Introducción a la gestión de parches

Esta página ofrece un breve resumen de los pasos necesarios para configurar Ivanti Neurons para la gestión de parches. Hay dos opciones pincipales:

  • Flujo de trabajo en la nube: el flujo de trabajo principal para realizar la funcionalidad de gestión de parches. Todas las actividades de configuración y evaluación se realizan en la nube, mientras que las exploraciones y despliegues reales los llevan a cabo agentes que se instalan en los dispositivos gestionados.
  • Flujo de trabajo híbrido: para clientes que utilizan un conector a un producto de gestión de parches local como Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security o Ivanti Desktop and Server Management.

Para saber qué sistemas operativos y distribuciones de Linux pueden parchearse, consulte Matriz de compatibilidad del sistema operativo.

A través del programa de socios se ofrecen parches para otras distribuciones de Linux, como Rocky, Alma y Debian, y soporte ampliado para distribuciones como CentOS 6, CentOS 7, Oracle 6, Oracle 7, Ubuntu 16 y Ubuntu 18. Para obtener más información, consulte KernelCare Enterprise en Ivanti Marketplace.

Flujo de trabajo en la nube

Este es el flujo de trabajo principal para llevar a cabo la función de administración de parches. Todas las actividades de configuración y evaluación se realizan en la nube, mientras que las exploraciones y despliegues reales los llevan a cabo agentes que se instalan en los dispositivos gestionados.

1) Cree un grupo de políticas personalizado 2) Cree una configuración de parches y asóciela con su grupo de políticas 3) Espere a que los cambio se difundan por sus agentes 4) Los agentes analizan en buscar de parches y los despliegan 5) Los resultados se notifican a Ivanti Neurons.

Elementos en la figura

A

Dispositivos de agentes

Flujo de trabajo en la nube

1

Crear una política personalizada.

2

Crear una configuración de parches y asociarla con su política.

3

Espere a que los cambios se propaguen por sus dispositivos de agente.

4

Los agentes buscan y despliegan parches en los dispositivos gestionados.

5

Los resultados de los análisis y despliegues se notifican a Ivanti Neurons.

Detalles del flujo de trabajo en la nube

Pasos condicionales

Si sus dispositivos ya contienen un agente de Ivanti Neurons, puede omitir estos pasos condicionales.

  1. Descargar un agente para el tipo de dispositivo adecuado (Windows, Mac o Linux).
    Se incluyen dos archivos en la descarga:
    • El archivo ejecutable del agente
    • Un archivo de opciones que contiene el ID de abonado, la clave de inscripción y la información sobre el cloudhost que se necesitarán durante el proceso de instalación.
  2. Instalar el agente en los equipos de destino deseados.
    1. En el equipo de destino, haga doble clic sobre el archivo ejecutable para empezar el proceso de instalación.
    2. Siga las instrucciones del asistente de instalación.
  3. Espere a que el agente haga lo siguiente automáticamente:
    • Regístrese y conéctese con Ivanti Neurons.
    • Descargue la política de agentes asignados
    • Lleve a cabo un análisis del equipo de destino en busca de todos los parches que faltan y notifique los resultados a Ivanti Neurons
  4. Ver información sobre los nuevos equipos de destino detectados en la vista Dispositivos de Ivanti Neurons.

Pasos principales

  1. Cree una política de agente.
    El grupo de políticas predeterminado que se instaló inicialmente con un agente solo se configura para llevar a cabo análisis de parches. Para realizar despliegues de parches, es necesario crear al menos una política personalizada. La política personalizada debe estar habilitada para realizar acciones de gestión de parches y debe estar asociada a una configuración de parches que defina sus ajustes de implantación. Usará la opción Agregar dispositivos de la política para asignar la política a los equipos de los agentes que desee.
    Asegúrese de activar la función Gestión de parches al crear la política del agente. El grupo de políticas define las reglas que permiten al agente operar de manera autónoma un dispositivo, con o sin interacción humana.
    En la política de agente personalizada puede seleccionar el uso de la descarga entre pares. Peer-to-peer es compatible con los parches firmados digitalmente y con instalación de prueba. Los parches descargados automáticamente del proveedor que no están firmados digitalmente, no son compatibles con peer-to-peer, por ejemplo, 7-Zip y Core FTP. El par del servidor compartirá solo los parches aplicables al SO con el cliente par, por ejemplo un Servidor 2019 solo compartirá parches 2019.
  2. Configure sus ajustes de parches.
    Los ajustes de parches constarán de:
    • Configuración de parches: el objetivo principal de una configuración de parches es definir el modo en que se desplegarán los parches en los dispositivos del agente. Se proporciona una configuración de parches predeterminada que, semanalmente, desplegará todos los parches de seguridad crítica. Es probable que quiera crear una o más configuraciones de parches personalizadas para definir los requisitos de despliegue de parches únicos para su empresa.

      En la pestaña Asociaciones, asegúrese de asociar su configuración de parches con una política de agente personalizada que esté habilitada para realizar acciones de gestión de parches.

    • (Opcional) Grupo de parches: puede elegir hacer referencia a un grupo de parches en una configuración de parches. Un grupo de parches contiene una lista de parches específicos que quiere desplegar. Esta es una buena manera de asegurarse de que solo se despliegan los parches aprobados. Consulte la sección Comportamiento de despliegue del tema Ajustes de parches para obtener información sobre cómo configurar correctamente este escenario.
  3. Espere a que los cambio se propaguen por sus dispositivos.
    Sus dispositivos recibirán la política actualizada y la información de configuración de parches la siguiente vez que el agente se conecte a Ivanti Neurons.
  4. Desplegar los parches ausentes en el equipo del agente.
    El despliegue se puede conseguir de cuatro maneras distintas:
    • Mediante un despliegue de parches programado y automático que se define en la configuración de parches.
    • Desde el componente Vulnerabilidad de Endpoint de Ivanti Neurons for Patch Management. Puede usar este componente para desplegar todos los parches que se identificaron como ausentes durante el análisis de parches más reciente.

      Asegúrese de que tiene los permisos necesario de Patch Management para desplegar parches desde Endpoint Vulnerability.

    • Desde la pestaña Parches de la página Detalles del dispositivo. Puede seleccionar parches individuales que desplegar desde esta página.
    • Al usar la IU del agente del equipo del agente para iniciar inmediatamente un despliegue de parches.
    • Para instalar la interfaz de usuario del agente debe habilitar la capacidad en la política de agente asignada.

    Si un parche no se instala, se vuelve a intentar (Windows: hasta tres veces en un ciclo de parche individual y hasta cinco veces en total para el punto final. Mac: hasta tres veces. Linux: no hay reintento). También puede configurar la implantación para que se ejecute al reiniciar como parte de la programación de la configuración si el dispositivo está desconectado.

    Tras el despliegue de un parche, el equipo del agente se volverá a analizar automáticamente y los resultados se enviarán a Ivanti Neurons. Esto le permitirá verificar el estado del despliegue y evaluar la condición actual del equipo del agente.

  5. Utilice el componente Historial de despliegue para ver los resultados del despliegue e identificar rápidamente los problemas.
  6. Utilice el componente Endpoint Vulnerability para evaluar la condición de los parches de los equipos de su entorno.
  7. Utilice el componente Patch Intelligence para obtener un nivel de comprensión mayor sobre las vulnerabilidades detectadas en sus dispositivos, basándose en la priorización de riesgo, la fiabilidad y la legalidad de parches.

Flujo de trabajo híbrido

Este flujo de trabajo se aplica a los clientes actuales que usan un conector de un producto de gestión de parches de las instalaciones como Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security o Ivanti Desktop and Server Management. Estos clientes empezarán la migración al flujo de trabajo en la nube utilizando simultáneamente ambos flujos de trabajo. Por ejemplo, los clientes existentes podrían elegir transicionar la administración de sus estaciones de trabajo al flujo de trabajo en la nube, al mismo tiempo que siguen proporcionando capacidades de administración de parches en estaciones de trabajo, servidores y otros dispositivos de alto perfil o confidenciales desconectados que usen su flujo de trabajo en las instalaciones. Esta estrategia le permite transicionar al flujo de trabajo en la nube a su propio ritmo.

La consola de las instalaciones realiza un análisis en busca de parches y los despliega en los equipos administrados. Los resultados se notifican a Ivanti Neurons.

Elementos en la figura

A

Dispositivos de agentes

B

Consola de administración de parches en las instalaciones (Endpoint Manager, Security Controls, etc.)

C

Dispositivos gestionados por consola

Flujo de trabajo en la nube

1

Crear una política personalizada.

2

Crear una configuración de parches y asociarla con su política.

3

Espere a que los cambios se propaguen por sus dispositivos de agente.

4

Los agentes buscan y despliegan parches en los dispositivos gestionados.

5

Los resultados de los análisis y despliegues se notifican a Ivanti Neurons.

Flujo de trabajo híbrido

i

Conector

ii

La consola busca y despliega parches en los dispositivos gestionados.

iii

Los resultados de la consola se notifican a Ivanti Neurons.

El resultado será una combinación de datos en la plataforma de Ivanti Neurons para los dispositivos administrados en la nube y en las instalaciones. Los despliegues de parches para puntos terminales regidos por el flujo de trabajo en la nube los llevará a cabo el agente de Ivanti Neurons. Los despliegues en dispositivos controlados por una solución local seguirá llevándose a cabo con la consola local.

Es posible que quiera que los dispositivos sean administrados por Ivanti Neurons Cloud y por una solución en las instalaciones. Ambas soluciones funcionará juntas. Las acciones que se llevan a cabo desde Ivanti Neurons Cloud tendrán prioridad porque proporcionan una interacción directa con los dispositivos.

Aunque es posible que los dispositivos se administren con ambas soluciones, no es deseable, puesto que recibir múltiples informes de productos distintos puede resultar confuso.

Los despliegues se pueden iniciar con un agente de Ivanti Neurons, con un Administrador de puntos terminales de Ivanti o con la consola de controles de seguridad de Ivanti en las instalaciones, o desde dentro de la nube mediante los componentes de Detalles del dispositivo o Vulnerabilidad de Endpoint.

Si está utilizando un perfil de análisis personalizado en Ivanti Security Controls, al desplegar un parche ausente puede encontrarse con que se le indica que ya está instalado en el dispositivo. Para evitarlo, añada un análisis periódico de todos los dispositivos mediante una de las plantillas predefinidas Análisis de parches de seguridad o Todos los parches . Para más información, consulte este artículo en la Comunidad Ivanti (se abre en una ventana nueva).