCount": 396,
    "InstalledRejectedCount": 0,
    "InstalledPendingReboot": 0,
    "OperationStartTime": "2020-11-11T22:05:06Z",
    "OperationEndTime": "2020-11-11T22:05:25Z",
    "RebootOption": "NoReboot",
    "Operation": "SCAN"
  }
}

启用和配置集成

若要使用修补程序管理器与 Security Hub 的集成,您必须启用 Security Hub。有关如何启用 Security Hub 的信息,请参阅。设置 Security Hub中的Amazon Security Hub用户指南

以下过程介绍如何在 Security Hub 已处于活动状态但修补程序管理器集成处于禁用状态时集成修补程序管理器和 Security Hub。只有在手动禁用集成时,才需要完成此过程。

将补丁程序管理器添加到 Security Hub 集成

  1. 在导航窗格中,选择 Patch Manager

    -或者-

    如果Amazon Web Services Systems Manager首先打开主页,选择菜单图标( )打开导航窗格,然后选择Patch Manager

  2. 选择 Settings 选项卡。

  3. 导出到 Security Hub部分的右侧修补程序合规性调查结果未导出到 Security Hub中,选择Enable (启用 Gem)

如何停止发送结果

要停止向 Security Hub 发送结果,您可以使用 Security Hub 控制台或 API。

有关更多信息,请参阅 Amazon Security Hub 用户指南 中的以下主题: