パッチ管理の基本操作
このページでは、Ivanti Neurons for Patch Management を設定する際の手順の概要を示します。 次のような2つのメイン オプションがあります。
- クラウド ワークフロー: パッチ管理の機能を実行するための主要ワークフロー。 構成や評価のアクティビティはすべてクラウド内で実行される一方、実際のスキャンと配布は、管理対象のデバイスにインストールされているエージェントによって実行されます。
- ハイブリッド ワークフロー: オンプレミスのパッチ管理製品 (Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security、Ivanti Desktop and Server Management など) へのコネクタを使用しているお客様向け。
パッチを適用できるオペレーティング システムおよび Linux ディストリビューションの詳細については、「オペレーティング システム互換性マトリクス」をご参照ください。
Rocky、Alma、Debian などの追加の Linux ディストリビューションへのパッチ適用、ならびに CentOS 6、CentOS 7、Oracle 6、Oracle 7、Ubuntu 16、Ubuntu 18などのディストリビューションに対する拡張サポートは、パートナ プログラムを通じて利用できます。 詳細については、Ivanti Marketplace の「KernelCare Enterprise」をご参照ください。
クラウド ワークフロー
これは、パッチ管理機能を実行するための主要ワークフローです。 構成や評価のアクティビティはすべてクラウド内で実行される一方、実際のスキャンと配布は、管理対象のデバイスにインストールされているエージェントによって実行されます。
|
図の項目 |
|
|---|---|
|
A |
エージェント デバイス |
|
クラウド ワークフロー |
|
|
1 |
カスタム ポリシーを作成します。 |
|
2 |
パッチ構成を作成し、ポリシーを関連付けます。 |
|
3 |
エージェント デバイスに変更が反映されるまで待ちます。 |
|
4 |
エージェントが管理対象デバイス上のパッチをスキャンし、パッチを配布します。 |
|
5 |
スキャンと配布の結果が Ivanti Neurons に報告されます。 |
クラウド ワークフローの詳細
条件付き手順
デバイスに既に Ivanti Neurons エージェントが含まれている場合は、以下の条件付き手順をスキップできます。
- 適切なデバイス タイプ (Windows、Mac、または Linux) のエージェントをダウンロードします。
ダウンロードに含まれるのは、次の2つのファイルです。- エージェント実行ファイル
- インストール プロセスで必要になるテナント ID、認証キー、および cloudhost 情報が含まれているオプションファイル
- 目的のターゲット デバイスにエージェントをインストールします。
- ターゲット デバイスで、実行ファイルをダブルクリックしてインストール プロセスを開始します。
- インストール ウィザードの指示に従います。
- エージェントが自動的に以下のことを実行するのを待ちます。
- Ivanti Neurons を登録して、そこにチェックインする
- 割り当てられたエージェント ポリシーをダウンロードする
- ターゲット デバイスのスキャンを実行して、不足しているパッチをすべて洗い出し、結果を Ivanti Neurons に報告する
- Ivanti Neurons 内のデバイス ビューで、 新たに検出されたターゲット デバイスに関する情報を表示します。
主要手順
- カスタムのエージェント ポリシーを作成します。
エージェントとともに初期インストールされる既定のポリシーは、パッチ スキャンのみを実行するように構成されています。 パッチ配布を実行するためには、カスタム ポリシーを少なくとも1つ作成する必要があります。 パッチ管理アクションを実行するには、カスタム ポリシーが有効になっていて、かつ、配布設定を定義しているパッチ構成が関連付けられている必要があります。 目的のエージェント デバイスにポリシーを割り当てるには、ポリシー内で [デバイスを追加] オプションを使用します。
エージェント ポリシーを作成する場合は、必ず [パッチ管理] 機能を有効にしてください。 ポリシーにより、人間の介入あり/なしでエージェントがデバイス上で自律的に動作できるようにするためのルールを定義します。
カスタム エージェント ポリシーで、ピアツーピア ダウンロードを使用するように選択できます。 ピアツーピアは、デジタル署名され、サイドロードされたパッチをサポートします。 7-Zip や Core FTP などのベンダから自動的にダウンロードされ、デジタル署名されていないパッチは、ピアツーピアでサポートされません。 サーバ ピアは、OS に適用可能なパッチのみをピア クライアントに共有します。たとえば、Server 2019は、2019のバッチのみを共有します。 - パッチ設定を構成します。
パッチ設定は、次の内容で構成されます。- パッチ構成: パッチ構成の主な目的は、パッチがどのようにエージェント デバイスに配布されるかを定義することです。 用意されている既定のパッチ構成では、Windows 環境で不足している重要なセキュリティ パッチがすべて、毎週配布されます。 おそらくは、カスタムのパッチ構成を1つ以上作成して、組織の固有のパッチ配布要件を定義することが必要になります。
[関連付け] タブでは、パッチ管理アクションを実行できるようになっているカスタム エージェント ポリシーを、パッチ構成に関連付けてください。
- (任意) パッチ グループ: パッチ構成では、パッチ グループを参照することを選択できます。 パッチ グループには、配布する特定のパッチのリストが含まれています。 これは、許可されたパッチのみが配布されるようにするための良い方法です。 このシナリオを適切に構成する方法については、 「パッチ設定」トピックの「配布の動作」セクションをご参照ください。
- パッチ構成: パッチ構成の主な目的は、パッチがどのようにエージェント デバイスに配布されるかを定義することです。 用意されている既定のパッチ構成では、Windows 環境で不足している重要なセキュリティ パッチがすべて、毎週配布されます。 おそらくは、カスタムのパッチ構成を1つ以上作成して、組織の固有のパッチ配布要件を定義することが必要になります。
- デバイスに変更が反映されるまで待ちます。
デバイスは、次回エージェントが Ivanti Neurons にチェックインした際に、更新されたポリシーとパッチ構成情報を受け取ります。 - 不足しているパッチをエージェント デバイスに配布します。
配布は次の 4 つの方法で実行できます。- 自動。パッチ構成で定義されたスケジュールされたパッチ配布が使用されます。
- Ivanti Neurons for Patch Management のエンドポイントの脆弱性コンポーネント。 このコンポーネントを使用すると、最新のパッチ スキャンで不足していることが特定されたすべてのパッチを配布できます。
[エンドポイントの脆弱性] からパッチを配布するために必要なパッチ管理権限があることを確認してください。
- デバイス詳細ページの [パッチ] タブ。このページから、配布する個別のパッチを選択できます。
- エージェント デバイスでエージェント UI を使用することで、パッチ配布を即座に開始。
エージェント UI をインストールするには、割り当てられたエージェント ポリシーでこの機能を有効にする必要があります。
インストールに失敗したパッチがある場合は、再試行されます (Windows: 個々のパッチ サイクルで最大3回、そのエンドポイントに対しては合計で最大5回。 Mac: 最大3回。 Linux: 再試行なし)。 デバイスがオフラインである場合は、構成のスケジュールの一部として再起動時に実行されるよう、配布を構成することもできます。
パッチ配布後、エージェント デバイスが自動的に再スキャンされ、結果が Ivanti Neurons に送信されます。 これにより、配布ステータスを検証し、エージェント デバイスの現在の正常性を評価できるようになります。
- 配布履歴コンポーネントを使用して、配布結果を表示し、問題があればすばやく特定します。
- エンドポイントの脆弱性コンポーネントを使用して、環境内のデバイスのパッチ正常性を評価します。
- Patch Intelligence コンポーネントを使用して、リスクベースの優先順位付け、パッチの信頼性、およびパッチ準拠に基づいて、デバイスで検出された脆弱性について、より深いレベルで理解します。
ハイブリッド ワークフロー
このワークフローは、オンプレミスのパッチ管理製品へのコネクタ (Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security、または Ivanti Desktop、および Server Management など) を利用している最近のお客様に適用されます。 これらのお客様は、両方のワークフローを同時に利用することにより、クラウド ワークフローへの移行を開始することになります。 たとえば、既存のお客様の場合、ネットワークから切断されているワークステーションやサーバやその他の重要なデバイス、あるいは機密性の高いデバイスに対しては、オンプレミス ワークフローを使用したパッチ管理機能の提供を継続的に行いながら、ワークステーションの管理はクラウド ワークフローに移行する、といったことを選択する可能性があります。 この戦略により、お客様はそれぞれのペースでクラウド ワークフローに移行できます。
|
図の項目 |
|
|---|---|
|
A |
エージェント デバイス |
|
B |
オンプレミスのパッチ管理コンソール (Endpoint Manager、Security Controls など.) |
|
C |
コンソール管理対象デバイス |
|
クラウド ワークフロー |
|
|
1 |
カスタム ポリシーを作成します。 |
|
2 |
パッチ構成を作成し、ポリシーを関連付けます。 |
|
3 |
エージェント デバイスに変更が反映されるまで待ちます。 |
|
4 |
エージェントが管理対象デバイス上のパッチをスキャンし、パッチを配布します。 |
|
5 |
スキャンと配布の結果が Ivanti Neurons に報告されます。 |
|
ハイブリッド ワークフロー |
|
|
i |
コネクタ |
|
ii |
コンソールがパッチをスキャンし、パッチを管理対象デバイスに配布します。 |
|
iii |
コンソール結果は Ivanti Neurons に報告されます。 |
結果は、Ivanti Neurons プラットフォーム内の、クラウドで管理されているデバイスと、オンプレミスで管理されているデバイスの両方についてのデータの組み合わせになります。 クラウド ワークフローによって統制されているエンドポイントに対するパッチ配布は、Ivanti Neurons エージェントによって実行されます。 オンプレミスのソリューションによって統制されているデバイスへの配布は、引き続きオンプレミスのコンソールによって実行されます。
Ivanti Neurons クラウドとオンプレミス ソリューションの両方によって管理されているデバイスが存在する可能性があります。 両方のソリューションが共存して効率的に機能します。 Ivanti Neurons クラウドから実行されるアクションのほうが、デバイスと直接対話することになるため、優先されます。
さまざまな製品から複数のレポートを受け取ると、混乱を招く可能性があります。したがって、デバイスを両方のリューションで管理することは、可能ではありますが、おそらく望ましいことではありません。
配布は、Ivanti Neurons エージェント、Ivanti Endpoint Manager、または Ivanti Security Controls オンプレミス コンソール、あるいはデバイス詳細またはエンドポイントの脆弱性コンポーネントを使用しているクラウドから開始できます。
Ivanti Security Controls でカスタム スキャン プロファイルを使用している場合、示された不足しているパッチを配布するときに、そのパッチが既にデバイスにインストールされていると通知されることがあります。 これを回避するには、事前定義された [セキュリティ パッチ スキャン] または [すべてのパッチ] のテンプレートのいずれかを使用して、すべてのデバイスの定期スキャンを追加します。 詳細については、こちらの Ivanti コミュニティ記事 (別のウィンドウで開きます) をご参照ください。