Administración de parches

Ivanti Neurons for Patch Management es una solución de parches en la nube. Combina la información en tiempo real de la plataforma de Ivanti Neurons con la información de activos de Ivanti Neurons for Discovery y la inteligencia accionable para la priorización basada en riesgos para dirigir una estrategia de seguridad adaptativa. Se proporcionan funciones integrales de gestión de parches para sus dispositivos Windows, macOS y Linux, e incluye la capacidad de aplicar parches a productos tanto de Microsoft como de Apple y de terceros.

Para acceder a Ivanti Neurons for Patch Management, vaya a Administración de parches en la plataforma de Ivanti Neurons.

Ivanti Neurons for Patch Management consta de los siguientes componentes, según su licencia:

  • Informes de cumplimiento: le permite determinar su estado de cumplimiento actual y ver su tendencia en el tiempo.
  • Vulnerabilidad de Endpoint: proporciona una vista central del parcheado de dispositivos para su entorno, con condición del dispositivo y métricas basadas en el riesgo.
  • Patch Intelligence: recopila y agrega datos para ayudar a administrar, priorizar y simplificar los parches de su entorno. Proporciona una imagen clara del panorama de amenazas con métricas priorizadas por riesgo.
  • Historial de despliegue: proporciona una manera de ver el estado de operaciones de despliegue recientes. Puede centrarse en las excepciones y solucionar problemas rápidamente.
  • Ajustes de parches: le permite configurar las configuraciones de parches y los grupos de parches para el flujo de trabajo de la gestión de parches en la nube. Se puede usar una configuración predeterminada que soluciona todos los parches de seguridad críticos para empezar rápidamente, o puede crear una configuración de parches personalizada para cumplir con los umbrales de comprobación únicos de su empresa.
  • Patch for Intune: amplía los despliegues de Microsoft Intune para incluir funciones de administración de productos de terceros.

Asegúrese de que tiene los permisos necesario para usar Patch Management.

Requisitos

Hay una serie de requisitos para utilizar la gestión de parches.

URL, direcciones IP y puertos necesarios

Debe agregar una serie de URL web a su cortafuegos, proxy y a las listas de excepciones de filtros web. Las URL se usan para descargar contenido de parches de terceros.

Para ver la lista completa de URL que debe añadir, consulte URL, direcciones IP y puertos necesarios.

Microsoft Windows y Microsoft Office

Para desplegar correctamente los parches con el Agente Ivanti Neurons en los dispositivos Windows, no desactive el servicio Windows Update, sino configúrelo en Manual o Automático. Además, establezca la configuración de Actualización de Windows en cada dispositivo de destino (Panel de control > Sistema y seguridad > Actualización de Windows > Cambiar configuración) en No buscar nunca actualizaciones. Para más información, consulte este artículo en la Comunidad Ivanti.

Si está parcheando Office 2019 u Office 365 que utilizan la tecnología Click-to-Run, consulte Cómo parchea Ivanti las instalaciones Click-to-Run de Office en la Comunidad Ivanti (se abre en una ventana nueva) para obtener información sobre cómo parchea Patch for Neurons estas instalaciones.

macOS

Para los Mac de Apple Silicon y los Mac de Intel con el chip Apple T2, Ivanti Neurons for Patch Management necesita una cuenta de rol para gestionar los parches del sistema operativo en el dispositivo. Esto significa que cuando Ivanti Neurons for Patch Management despliega por primera vez un parche del sistema operativo en un dispositivo de este tipo, aparece un cuadro de diálogo solicitando al administrador local que cree una cuenta de rol administrativo para que Ivanti Neurons la utilice en el dispositivo. Las instrucciones aparecen en pantalla. Si tiene activado FileVault, la cuenta de rol administrativo que cree aparecerá en la pantalla de inicio de sesión después de reiniciar.

Flujo de trabajo en la nube

Este es el flujo de trabajo principal para llevar a cabo la función de administración de parches. Todas las actividades de configuración y evaluación se realizan en la nube, mientras que las exploraciones y despliegues reales los llevan a cabo agentes que se instalan en los dispositivos gestionados.

1) Cree un grupo de políticas personalizado 2) Cree una configuración de parches y asóciela con su grupo de políticas 3) Espere a que los cambio se difundan por sus agentes 4) Los agentes analizan en buscar de parches y los despliegan 5) Los resultados se notifican a Ivanti Neurons.

Elementos en la figura

A

Dispositivos de agentes

Flujo de trabajo en la nube

1

Crear una política personalizada.

2

Crear una configuración de parches y asociarla con su política.

3

Espere a que los cambios se propaguen por sus dispositivos de agente.

4

Los agentes buscan y despliegan parches en los dispositivos gestionados.

5

Los resultados de los análisis y despliegues se notifican a Ivanti Neurons.

Detalles del flujo de trabajo en la nube

Pasos condicionales

Si sus dispositivos ya contienen un agente de Ivanti Neurons, puede omitir estos pasos condicionales.

  1. Descargar un agente para el tipo de dispositivo adecuado (Windows, Mac o Linux).
    Se incluyen dos archivos en la descarga:
    • El archivo ejecutable del agente
    • Un archivo de opciones que contiene el ID de abonado, la clave de inscripción y la información sobre el cloudhost que se necesitarán durante el proceso de instalación.
  2. Instalar el agente en los equipos de destino deseados.
    1. En el equipo de destino, haga doble clic sobre el archivo ejecutable para empezar el proceso de instalación.
    2. Siga las instrucciones del asistente de instalación.
  3. Espere a que el agente haga lo siguiente automáticamente:
    • Regístrese y conéctese con Ivanti Neurons.
    • Descargue la política de agentes asignados
    • Lleve a cabo un análisis del equipo de destino en busca de todos los parches que faltan y notifique los resultados a Ivanti Neurons
  4. Ver información sobre los nuevos equipos de destino detectados en la vista Dispositivos de Ivanti Neurons.

Pasos principales

  1. Cree una política de agente.
    El grupo de políticas predeterminado que se instaló inicialmente con un agente solo se configura para llevar a cabo análisis de parches. Para realizar despliegues de parches, es necesario crear al menos una política personalizada. La política personalizada debe estar habilitada para realizar acciones de gestión de parches y debe estar asociada a una configuración de parches que defina sus ajustes de implantación. Usará la opción Agregar dispositivos de la política para asignar la política a los equipos de los agentes que desee.
    Asegúrese de activar la función Gestión de parches al crear la política del agente. El grupo de políticas define las reglas que permiten al agente operar de manera autónoma un dispositivo, con o sin interacción humana.
    En la política de agente personalizada puede seleccionar el uso de la descarga entre pares. Peer-to-peer es compatible con los parches firmados digitalmente y con instalación de prueba. Los parches descargados automáticamente del proveedor que no están firmados digitalmente, no son compatibles con peer-to-peer, por ejemplo, 7-Zip y Core FTP. El par del servidor compartirá solo los parches aplicables al SO con el cliente par, por ejemplo un Servidor 2019 solo compartirá parches 2019.
  2. Configure sus ajustes de parches.
    Los ajustes de parches constarán de:
    • Configuración de parches: el objetivo principal de una configuración de parches es definir el modo en que se desplegarán los parches en los dispositivos del agente. Se proporciona una configuración de parches predeterminada que, semanalmente, desplegará todos los parches de seguridad crítica. Es probable que quiera crear una o más configuraciones de parches personalizadas para definir los requisitos de despliegue de parches únicos para su empresa.

      En la pestaña Asociaciones, asegúrese de asociar su configuración de parches con una política de agente personalizada que esté habilitada para realizar acciones de gestión de parches.

    • (Opcional) Grupo de parches: puede elegir hacer referencia a un grupo de parches en una configuración de parches. Un grupo de parches contiene una lista de parches específicos que quiere desplegar. Esta es una buena manera de asegurarse de que solo se despliegan los parches aprobados. Consulte la sección Comportamiento de despliegue del tema Ajustes de parches para obtener información sobre cómo configurar correctamente este escenario.
  3. Espere a que los cambio se propaguen por sus dispositivos.
    Sus dispositivos recibirán la política actualizada y la información de configuración de parches la siguiente vez que el agente se conecte a Ivanti Neurons.
  4. Desplegar los parches ausentes en el equipo del agente.
    El despliegue se puede conseguir de cuatro maneras distintas:
    • Mediante un despliegue de parches programado y automático que se define en la configuración de parches.
    • Desde el componente Vulnerabilidad de Endpoint de Ivanti Neurons for Patch Management. Puede usar este componente para desplegar todos los parches que se identificaron como ausentes durante el análisis de parches más reciente.

      Asegúrese de que tiene los permisos necesario de Patch Management para desplegar parches desde Endpoint Vulnerability.

    • Desde la pestaña Parches de la página Detalles del dispositivo. Puede seleccionar parches individuales que desplegar desde esta página.
    • Al usar la IU del agente del equipo del agente para iniciar inmediatamente un despliegue de parches.
    • Para instalar la interfaz de usuario del agente debe habilitar la capacidad en la política de agente asignada.

    Si un parche no se instala, se vuelve a intentar hasta tres veces en un ciclo de parche individual y hasta cinco veces en total para el endpoint. También puede configurar la implantación para que se ejecute al reiniciar como parte de la programación de la configuración si el dispositivo está desconectado.

    Tras el despliegue de un parche, el equipo del agente se volverá a analizar automáticamente y los resultados se enviarán a Ivanti Neurons. Esto le permitirá verificar el estado del despliegue y evaluar la condición actual del equipo del agente.

  5. Utilice el componente Historial de despliegue para ver los resultados del despliegue e identificar rápidamente los problemas.
  6. Utilice el componente Endpoint Vulnerability para evaluar la condición de los parches de los equipos de su entorno.
  7. Utilice el componente Patch Intelligence para obtener un nivel de comprensión mayor sobre las vulnerabilidades detectadas en sus dispositivos, basándose en la priorización de riesgo, la fiabilidad y la legalidad de parches.

Flujo de trabajo híbrido

Este flujo de trabajo se aplica a los clientes actuales que usan un conector de un producto de gestión de parches de las instalaciones como Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security o Ivanti Desktop and Server Management. Estos clientes empezarán la migración al flujo de trabajo en la nube utilizando simultáneamente ambos flujos de trabajo. Por ejemplo, los clientes existentes podrían elegir transicionar la administración de sus estaciones de trabajo al flujo de trabajo en la nube, al mismo tiempo que siguen proporcionando capacidades de administración de parches en estaciones de trabajo, servidores y otros dispositivos de alto perfil o confidenciales desconectados que usen su flujo de trabajo en las instalaciones. Esta estrategia le permite transicionar al flujo de trabajo en la nube a su propio ritmo.

La consola de las instalaciones realiza un análisis en busca de parches y los despliega en los equipos administrados. Los resultados se notifican a Ivanti Neurons.

Elementos en la figura

A

Dispositivos de agentes

B

Consola de administración de parches en las instalaciones (Endpoint Manager, Security Controls, etc.)

C

Dispositivos gestionados por consola

Flujo de trabajo en la nube

1

Crear una política personalizada.

2

Crear una configuración de parches y asociarla con su política.

3

Espere a que los cambios se propaguen por sus dispositivos de agente.

4

Los agentes buscan y despliegan parches en los dispositivos gestionados.

5

Los resultados de los análisis y despliegues se notifican a Ivanti Neurons.

Flujo de trabajo híbrido

i

Conector

ii

La consola busca y despliega parches en los dispositivos gestionados.

iii

Los resultados de la consola se notifican a Ivanti Neurons.

El resultado será una combinación de datos en la plataforma de Ivanti Neurons para los dispositivos administrados en la nube y en las instalaciones. Los despliegues de parches para puntos terminales regidos por el flujo de trabajo en la nube los llevará a cabo el agente de Ivanti Neurons. Los despliegues en dispositivos controlados por una solución local seguirá llevándose a cabo con la consola local.

Es posible que quiera que los dispositivos sean administrados por Ivanti Neurons Cloud y por una solución en las instalaciones. Ambas soluciones funcionará juntas. Las acciones que se llevan a cabo desde Ivanti Neurons Cloud tendrán prioridad porque proporcionan una interacción directa con los dispositivos.

Aunque es posible que los dispositivos se administren con ambas soluciones, no es deseable, puesto que recibir múltiples informes de productos distintos puede resultar confuso.

Los despliegues se pueden iniciar con un agente de Ivanti Neurons, con un Administrador de puntos terminales de Ivanti o con la consola de controles de seguridad de Ivanti en las instalaciones, o desde dentro de la nube mediante los componentes de Detalles del dispositivo o Vulnerabilidad de Endpoint.

Si está utilizando un perfil de análisis personalizado en Ivanti Security Controls, al desplegar un parche ausente puede encontrarse con que se le indica que ya está instalado en el dispositivo. Para evitarlo, añada un análisis periódico de todos los dispositivos mediante una de las plantillas predefinidas Análisis de parches de seguridad o Todos los parches . Para más información, consulte este artículo en la Comunidad Ivanti (se abre en una ventana nueva).

Temas relacionados

Vulnerabilidad de Endpoint

Patch Intelligence

Historial de despliegue

Configuración del parche