Gestione patch

Ivanti Neurons for Patch Management è una soluzione di applicazione patch cloud. Combina le intuizioni in tempo reale della Ivanti Neurons Platform con le informazioni sulle risorse di Ivanti Neurons for Discovery e l'intelligence attivabile per la prioritizzazione basata sul rischio al fine di guidare una strategia di sicurezza adattiva. Funzionalità complete di gestione delle patch vengono fornite per i computer Windows, macOS e Linux e comprendono la possibilità di applicare patch ai prodotti Microsoft, Apple e di terze parti.

Per i Mac Apple Silicon e i Mac Intel con il chip Apple T2, Ivanti Neurons for Patch Management necessita di un account di ruolo per gestire le patch del sistema operativo sul dispositivo. Ciò significa che quando Ivanti Neurons for Patch Management distribuisce per la prima volta una patch del sistema operativo su un dispositivo di questo tipo, viene visualizzata una finestra di dialogo che chiede all'amministratore locale di creare un account di ruolo amministrativo per Ivanti Neurons da utilizzare sul dispositivo. Le istruzioni vengono fornite a schermo. Se FileVault è abilitato, l'account di ruolo amministrativo creato apparirà nella schermata di accesso dopo il riavvio.

Per accedere a Ivanti Neurons per la Gestione patch, andare in Gestione patch nella Ivanti Neurons Platform.

Ivanti Neurons for Patch Management comprende i seguenti componenti, a seconda della licenza:

  • Reporting di conformità: consente di determinare lo stato di conformità attuale e di vedere l'andamento nel tempo.
  • Vulnerabilità endpoint: fornisce una vista centrale sull'applicazione patch sui dispositivi per il proprio ambiente, con metriche di integrità dispositivo e basate sul rischio.
  • Patch Intelligence: raccoglie e aggrega i dati per contribuire a gestire, classificare in ordine di priorità e semplificare l'applicazione di patch nel proprio ambiente. Fornisce un quadro chiaro del proprio panorama di minacce con metriche in ordine di priorità e basate sul rischio.
  • Cronologia distribuzioni: fornisce un modo per visualizzare lo stato delle operazioni di distribuzione recenti. È possibile concentrarsi sulle eccezioni e risolvere rapidamente qualsiasi problema.
  • Impostazioni patch: consente di configurare configurazioni patch e gruppi di patch per il flusso di lavoro di gestione patch cloud. Una configurazione predefinita che rimedia a tutte le patch di sicurezza critiche può essere utilizzata per iniziare rapidamente, oppure è possibile creare una configurazione personalizzata delle patch per soddisfare le soglie di conformità uniche della propria organizzazione.
  • Patch per Intune: estende le implementazioni di Microsoft Intune per includere funzionalità di gestione dei prodotti di terze parti.

Assicurarsi di disporre delle autorizzazioni necessarie per usare Gestione patch.

Requisiti

È necessario aggiungere una serie di URL web ai propri elenchi di eccezioni filtro firewall, proxy e web. Gli URL sono utilizzati per scaricare il contenuto delle patch da fornitori di terze parti.

Per l'elenco completo degli URL da aggiungere, vedere URL, indirizzi IP e porte richiesti.

Per distribuire correttamente le patch con Ivanti Neurons Agent ai dispositivi Windows, non disattivare il servizio Windows Update, ma impostarlo su Manuale o Automatico. Inoltre, regolare l'impostazione Windows Update su ciascun computer di destinazione (Pannello di controllo > Sistema e sicurezza > Windows Update > Modifica impostazioni) su Non controllare mai l'esistenza di aggiornamenti. Per ulteriori informazioni, vedere questo articolo sulla Community Ivanti.

Se si sta eseguendo l'applicazione patch di Office 2019 o Office 365 che utilizza la tecnologia Click-to-Run, consultare Come Ivanti applica patch alle installazioni di Office Click-to-Run sulla Community Ivanti (si apre in una nuova finestra) per informazioni su come Patch for Neurons applica patch a queste installazioni.

Flusso di lavoro cloud

Questo è il flusso di lavoro principale per eseguire le funzionalità di gestione delle patch. Tutte le attività di configurazione e valutazione sono eseguite all'interno del cloud, mentre le scansioni e le implementazioni effettive sono eseguite da agenti installati sui computer gestiti.

1) Creare un gruppo di criteri personalizzato 2) Creare una configurazione di patch e associarla al proprio gruppo di criteri 3) Attendere che i cambiamenti si propaghino ai propri computer agenti 4) Gli agenti cercano e distribuiscono le patch 5) I risultati vengono segnalati a Ivanti Neurons.

Elementi in Figura

A

Computer agenti

Flusso di lavoro cloud

1

Creare un gruppo di criteri personalizzato.

2

Creare una configurazione di patch e associarla al proprio gruppo di criteri.

3

Attendere che i cambiamenti si propaghino ai propri computer agenti.

4

Gli agenti cercano e distribuiscono le patch sui computer gestiti.

5

I risultati delle analisi e di distribuzione vengono segnalati a Ivanti Neurons.

Dettagli del flusso di lavoro cloud

Passaggi condizionali

Se i propri dispositivi contengono già un agente Ivanti Neurons, è possibile saltare questi passaggi condizionali.

  1. Scaricare un agente per il tipo di dispositivo corretto (Windows, Mac o Linux).
    Nel download sono inclusi due file:
    • Il file eseguibile dell'agente
    • Un file di opzioni che contiene l'ID del tenant, la chiave di attivazione e le informazioni sul cloudhost necessarie durante la procedura di installazione
  2. Installare l'agente sui computer di destinazione desiderati.
    1. Sul computer di destinazione, fare doppio clic sul file eseguibile per avviare la procedura di installazione.
    2. Seguire le istruzioni nella procedura guidata di installazione.
  3. Attendere che l'agente esegua automaticamente queste operazioni:
    • Registrarsi ed eseguire il check-in con Ivanti Neurons
    • Scaricare il gruppo di criteri agente predefiniti
    • Eseguire un'analisi del computer di destinazione per rilevare tutte le patch mancanti e segnalare i risultati a Ivanti Neurons
  4. Visualizzare le informazioni sui computer di destinazione recentemente individuati dalla vista Dispositivi all'interno di Ivanti Neurons.

Passaggi principali

  1. Creare un gruppo di criteri agente personalizzato.
    Il gruppo di criteri predefinito che viene inizialmente installato con un agente viene configurato solo per eseguire analisi patch. Al fine di eseguire le distribuzioni patch, sarà necessario creare almeno un gruppo di criteri personalizzato. Il gruppo di criteri personalizzato deve essere abilitato a eseguire azioni di gestione delle patch e deve essere associato a una configurazione delle patch che definisce le proprie impostazioni di distribuzione. Si utilizzerà l'opzione Aggiungi dispositivi all'interno del criterio per assegnare il criterio ai computer agenti desiderati.
    Assicurarsi di abilitare la capacità Gestione patch al momento di creare il gruppo di criteri agente. Il gruppo di criteri definisce le regole che permettono all'agente di operare autonomamente su un dispositivo, con o senza interazione umana.
    All'interno del criterio agente personalizzato è possibile selezionare di utilizzare il download peer-to-peer. Il peer-to-peer supporta patch firmate digitalmente e con sideload. Le patch scaricate automaticamente dal fornitore non firmate digitalmente non sono supportate dal peer-to-peer, ad esempio 7-Zip e Core FTP. Il server peer condividerà con il client peer solo le patch applicabili al sistema operativo, ad esempio un Server 2019 condividerà con un client Windows 11 solo le patch del 2019, non successive.
  2. Configurare le proprie impostazioni patch.
    Le impostazioni patch consisteranno in quanto segue:
    • Configurazione patch: lo scopo principale di una configurazione patch consiste nel definire in che modo verranno distribuite le patch ai computer agenti. Viene fornita una configurazione patch predefinita che distribuirà tutte le patch di sicurezza critiche mancanti nel proprio ambiente Windows su base settimanale. Probabilmente si vorrà creare una o più configurazioni di patch personalizzate per definire i requisiti unici di distribuzione delle patch della propria organizzazione.

      Sulla scheda Associazioni, assicurarsi di associare la propria configurazione patch con un gruppo di criteri agenti personalizzati abilitati per eseguire azioni di gestione patch.

    • (Opzionale) Gruppo di patch: è possibile scegliere di fare riferimento a un gruppo di patch in una configurazione patch. Un gruppo di patch contiene un elenco di patch specifiche da distribuire. Questo rappresenta un buon modo per assicurarsi che vengano distribuite solo le patch approvate. Vedere la sezione Comportamento di distribuzione nell'argomento Impostazioni patch per informazioni su come configurare correttamente questo scenario.
  3. Attendere che i cambiamenti si propaghino ai propri dispositivi.
    I propri dispositivi riceveranno le informazioni aggiornate sui criteri e sulla configurazione patch al prossimo check-in degli agenti con Ivanti Neurons.
  4. Distribuire le patch mancanti al computer agente.
    La distribuzione può essere effettuata in quattro modi diversi:
    • Mediante una distribuzione patch automatica e pianificata, definita dalla configurazione patch.
    • Dal componente Vulnerabilità endpoint presente all'interno di Ivanti Neurons for Patch Management. È possibile utilizzare questo componente per distribuire tutte le patch identificate come mancanti durante la scansione delle patch più recente.

      Assicurarsi di disporre delle autorizzazioni di Gestione patch necessarie per distribuire le patch da Vulnerabilità endpoint.

    • Dalla scheda Patch della pagina Dettagli dispositivo. Da questa pagina è possibile selezionare le singole patch da distribuire.
    • Utilizzando il client agente sul computer agente per inizializzare immediatamente una distribuzione patch.
    Dopo una distribuzione patch, il computer agente verrà rianalizzato automaticamente e i risultati verranno inviati a Ivanti Neurons. Ciò consentirà di verificare lo stato di distribuzione e valutare l'integrità corrente del computer agente.
  5. Utilizzare il componente Cronologia distribuzioni per visualizzare i risultati della distribuzione e identificare rapidamente eventuali problemi.
  6. Utilizzare il componente Vulnerabilità endpoint per valutare l'integrità delle patch dei computer nel proprio ambiente.
  7. Utilizzare il componente Patch Intelligence per ottenere un livello più profondo di comprensione delle vulnerabilità rilevate sui propri computer in base alla prioritizzazione basata sul rischio, all'affidabilità delle patch e alla conformità delle patch.

Flusso di lavoro ibrido

Questo flusso di lavoro si applica ai clienti attuali che utilizzano un connettore a un prodotto di gestione delle patch in loco come Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security o Ivanti Desktop and Server Management. Questi clienti inizieranno la migrazione al flusso di lavoro cloud simultaneamente utilizzando entrambi i flussi di lavoro. Ad esempio, i clienti esistenti possono scegliere la transizione alla gestione delle proprie workstation al flusso di lavoro cloud, continuando a fornire funzionalità di gestione patch alle workstation disconnesse, ai server e ad altri dispositivi sensibili o di alto profilo, utilizzando il relativo flusso di lavoro in loco. Questa strategia consente di eseguire la transizione al flusso di lavoro cloud al proprio ritmo.

La console in loco analizza e distribuisce patch ai computer gestiti. I risultati vengono segnalati a Ivanti Neurons.

Elementi in Figura

A

Computer agenti

B

Console di gestione patch in loco (Endpoint Manager, Security Controls, ecc.)

C

Computer gestiti dalla console

Flusso di lavoro cloud

1

Creare un gruppo di criteri personalizzato.

2

Creare una configurazione di patch e associarla al proprio gruppo di criteri.

3

Attendere che i cambiamenti si propaghino ai propri computer agenti.

4

Gli agenti cercano e distribuiscono le patch sui computer gestiti.

5

I risultati delle analisi e di distribuzione vengono segnalati a Ivanti Neurons.

Flusso di lavoro ibrido

i

Connettore

ii

La console analizza e distribuisce le patch ai computer gestiti.

iii

I risultati della console sono segnalati in Ivanti Neurons.

Il risultato sarà una combinazione di dati nella Ivanti Neurons Platform sia per il cloud che per i dispositivi gestiti in loco. Le distribuzioni patch per gli endpoint governati dal flusso di lavoro cloud verranno eseguite dall'agente Ivanti Neurons. Le distribuzioni ai dispositivi governati da una soluzione in loco continueranno a essere eseguite dalla console in loco.

È possibile disporre di dispositivi gestiti sia da Ivanti Neurons Cloud sia dalla soluzione in loco. Entrambe le soluzioni funzioneranno efficacemente affiancate. Le azioni eseguite da Ivanti Neurons Cloud avranno la precedenza perché forniscono un'interazione diretta con i dispositivi.

Anche se è possibile avere dispositivi gestiti da entrambe le soluzioni, probabilmente non è consigliabile, dato che ricevere più report da prodotti diversi può causare confusione.

Le distribuzioni possono essere avviate da un agente Ivanti Neurons, da una console in loco Ivanti Endpoint Manager o Ivanti Security Controls o dall'interno del cloud utilizzando i componenti Dettagli dispositivo o Vulnerabilità endpoint.

Se si utilizza un profilo di scansione personalizzato in Ivanti Security Controls, è possibile che durante la distribuzione di una patch mancante venga detto che è già installata sul dispositivo. Per evitare questo problema, aggiungere una scansione regolare di tutti i dispositivi utilizzando uno dei modelli predefiniti Scansione patch di sicurezza o Tutte le patch. Per ulteriori informazioni, vedere questo Articolo della Ivanti Community (si apre in una nuova finestra).

Argomenti correlati

Vulnerabilità endpoint

Patch Intelligence

Cronologia delle distribuzioni

Impostazioni patch