パッチ管理
Ivanti Neurons for Patch Management は、クラウドのパッチ適用ソリューションです。 Ivanti Neurons プラットフォームのリアルタイム インサイトを、Ivanti Neurons for Discovery の資産情報、およびリスクベースの優先順位付けを可能にするアクショナブル インテリジェンスと結合させることで、適応力のあるセキュリティ戦略を推進します。 Windows および macOS コンピュータ向けの包括的なパッチ管理機能が導入され、Microsoft、Apple、サードパーティ ベンダ製の製品にパッチを適用する機能が含まれています。
Apple Silicon Mac と Apple T2チップ搭載 Intel Mac の場合は、Ivanti Neurons for Patch Management には、デバイス上のオペレーティング システム パッチを管理するためのロール アカウントが必要です。つまり、Ivanti Neurons for Patch Management がこのタイプのデバイスにオペレーティング システム パッチを最初に配布する際に、デバイスで使用する Ivanti Neurons 用の管理ロール アカウントをローカル管理者が作成するよう求めるダイアログが表示されます。手順は画面に表示されます。FileVault が有効になっている場合は、作成した管理ロール アカウントが再起動後のログイン画面に表示されます。
Ivanti Neurons for Patch Management にアクセスするには、Ivanti Neurons プラットフォームで [パッチ管理] に移動します。
Ivanti Neurons for Patch Management は、ライセンスに応じて次のコンポーネントで構成されます。
- 準拠レポート: 現在の準拠ステータスや経時的な傾向を判別できます。
- エンドポイントの脆弱性: デバイスの正常性とリスクベースのメトリクスにより、環境のデバイスへのパッチ適用について、一元的な表示が得られます。
- Patch Intelligence: 環境におけるパッチ適用の管理、優先順位付け、合理化を支援するためのデータを収集、集計します。 優先順位付けされた、リスクベースのメトリクスにより、脅威ランドスケープの全容が提供されます。
- 配布履歴: 最近の配布操作のステータスが表示されます。 例外に焦点を絞り、問題をすばやくトラブルシューティングできます。
- パッチ設定: クラウド パッチ管理ワークフロー用のパッチ構成とパッチ グループを構成できます。 重要なすべてのセキュリティ パッチを修復する既定の構成を使用して迅速に着手することも、組織における準拠のための固有のしきい値に合致したカスタムのパッチ構成を作成することもできます。
- Patch for Intune: Microsoft Intune の実装を拡張して、サードパーティの製品管理機能を組み込みます。
パッチ管理を使用するために必要な権限があることを確認してください。
要件
ファイアウォール、プロキシ、 Web フィルタといった例外リストに、多数の Web URL を追加する必要があります。 それらの URL は、サードパーティ ベンダからパッチ コンテンツをダウンロードするために使用されます。
追加する必要のある URL の完全なリストについては、 Ivanti コミュニティのこの記事をご参照ください。
Ivanti Neurons エージェントを使用した Windows デバイスへのパッチの配布を成功させるには、Windows Update サービスを無効にするのではなく、[手動] または [自動] のいずれかに設定します。加えて、各ターゲット コンピュータの Windows Update の設定 ([コントロール パネル] > [システムとセキュリティ] > [Windows Update] > [設定の変更]) を [更新プログラムを確認しない] に設定します。詳細については、Ivanti コミュニティの「この記事」をご参照ください。
クラウド ワークフロー
これは、パッチ管理機能を実行するための主要ワークフローです。 構成や評価のアクティビティはすべてクラウド内で実行される一方、実際のスキャンと配布は、管理対象のコンピュータにインストールされているエージェントによって実行されます。
図の項目 |
|
---|---|
A |
エージェント コンピュータ |
クラウド ワークフロー |
|
1 |
カスタム ポリシー グループを作成します。 |
2 |
パッチ構成を作成し、ポリシー グループを関連付けます。 |
3 |
エージェント コンピュータに変更が反映されるまで待ちます。 |
4 |
エージェントが管理対象コンピュータ上のパッチをスキャンし、パッチを配布します。 |
5 |
スキャンと配布の結果が Ivanti Neurons に報告されます。 |
クラウド ワークフローの詳細
条件付き手順
デバイスに既に Ivanti Neurons エージェントが含まれている場合は、以下の条件付き手順をスキップできます。
- 適切なデバイス タイプ (Windows または Mac) のエージェントをダウンロードします。
ダウンロードに含まれるのは、次の2つのファイルです。- エージェント実行ファイル
- インストール プロセスで必要になるテナント ID、認証キー、および cloudhost 情報が含まれているオプションファイル
- 目的のターゲット コンピュータにエージェントをインストールします。
- ターゲット コンピュータで、実行ファイルをダブルクリックしてインストール プロセスを開始します。
- インストール ウィザードの指示に従います。
- エージェントが自動的に以下のことを実行するのを待ちます。
- Ivanti Neurons を登録して、そこにチェックインする
- 既定のエージェント ポリシー グループをダウンロードする
- ターゲット コンピュータのスキャンを実行して、不足しているパッチをすべて洗い出し、結果を Ivanti Neurons に報告する
- Ivanti Neurons 内のデバイス ビューで、 新たに検出されたターゲット コンピュータに関する情報を表示します。
主要手順
- カスタムのエージェント ポリシー グループを作成します。
エージェントとともに初期インストールされる既定のポリシー グループは、パッチ スキャンのみを実行するように構成されています。 パッチ配布を実行するためには、カスタム ポリシー グループを少なくとも1つ作成する必要があります。 パッチ管理アクションを実行するには、カスタム ポリシー グループが有効になっていて、かつ、配布設定を定義しているパッチ構成が関連付けられている必要があります。 目的のエージェント コンピュータにポリシーを割り当てるには、ポリシー内で [デバイスを追加] オプションを使用します。
エージェント ポリシー グループを作成する場合は、必ず [パッチ管理] 機能を有効にしてください。 ポリシー グループにより、人間の介入あり/なしでエージェントがデバイス上で自動的に操作できるようにするためのルールを定義します。
カスタム エージェント ポリシーで、ピアツーピア ダウンロードを使用するように選択できます。 ピアツーピアは、デジタル署名され、サイドロードされたパッチをサポートします。 7-Zip や Core FTP などのベンダから自動的にダウンロードされ、デジタル署名されていないパッチは、ピアツーピアでサポートされません。 サーバ ピアは、OS に適用可能なパッチのみをピア クライアントに共有します。たとえば、Server 2019は、2019のバッチのみ (以降のパッチは含まない) を Windows 11クライアントと共有します。 - パッチ設定を構成します。
パッチ設定は、次の内容で構成されます。- パッチ構成: パッチ構成の主な目的は、パッチをどのようにエージェント コンピュータに配布するかを定義することです。 用意されている既定のパッチ構成では、不足している重要なセキュリティ パッチがすべて、毎週配布されます。 おそらくは、カスタムのパッチ構成を1つ以上作成して、組織の固有のパッチ配布要件を定義することが必要になります。
[関連付け] タブで、パッチ管理処理を実行できるようになっているカスタム エージェント ポリシー グループに、パッチ構成を関連付けてください。
- (任意) パッチ グループ: パッチ構成では、パッチ グループを参照することを選択できます。パッチ グループには、配布する特定のパッチのリストが含まれています。 これは、許可されたパッチのみが配布されるようにするための良い方法です。 このシナリオを適切に構成する方法については、 「パッチ設定」トピックの「配布の動作」セクションをご参照ください。
- パッチ構成: パッチ構成の主な目的は、パッチをどのようにエージェント コンピュータに配布するかを定義することです。 用意されている既定のパッチ構成では、不足している重要なセキュリティ パッチがすべて、毎週配布されます。 おそらくは、カスタムのパッチ構成を1つ以上作成して、組織の固有のパッチ配布要件を定義することが必要になります。
- デバイスに変更が反映されるまで待ちます。
デバイスは、次回エージェントが Ivanti Neurons にチェックインした際に、更新されたポリシーとパッチ構成情報を受け取ります。 - 不足しているパッチをエージェント コンピュータに配布します。
配布は次の 4 つの方法で実行できます。- 自動。パッチ構成で定義されたスケジュールされたパッチ配布が使用されます。
- Ivanti Neurons for Patch Management のエンドポイントの脆弱性コンポーネント。 このコンポーネントを使用すると、最新のパッチ スキャンで不足していることが特定されたすべてのパッチを配布できます。
[エンドポイントの脆弱性] からパッチを配布するために必要なパッチ管理権限があることを確認してください。
- デバイス詳細ページの [パッチ] タブ。このページから、配布する個別のパッチを選択できます。
- エージェント コンピュータでエージェント クライアントを使用すると、すぐにパッチ配布を開始できます。
- 配布履歴コンポーネントを使用して、配布結果を表示し、問題があればすばやく特定します。
- エンドポイントの脆弱性コンポーネントを使用して、環境内のコンピュータのパッチ正常性を評価します。
- Patch Intelligence コンポーネントを使用して、リスクベースの優先順位付け、パッチの信頼性、およびパッチ コンプライアンスに基づいて、コンピュータで検出された脆弱性について、より深いレベルで理解します。
ハイブリッド ワークフロー
このワークフローは、オンプレミスのパッチ管理製品へのコネクタ (Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security、または Ivanti Desktop、および Server Management など) を利用している最近のお客様に適用されます。 これらのお客様は、両方のワークフローを同時に利用することにより、クラウド ワークフローへの移行を開始することになります。 たとえば、既存のお客様の場合、ネットワークから切断されているワークステーションやサーバやその他の重要なデバイス、あるいは機密性の高いデバイスに対しては、オンプレミス ワークフローを使用したパッチ管理機能の提供を継続的に行いながら、ワークステーションの管理はクラウド ワークフローに移行する、といったことを選択する可能性があります。 この戦略により、お客様はそれぞれのペースでクラウド ワークフローに移行できます。
図の項目 |
|
---|---|
A |
エージェント コンピュータ |
B |
オンプレミスのパッチ管理コンソール (Endpoint Manager、Security Controls など.) |
C |
コンソールで管理されているコンピュータ |
クラウド ワークフロー |
|
1 |
カスタム ポリシー グループを作成します。 |
2 |
パッチ構成を作成し、ポリシー グループを関連付けます。 |
3 |
エージェント コンピュータに変更が反映されるまで待ちます。 |
4 |
エージェントが管理対象コンピュータ上のパッチをスキャンし、パッチを配布します。 |
5 |
スキャンと配布の結果が Ivanti Neurons に報告されます。 |
ハイブリッド ワークフロー |
|
i |
コネクタ |
ii |
コンソールがパッチをスキャンし、パッチを管理対象コンピュータに配布します。 |
iii |
コンソール結果は Ivanti Neurons に報告されます。 |
結果は、Ivanti Neurons プラットフォーム内の、クラウドで管理されているデバイスと、オンプレミスで管理されているデバイスの両方についてのデータの組み合わせになります。 クラウド ワークフローによって統制されているエンドポイントに対するパッチ配布は、Ivanti Neurons エージェントによって実行されます。 オンプレミスのソリューションによって統制されているデバイスへの配布は、引き続きオンプレミスのコンソールによって実行されます。
Ivanti Neurons クラウドとオンプレミス ソリューションの両方によって管理されているデバイスが存在する可能性があります。 両方のソリューションが共存して効率的に機能します。 Ivanti Neurons クラウドから実行されるアクションのほうが、デバイスと直接対話することになるため、優先されます。
さまざまな製品から複数のレポートを受け取ると、混乱を招く可能性があります。したがって、デバイスを両方のリューションで管理することは、可能ではありますが、おそらく望ましいことではありません。
配布は、Ivanti Neurons エージェント、Ivanti Endpoint Manager、または Ivanti Security Controls オンプレミス コンソール、あるいはデバイス詳細またはエンドポイントの脆弱性コンポーネントを使用しているクラウドから開始できます。