Aan de slag met Patchbeheer

Deze pagina biedt een kort overzicht van de stappen die betrokken zijn bij het instellen van Ivanti Neurons for Patch Management. Er zijn twee hoofdopties:

• Cloud-workflow: de primaire workflow voor het uitvoeren van de patchbeheerfunctie. Alle configuratie- en beoordelingsactiviteiten worden uitgevoerd binnen de cloud, terwijl de actuele scans en implementaties worden uitgevoerd door agenten die zijn geïnstalleerd op de beheerde apparaten.
• Hybride workflow: voor klanten die een connector gebruiken voor een lokaal product voor patchbeheer zoals Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security of Ivanti Desktop and Server Management.

Cloudworkflow

Dit is de primaire workflow voor het uitvoeren van de patch management-functie. Alle configuratie- en beoordelingsactiviteiten worden uitgevoerd binnen de cloud, terwijl de actuele scans en implementaties worden uitgevoerd door agenten die zijn geïnstalleerd op de beheerde apparaten.

Items in afbeelding
A	Agentapparaten
Cloudworkflow
1	Maak een aangepast beleid.
2	Maak een patchconfiguratie en koppel deze met uw beleid.
3	Wacht tot de wijzigingen worden doorgegeven naar uw agentapparaten.
4	Agenten scannen op en de implementatie van patches op de beheerde machines.
5	Scan en implementatieresultaten worden gemeld aan Ivanti Neurons.

Details van de cloud-workflow

Voorwaardelijke stappen

Als uw apparaten al een Ivanti Neurons-agent bevatten, kunt u deze voorwaardelijke stappen overslaan.

1. Download een agent voor het correcte apparaattype (Windows, Mac of Linux).
   Er zijn twee bestanden inbegrepen in de download:
   • Het uitvoerbare agentbestand
   • Een optiebestand dat de tenant-id, implementatiesleutel en cloudhost-informatie bevat die nodig zullen zijn tijdens het installatieproces
2. Installeer de agent op de gewenste doelapparaten.
   1. Dubbelklik op het doelapparaat op het uitvoerbaar bestand om het installatieproces te starten.
   2. Volg de instructies in de installatiewizard.
3. Wacht tot de agent automatisch het volgende doet:
   • Registreren en inchecken met Ivanti Neurons
   • Download het toegewezen agentbeleid
   • Voer een scan van het doelapparaat uit voor alle ontbrekende patches en meld de resultaten aan Ivanti Neurons
4. Geef informatie weer over de pas gedetecteerde doelapparaten vanaf de Apparaatweergave in Ivanti Neurons.

Primaire stappen

1. Maak een aangepast agentbeleid.
   Het standaard beleid dat aanvankelijk is geïnstalleerd met een agent, is geconfigureerd om alleen patchscans uit te voeren. Om patchimplementaties uit te voeren, moet u minstens één aangepast beleid maken. Het aangepaste beleid moet worden ingeschakeld om patchbeheeracties uit te voeren en moet worden gekoppeld met een patchconfiguratie die uw implementatie-instellingen definieert. U zult de optie Apparaten toevoegen gebruiken binnen het beleid om het toe te wijzen aan de gewenste agentapparaten.
   Zorg dat u de capaciteit Patch Management inschakelt wanneer u het agentbeleid maakt. De beleidsgroep definieert de regels die de agent toestaat autonoom te werken op een apparaat, met of zonder menselijke tussenkomst.
   Binnen het aangepaste agentbeleid, kunt u kiezen om peer-to-peer downloaden te gebruiken. Peer-to-peer ondersteunt digitaal ondertekende en gesideloade patches. Patches die automatisch zijn gedownload van de leverancier en niet digitaal zijn ondertekend, worden niet ondersteund door peer-to-peer, bijvoorbeeld, 7-Zip en Core FTP. De server-peer zal alleen voor OS toepasselijke patches delen met de peer-client, bijv. een Server 2019 zal alleen 2019-patches delen.
2. Configureer uw patchinstellingen.
   Uw patchinstellingen zulllen bestaan uit het volgende:
   • Patchconfiguratie: het hoofddoel van een patchconfiguratie is het definiëren hoe patches zullen worden geïmplementeerd op de agentapparaten. Er is een standaard patchconfiguratie voorzien die alle ontbrekende kritieke beveiligingspatches in uw Windows-omgeving wekelijks zal implementeren. U zult waarschijnlijk één of meer aangepaste patchconfiguraties willen maken voor het definiëren van de unieke vereisten van uw organisatie voor patchimplementatie.

     Zorg dat u op het tabblad Koppelingen uw patchconfiguratie koppelt met een aangepast agentbeleid dat de mogelijkheid heeft om patchbeheeracties uit te voeren.

   • (Optioneel) Patchgroep: u kunt kiezen om te verwijzen naar een patchgroep in een patchconfiguratie. Een patchgroep bevat een lijst specifieke patches die u wilt implementeren. Dit is een goede manier om te controleren dat alleen goedgekeurde patches zijn geïmplementeerd. Raadpleeg de sectie Implementatiegedrag in het onderwerp Patchinstellingen voor informatie over de manier waarop u dit scenario correct kunt configureren.
3. Wacht tot de wijzigingen worden doorgegeven naar uw apparaten.
   Uw apparaten zullen de bijgewerkt beleids- en patchconfiguratiegegevens ontvangen wanneer de agenten de volgende keer inchecken bij Ivanti Neurons.
4. Ontbrekende patches implementeren naar het agentapparaat.
   De implementatie kan worden bereikt op vier verschillende manieren:
   • Via een automatische, geplande patchimplementatie die is gedefinieerd door de patchconfiguratie.
   • Vanaf de component Kwetsbaarheid eindpunt binnen Ivanti Neurons for Patch Management. U kunt deze component gebruiken voor het implementeren van alle patches die werden geïdentificeerd als ontbrekend tijdens de meest recente patchscan.

     Zorg dat u beschikt over de machtigingen van Patch Management die nodig zijn voor het implementeren van patches vanaf Eindpuntkwetsbaarheid.

   • Vanaf het tabblad Patches van de pagina Apparaatdetails. Vanaf deze pagina kunt u individuele patches selecteren voor implementatie.
   • Door gebruik te maken van de Agent-UI op het agentapparaat om onmiddellijk een patchimplementatie te starten.

   Om de Agent-UI te installeren, moet u de capaciteit inschakelen in het toegewezen agentbeleid.

   Als de installatie van een patch mislukt, wordt dit opnieuw geprobeerd (Windows: tot drie keer in een individuele patchcyclus en tot vijf keer in totaal voor het eindpunt. Mac: maximaal drie keer. Linux: geen nieuwe poging). U kunt de implementatie ook configureren om uit te voeren bij het opnieuw opstarten als onderdeel van de planning van de configuratie als het apparaat offline is.

   Na een patchimplementatie wordt het apparaat van de agent automatisch opnieuw gescand en worden de resultaten verzonden naar Ivanti Neurons. Hiermee kunt u de implementatiestatus controleren en de huidige status van het agentapparaat beoordelen.

5. Gebruik de component Implementatiegeschiedenis om de resultaten van de implementatie weer te geven en snel eventuele problemen te identificeren.
6. Gebruik de component Kwetsbaarheid eindpunt om de patchstatus van de apparaten in uw omgeving te beoordelen.
7. Gebruik de component Patch Intelligence om een dieper inzicht te verkrijgen in de kwetsbaarheden die zijn gedetecteerd op uw machines, gebaseerd op prioriteiten die op risico zijn gebaseerd, patchbetrouwbaarheid en patch compliance.

Hybride workflow

Deze workflow is van toepassing op actuele gebruikers die een connector gebruiken voor een lokaal product voor patchbeheer zoals Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security of Ivanti Desktop and Server Management. Deze klanten zullen de migratie naar de Cloudworkflow starten door beide workflows tegelijk te gebruiken. Bestaande klanten kunnen bijvoorbeeld kiezen om het beheer van hun werkstations over te dragen naar de Cloudworkflow, terwijl er nog steeds patchbeheercapaciteiten worden geboden aan losgekoppelde werkstations, servers en andere apparaten met een hoog profiel of gevoelige apparaten met hun eigen lokale workflow. Met deze strategie kunt u op eigen tempo de overgang maken naar de Cloud-workflow.

Items in afbeelding
A	Agentapparaten
B	Lokale patchbeheerconsole (Endpoint Manager, Security Controls, enz.)
C	Via console beheerde apparaten
Cloudworkflow
1	Maak een aangepast beleid.
2	Maak een patchconfiguratie en koppel deze met uw beleid.
3	Wacht tot de wijzigingen worden doorgegeven naar uw agentapparaten.
4	Agenten scannen op en de implementatie van patches op de beheerde machines.
5	Scan en implementatieresultaten worden gemeld aan Ivanti Neurons.
Hybride workflow
i	Connector
ii	De console scant op en implementeert patches op de beheerde machines.
iii	Consoleresultaten worden gemeld aan Ivanti Neurons.

Het resultaat zal een combinatie zijn van gegevens op het Ivanti Neurons-platform voor zowel op cloud als lokaal beheerde apparaten. Patchimplementaties voor eindpunten die worden bepaald door de Cloud-workflow, zullen worden uitgevoerd door de Ivanti Neurons-agent. Het uitvoeren van implementaties voor apparaten die worden beheerd door een lokale oplossing, gebeurt verder door de lokale console.

Het is mogelijk dat u apparaten hebt die worden beheerd door zowel de Ivanti Neurons Cloud als door een lokale oplossing. Beide oplossingen zullen doeltreffend naast elkaar werken. Acties die worden uitgevoerd vanaf Ivanti Neurons Cloud, zullen de prioriteit krijgen omdat ze directe interactie met de apparaten bieden.

Terwijl het mogelijk is om apparaten te laten beheren door beide oplossingen, is het mogelijk niet wenselijk, omdat het ontvangen van meerdere rapporten van verschillende producten verwarrend kan zijn.

De implementaties kunnen worden gestart door een Ivanti Neurons-agent, een Ivanti Endpoint Manager of Ivanti Security Controls on-premise console, of via de cloud met de componenten Apparaatdetails of Kwetsbaarheid eindpunt.

Als u een aangepast scanprofiel gebruikt in Ivanti Security Controls, kunt u merken dat u bij het implementeren van een ontbrekende patch, wordt gezegd dat deze al is geïnstalleerd op het apparaat.. Om dit te voorkomen, voegt u een gewone scan toe van alle apparaten met een van de vooraf gedefinieerd sjablonen Scan beveiligingspatch of Alle patches. Raadpleeg dit artikel op de Ivanti Community voor meer informatie( opent in een nieuwe venster).