将 Patch Manager 与 Amazon Security Hub 集成
Amazon Security Hub 向您提供 Amazon 中安全状态的全面视图。Security Hub 会跨 Amazon Web Services 账户、Amazon Web Services 服务 和受支持的第三方合作伙伴产品采集安全数据。利用 Security Hub,您可以根据安全行业标准和最佳实践检查您的环境。Security Hub 帮助您分析安全趋势并确定最高优先级的安全问题。
通过使用Patch Manager(Amazon Systems Manager 中的一项工具)和 Security Hub 之间的集成,您可以将有关不合规节点的调查发现从Patch Manager发送至 Security Hub。结果是安全检查或与安全相关的检测的可观察记录。然后,Security Hub 可以在其对您的安保状况分析中包含这些补丁相关的检查结果。
无论您使用哪种配置方法或类型进行修补操作,以下主题中的信息都适用:
-
Quick Setup 中配置的补丁策略
-
Quick Setup 中配置的主机管理选项
-
运行补丁
Scan或Install任务的维护时段 -
按需 Patch now(立即修补)操作
目录
Patch Manager 将结果发送到 Security Hub 的方式
在 Security Hub 中,安全问题按调查结果进行跟踪。一些检查结果来自其他 Amazon Web Services 服务或第三方合作伙伴检测到的问题。Security Hub 还有一套用于检测安全问题和生成结果的规则。
Patch Manager是 Systems Manager 的一项工具,能将结果发送到 Security Hub。在您通过运行 SSM 文档(AWS-RunPatchBaseline、AWS-RunPatchBaselineAssociation 或者 AWS-RunPatchBaselineWithHooks)来执行修补操作之后,修补信息将被发送至 Inventory 或 Compliance(都是 Amazon Systems Manager 中的工具),或同时发给这两者。在库存、合规性或两者收到数据后,Patch Manager 会收到通知。然后,Patch Manager 评估数据的准确性、格式化和合规性。如果满足所有条件,Patch Manager 将数据转发到 Security Hub。
Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。有关更多信息,请参阅 Amazon Security Hub 用户指南中的查看结果。您还可以跟踪调查发现的调查状态。有关更多信息,请参阅 Amazon Security Hub 用户指南中对结果采取行动。
Security Hub 中的所有结果都使用标准 JSON 格式,称为 Amazon 安全结果格式 (ASFF)。ASFF 包含有关问题根源、受影响资源以及调查发现当前状态的详细信息。有关更多信息,请参阅 Amazon Security Hub 用户指南中的 Amazon Security Finding 格式 (ASFF)。
Patch Manager 发送的结果类型
Patch Manager 使用 Amazon 安全结果格式 (ASFF) 将结果发送到 Security Hub。在 ASFF 中,Types 字段提供结果类型。来自 Patch Manager 的结果可能具有 Types 的以下值:
-
软件和配置检查/补丁管理
Patch Manager 为每个不合规的托管式节点发送一个结果。结果与资源类型 AwsEc2Instance 一起报告,以便结果可以与其他 Security Hub 集成相关联,这些集成会报告 AwsEc2Instance 资源类型。只有当操作发现托管式节点不合规时,Patch Manager 才会将结果转发给 Security Hub。结果中包括补丁摘要结果。
注意
向 Security Hub 报告不合规的节点之后。节点合规后 Patch Manager 不会向 Security Hub 发送更新。将所需的补丁应用到托管式节点后,您可以在 Security Hub 中手动解决调查发现的问题。
有关合规性定义的更多信息,请参阅 补丁合规性状态值。有关 PatchSummary 的更多信息,请参阅 Amazon Security Hub API 参考中的补丁程序摘要。
发送调查发现的延迟
当 Patch Manager 创建新结果时,通常会在几秒到 2 小时内将结果发送到 Security Hub。速度取决于处理 Amazon Web Services 区域 时的流量。
当 Security Hub 不可用时重试
如果存在服务中断,则运行 Amazon Lambda 函数,以便在服务再次运行后将消息放回主队列。当消息进入主队列后,将自动重试。
如果 Security Hub 不可用,Patch Manager 重试发送结果,直到收到这些结果。
查看 Security Hub 中的 调查发现
此过程介绍如何在 Security Hub 中查看有关实例集中不符合补丁合规性的托管式节点的调查发现。
查看补丁合规性的 Security Hub 调查发现
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/
。 -
在导航窗格中,选择 调查发现。
-
选择添加筛选条件(
)框。 -
在菜单中的筛选条件下,选择产品名称。
-
在打开的对话框中,在第一个字段中选择 is,然后在第二个字段中输入
Systems Manager Patch Manager。 -
选择应用。
-
添加您需要的任何其他筛选条件以帮助缩小搜索范围。
-
在结果列表中,选择您想了解更多信息的调查发现的标题。
屏幕右侧将打开一个窗格,其中包含有关资源、发现的问题和建议补救措施的更多详细信息。
重要
目前,Security Hub 将所有托管式节点的资源类型报告为
EC2 Instance。这包括您已注册用于 Systems Manager 的本地服务器和虚拟机(VM)。
严重性分类
Systems Manager Patch
Manager 的调查发现列表包括有关调查发现严重性的报告。严重性级别包括以下内容(从最低到最高):
-
性 – 未发现任何问题。
-
低 – 问题不需要修复。
-
中 – 必须解决问题,但不是紧急的。
-
高 – 必须优先解决问题。
-
严重 – 必须立即解决此问题,以避免它升级。
严重性由实例上最严重的不合规软件包确定。由于您可以拥有多个具有多个严重性级别的补丁基准,因此会在所有不合规软件包中报告最高的严重性。例如,假设您有两个不合规程序包,其中程序包 A 的严重性为“严重”,而程序包 B 的严重性为“低”。“严重”将报告为严重性。
请注意,严重性字段与 Patch Manager Compliance 字段直接相关。这是您设置分配给与规则匹配的各个补丁的字段。由于此 Compliance 字段已分配给各个补丁,因此不会反映在“补丁摘要”级别。
相关内容
-
《Amazon Security Hub User Guide》中的 Findings
-
Amazon 管理与治理博客中的 Multi-Account patch compliance with Patch Manager and Security Hub
来自 Patch Manager 的典型结果
Patch Manager 使用 Amazon 安全结果格式 (ASFF)将结果发送到 Security Hub。
下面是 Patch Manager 典型结果的示例。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/ssm-patch-manager", "GeneratorId": "d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "AwsAccountId": "111122223333", "Types": [ "Software & Configuration Checks/Patch Management/Compliance" ], "CreatedAt": "2021-11-11T22:05:25Z", "UpdatedAt": "2021-11-11T22:05:25Z", "Severity": { "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "Systems Manager Patch Summary - Managed Instance Non-Compliant", "Description": "This Amazon control checks whether each instance that is managed by Amazon Systems Manager is in compliance with the rules of the patch baseline that applies to that instance when a compliance Scan runs.", "Remediation": { "Recommendation": { "Text": "For information about bringing instances into patch compliance, see 'Remediating out-of-compliance instances (Patch Manager)'.", "Url": "https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-compliance-remediation.html" } }, "SourceUrl": "https://us-east-2.console.aws.amazon.com/systems-manager/fleet-manager/i-02573cafcfEXAMPLE/patch?region=us-east-2", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/ssm-patch-manager/arn:aws:patchmanager:us-east-2:111122223333:instance/i-02573cafcfEXAMPLE/document/AWS-RunPatchBaseline/run-command/d710f5bd-04e3-47b4-82f6-df4e0EXAMPLE", "aws/securityhub/ProductName": "Systems Manager Patch Manager", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "i-02573cafcfEXAMPLE", "Partition": "aws", "Region": "us-east-2" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "PatchSummary": { "Id": "pb-0c10e65780EXAMPLE", "InstalledCount": 45, "MissingCount": 2, "FailedCount": 0, "InstalledOtherCount": 396, "InstalledRejectedCount": 0, "InstalledPendingReboot": 0, "OperationStartTime": "2021-11-11T22:05:06Z", "OperationEndTime": "2021-11-11T22:05:25Z", "RebootOption": "NoReboot", "Operation": "SCAN" } }
打开并配置集成
要使用 Patch Manager与 Security Hub 的集成,必须打开 Security Hub。有关如何打开 Security Hub 的信息,请参阅 Amazon Security Hub 用户指南中设置 Security Hub。
以下过程介绍如何集成 Patch Manager 和 Security Hub(如果 Security Hub 已处于活动状态,但 Patch Manager 集成处于关闭状态)。只有在手动关闭集成时,才需要完成此过程。
把 Patch Manager 添加到 Security Hub 集成
在导航窗格中,选择 Patch Manager。
-
选择设置选项卡。
–或者–
如果您是在当前 Amazon Web Services 区域首次访问 Patch Manager,请选择从概览开始,然后选择设置选项卡。
-
在导出到 Security Hub 部分(在补丁合规性结果未导出到 Security Hub 的右侧),选择启用。
如何停止发送调查发现
要停止向 Security Hub 发送结果,您可以使用 Security Hub 控制台或 API。
有关更多信息,请参阅《Amazon Security Hub 用户指南》中的以下主题: