Come iniziare con la Gestione patch

Questa pagina fornisce una breve panoramica delle fasi di impostazione di Ivanti Neurons per la Gestione patch. Vi sono due opzioni principali:

  • Flusso di lavoro cloud: questo è il flusso di lavoro principale per eseguire le funzionalità di gestione delle patch. Tutte le attività di configurazione e valutazione sono eseguite all'interno del cloud, mentre le scansioni e le distribuzioni effettive sono eseguite da agenti installati sui computer gestiti.
  • Flusso di lavoro ibrido: per i clienti attuali che utilizzano un connettore a un prodotto di gestione delle patch in loco come Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security o Ivanti Desktop and Server Management.

Per i dettagli su quali sistemi operativi e distribuzioni Linux possono essere patchati, vedere Matrice di compatibilità dei sistemi operativi.

Il patching di altre distribuzioni Linux come Rocky, Alma e Debian e il supporto esteso per distribuzioni come CentOS 6, CentOS 7, Oracle 6, Oracle 7, Ubuntu 16 e Ubuntu 18 sono disponibili attraverso il programma partner. Per ulteriori informazioni, consultare KernelCare Enterprise sull'Ivanti Marketplace.

Flusso di lavoro cloud

Questo è il flusso di lavoro principale per eseguire le funzionalità di gestione delle patch. Tutte le attività di configurazione e valutazione sono eseguite all'interno del cloud, mentre le scansioni e le distribuzioni effettive sono eseguite da agenti installati sui computer gestiti.

1) Creare un gruppo di criteri personalizzato 2) Creare una configurazione di patch e associarla al proprio gruppo di criteri 3) Attendere che i cambiamenti si propaghino ai propri computer agenti 4) Gli agenti cercano e distribuiscono le patch 5) I risultati vengono segnalati a Ivanti Neurons.

Elementi in Figura

A

Dispositivi agenti

Flusso di lavoro cloud

1

Creare un criterio personalizzato.

2

Creare una configurazione di patch e associarla al proprio criterio.

3

Attendere che i cambiamenti si propaghino ai propri dispositivi agenti.

4

Gli agenti cercano e distribuiscono le patch sui dispositivi gestiti.

5

I risultati delle analisi e di distribuzione vengono segnalati a Ivanti Neurons.

Dettagli del flusso di lavoro cloud

Passaggi condizionali

Se i propri dispositivi contengono già un agente Ivanti Neurons, è possibile saltare questi passaggi condizionali.

  1. Scaricare un agente per il tipo di dispositivo corretto (Windows, Mac o Linux).
    Nel download sono inclusi due file:
    • Il file eseguibile dell'agente
    • Un file di opzioni che contiene l'ID del tenant, la chiave di registrazione e le informazioni sul cloudhost necessarie durante la procedura di installazione
  2. Installare l'agente sui dispositivi di destinazione desiderati.
    1. Sul dispositivo di destinazione, fare doppio clic sul file eseguibile per avviare la procedura di installazione.
    2. Seguire le istruzioni nella procedura guidata di installazione.
  3. Attendere che l'agente esegua automaticamente queste operazioni:
    • Registrarsi ed eseguire il check-in con Ivanti Neurons
    • Scaricare il criterio agenti assegnati
    • Eseguire un'analisi del dispositivo di destinazione per rilevare tutte le patch mancanti e segnalare i risultati a Ivanti Neurons
  4. Visualizzare le informazioni sui dispositivi di destinazione recentemente individuati dalla vista Dispositivi all'interno di Ivanti Neurons.

Passaggi principali

  1. Creare un criterio agente personalizzato.
    Il criterio predefinito che viene inizialmente installato con un agente viene configurato solo per eseguire analisi patch. Al fine di eseguire distribuzioni patch, sarà necessario creare almeno un criterio personalizzato. Il criterio personalizzato deve essere abilitato a eseguire azioni di gestione delle patch e deve essere associato a una configurazione delle patch che definisce le proprie impostazioni di distribuzione. Si utilizzerà l'opzione Aggiungi dispositivi all'interno del criterio per assegnare il criterio ai dispositivi agenti desiderati.
    Assicurarsi di abilitare la capacità Gestione patch al momento di creare il criterio agente. Il criterio definisce le regole che permettono all'agente di operare autonomamente su un dispositivo, con o senza interazione umana.
    All'interno del criterio agente personalizzato è possibile selezionare di utilizzare il download peer-to-peer. Il peer-to-peer supporta patch firmate digitalmente e con sideload. Le patch scaricate automaticamente dal fornitore non firmate digitalmente non sono supportate dal peer-to-peer, ad esempio 7-Zip e Core FTP. Il server peer condividerà con il client peer solo le patch applicabili al sistema operativo, ad esempio un Server 2019 condividerà solo le patch del 2019.
  2. Configurare le proprie impostazioni patch.
    Le impostazioni patch consisteranno in quanto segue:
    • Configurazione patch: lo scopo principale di una configurazione patch consiste nel definire in che modo verranno distribuite le patch ai dispositivi agenti. Viene fornita una configurazione patch predefinita che distribuirà tutte le patch di sicurezza critiche mancanti nel proprio ambiente Windows su base settimanale. Probabilmente si vorrà creare una o più configurazioni di patch personalizzate per definire i requisiti unici di distribuzione delle patch della propria organizzazione.

      Sulla scheda Associazioni, assicurarsi di associare la propria configurazione patch a un criterio agente personalizzato abilitato per eseguire azioni di gestione patch.

    • (Opzionale) Gruppo di patch: è possibile scegliere di fare riferimento a un gruppo di patch in una configurazione patch. Un gruppo di patch contiene un elenco di patch specifiche da distribuire. Questo rappresenta un buon modo per assicurarsi che vengano distribuite solo le patch approvate. Vedere la sezione Comportamento di distribuzione nell'argomento Impostazioni patch per informazioni su come configurare correttamente questo scenario.
  3. Attendere che i cambiamenti si propaghino ai propri dispositivi.
    I propri dispositivi riceveranno le informazioni aggiornate sui criteri e sulla configurazione patch al prossimo check-in degli agenti con Ivanti Neurons.
  4. Distribuire le patch mancanti al dispositivo agente.
    La distribuzione può essere effettuata in quattro modi diversi:
    • Mediante una distribuzione patch automatica e pianificata, definita dalla configurazione patch.
    • Dal componente Vulnerabilità endpoint presente all'interno di Ivanti Neurons for Patch Management. È possibile utilizzare questo componente per distribuire tutte le patch identificate come mancanti durante la scansione delle patch più recente.

      Assicurarsi di disporre delle autorizzazioni di Gestione patch necessarie per distribuire le patch da Vulnerabilità endpoint.

    • Dalla scheda Patch della pagina Dettagli dispositivo. Da questa pagina è possibile selezionare le singole patch da distribuire.
    • Utilizzando l'IU agente sul dispositivo agente per inizializzare immediatamente una distribuzione patch.

      • Per installare l'IU agente è necessario abilitare la funzionalità nel criterio dell'agente assegnato.

    Se una patch non viene installata, viene effettuato un nuovo tentativo (Windows: fino a tre volte in un singolo ciclo di patch e fino a cinque volte in totale per l'endpoint). Mac: fino a tre volte. Linux: nessun nuovo tentativo). È inoltre possibile configurare la distribuzione in modo che venga eseguita al riavvio come parte della pianificazione della configurazione se il dispositivo è offline.

    Dopo una distribuzione patch, il dispositivo agente verrà rianalizzato automaticamente e i risultati verranno inviati a Ivanti Neurons. Ciò consentirà di verificare lo stato di distribuzione e valutare l'integrità corrente del dispositivo agente.

  5. Utilizzare il componente Cronologia distribuzioni per visualizzare i risultati della distribuzione e identificare rapidamente eventuali problemi.
  6. Utilizzare il componente Vulnerabilità endpoint per valutare l'integrità delle patch dei dispositivi nel proprio ambiente.
  7. Utilizzare il componente Patch Intelligence per ottenere un livello più profondo di comprensione delle vulnerabilità rilevate sui propri dispositivi in base alla prioritizzazione basata sul rischio, all'affidabilità delle patch e alla conformità delle patch.

Flusso di lavoro ibrido

Questo flusso di lavoro si applica ai clienti attuali che utilizzano un connettore a un prodotto di gestione delle patch in loco come Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security o Ivanti Desktop and Server Management. Questi clienti inizieranno la migrazione al flusso di lavoro cloud simultaneamente utilizzando entrambi i flussi di lavoro. Ad esempio, i clienti esistenti possono scegliere la transizione alla gestione delle proprie workstation al flusso di lavoro cloud, continuando a fornire funzionalità di gestione patch alle workstation disconnesse, ai server e ad altri dispositivi sensibili o di alto profilo, utilizzando il relativo flusso di lavoro in loco. Questa strategia consente di eseguire la transizione al flusso di lavoro cloud al proprio ritmo.

La console in loco analizza e distribuisce patch ai computer gestiti. I risultati vengono segnalati a Ivanti Neurons.

Elementi in Figura

A

Dispositivi agenti

B

Console di gestione patch in loco (Endpoint Manager, Security Controls, ecc.)

C

Dispositivi gestiti da console

Flusso di lavoro cloud

1

Creare un criterio personalizzato.

2

Creare una configurazione di patch e associarla al proprio criterio.

3

Attendere che i cambiamenti si propaghino ai propri dispositivi agenti.

4

Gli agenti cercano e distribuiscono le patch sui dispositivi gestiti.

5

I risultati delle analisi e di distribuzione vengono segnalati a Ivanti Neurons.

Flusso di lavoro ibrido

i

Connettore

ii

La console analizza e distribuisce le patch ai dispositivi gestiti.

iii

I risultati della console sono segnalati in Ivanti Neurons.

Il risultato sarà una combinazione di dati nella Ivanti Neurons Platform sia per il cloud che per i dispositivi gestiti in loco. Le distribuzioni patch per gli endpoint governati dal flusso di lavoro cloud verranno eseguite dall'agente Ivanti Neurons. Le distribuzioni ai dispositivi governati da una soluzione in loco continueranno a essere eseguite dalla console in loco.

È possibile disporre di dispositivi gestiti sia da Ivanti Neurons Cloud sia dalla soluzione in loco. Entrambe le soluzioni funzioneranno efficacemente affiancate. Le azioni eseguite da Ivanti Neurons Cloud avranno la precedenza perché forniscono un'interazione diretta con i dispositivi.

Anche se è possibile avere dispositivi gestiti da entrambe le soluzioni, probabilmente non è consigliabile, dato che ricevere più report da prodotti diversi può causare confusione.

Le distribuzioni possono essere avviate da un agente Ivanti Neurons, da una console in loco Ivanti Endpoint Manager o Ivanti Security Controls o dall'interno del cloud utilizzando i componenti Dettagli dispositivo o Vulnerabilità endpoint.

Se si utilizza un profilo di scansione personalizzato in Ivanti Security Controls, è possibile che durante la distribuzione di una patch mancante venga detto che è già installata sul dispositivo. Per evitare questo problema, aggiungere una scansione regolare di tutti i dispositivi utilizzando uno dei modelli predefiniti Scansione patch di sicurezza o Tutte le patch. Per ulteriori informazioni, vedere questo Articolo della Ivanti Community (si apre in una nuova finestra).