Patch Management

Ivanti Neurons for Patch Management is a patchoplossing van de cloud. Het combineert de real time inzichten van het Ivanti Neurons-platform met de activagegevens van Ivanti Neurons for Discovery en de bruikbare informatie voor op risico gebaseerde prioriteitstelling, om een adaptieve beveiligingsstrategie te stimuleren. Uitgebreide capaciteiten voor patchbeheer worden geleverd voor uw Windows- en macOS-machines en bevatten de mogelijkheid om een patch toe te passen op producten van zowel Microsoft, Apple als externe leveranciers.

Voor Apple Silicon Mac's en Intel Mac's met de Apple T2-chip, vereist Ivanti Neurons for Patch Management een rolaccount voor het beheren van systeempatches op het apparaat. Dit betekent dat, wanneer Ivanti Neurons for Patch Management voor de eerste keer een patch van het besturingssysteem implementeert op een apparaat van dit type, er een dialoogvenster verschijnt waarin de lokale beheerder wordt gevraagd een beheerdersrolaccount te maken voor Ivanti Neurons voor gebruik op dit apparaat. Instructies worden gegeven op het scherm.Als FileVault is ingeschakeld, verschijnt de beheerdersrolaccount die u maakt, na het opnieuw opstarten op het aanmeldingsscherm.

Om toegang te krijgen tot Ivanti Neurons for Patch Management, navigeert u naar Patch Management op het Ivanti Neurons-platform.

Ivanti Neurons for Patch Management bestaat uit de volgende componenten, afhankelijk van uw licentie:

  • Nalevingsrapportage: hiermee kunt u uw huidige nalevingsstatus vaststellen en zie hoe uw trends zijn na verloop van tijd.
  • Kwetsbaarheid eindpunt: biedt een centrale weergave van een apparaatpatch voor uw omgeving met apparaatstatus en op risico gebaseerde metrische gegevens.
  • Patch Intelligence: verzamelt en voegt gegevens samen om te helpen bij het beheren, het geven van prioriteiten en het stroomlijnen van het toepassen van patches in uw omgeving. Dit biedt een duidelijk beeld van uw bedreigingslandschap met prioritaire, op risico gebaseerde metrische gegevens.
  • Implementatiegeschiedenis: biedt een manier om de status van recente implementatiebewerkingen weer te geven. U kunt zich focussen op uitzonderlijke en snel eventuele problemen oplossen.
  • Patchinstellingen: hiermee kunt u patchconfiguraties en patchgroepen configureren voor de cloud patch management-workflow. Om u snel aan de slag te helpen, kunt u een standaardconfiguratie gebruiken die een oplossing biedt voor alle kritieke beveiligingspatches. U kunt ook een aangepaste patchconfiguratie maken om te voldoen aan de unieke nalevingsdrempels in uw organisatie.
  • Patch voor Intune: breidt Microsoft Intune-implementaties uit met mogelijkheden voor productbeheer van derden.

Zorg dat u over de benodigde machtigingen voor het gebruik van Patch Management beschikt.

Vereisten

U moet een aantal web-URL's toevoegen aan uw uitzonderingslijsten voor de firewall, proxy en webfilter. De URL's worden gebruikt voor het downloaden van patchinhoud van leveranciers van derden.

Voor de complete lijst van URL's die u moet toevoegen, raadpleegt u Vereiste URL's, IP-adressen en poorten.

Om patches te implementeren met de Ivanti Neurons Agent in Windows-apparaten, mag u de Windows Update-service niet uitschakelen, maar moet u deze instellen op Handmatig of Automatisch. Stel daarnaast de Windows Update-instelling op elk doelapparaat (Configuratiescherm > Systeem en beveiliging > Windows Update > Instellingen wijzigen) in op Nooit controleren op updates. Lees dit artikel op de Ivanti Community voor meer informatie.

Als u een patch uitvoert van Office 2019 of Office 365 die de technologie Klik-en-klaar gebruikt, raadpleegt u Hoe Ivanti een patch uitvoert van Office Klik-en-klaar installaties op de Ivanti Community (opent in een nieuw venster) voor informatie over de manier waarop Patch for Neurons een patch uitvoert van deze installaties.

Cloudworkflow

Dit is de primaire workflow voor het uitvoeren van de patch management-functie. Alle configuratie- en beoordelingsactiviteiten worden uitgevoerd in de cloud, terwijl de actuele scans en implementaties worden uitgevoerd door agenten die zijn geïnstalleerd op de beheerde machines.

1) Maak een aangepaste beleidsgroep 2) Maak een patchconfiguratie en koppel deze met uw beleidsgroep 3) Wacht tot de wijzigingen worden doorgegeven aan uw agenten 4) Agenten zoeken naar en implementeren patches 5) Resultaten worden gemeld aan Ivanti Neurons.

Items in afbeelding

A

Agentmachines

Cloudworkflow

1

Maak een aangepaste beleidsgroep.

2

Maak een patchconfiguratie en koppel deze met uw beleidsgroep.

3

Wacht tot de wijzigingen worden doorgegeven naar uw agentmachines.

4

Agenten scannen op en implementeren patches op de beheerde machines.

5

Scan en implementatieresultaten worden gemeld aan Ivanti Neurons.

Details van de cloud-workflow

Voorwaardelijke stappen

Als uw apparaten al een Ivanti Neurons-agent bevatten, kunt u deze voorwaardelijke stappen overslaan.

  1. Download een agent voor het correcte apparaattype (Windows of Mac).
    Er zijn twee bestanden inbegrepen in de download:
    • Het uitvoerbare agentbestand
    • Een optiebestand dat de tenant-id, activeringssleutel en cloudhost-informatie bevat die nodig zullen zijn tijdens het installatieproces
  2. Installeer de agent op de gewenste doelmachines.
    1. Dubbelklik op de doelmachine op het uitvoerbaar bestand om het installatieproces te starten.
    2. Volg de instructies in de installatiewizard.
  3. Wacht tot de agent automatisch het volgende doet:
    • Registreren en inchecken met Ivanti Neurons
    • Download de standaardgroep voor agentbeleid
    • Voer een scan van de doelmachine uit voor alle ontbrekende patches en meld de resultaten aan Ivanti Neurons
  4. Geef informatie weer over de pas gedetecteerde doelmachines vanaf de Apparaatweergave in Ivanti Neurons.

Primaire stappen

  1. Maak een aangepaste agentbeleidsgroep.
    De standaard beleidsgroep die aanvankelijk is geïnstalleerd met een agent, is alleen geconfigureerd voor het uitvoeren van patchscans. Om patchimplementaties uit te voeren, moet u minstens één aangepaste beleidsgroep maken. De aangepaste beleidsgroep moet worden ingeschakeld om patchbeheeracties uit te voeren en moet worden gekoppeld met een patchconfiguratie die uw implementatie-instellingen definieert. U zult de optie Apparaten toevoegen gebruiken binnen het beleid om het toe te wijzen aan de gewenste agentmachines.
    Zorg dat u de capaciteit Patch Management inschakelt wanneer u de agentbeleidsgroep maakt. De beleidsgroep definieert de regels die agenten toestaan autonoom te werken op een apparaat, met of zonder menselijke tussenkomst.
    Binnen het aangepaste agentbeleid, kunt u kiezen om peer-to-peer downloaden te gebruiken. Peer-to-peer ondersteunt digitaal ondertekende en gesideloade patches. Patches die automatisch zijn gedownload van de leverancier en niet digitaal zijn ondertekend, worden niet ondersteund door peer-to-peer, bijvoorbeeld, 7-Zip en Core FTP. De server-peer zal alleen voor OS toepasselijke patches delen met de peer-client, bijv. een Server 2019 zal alleen 2019-patches en geen latere delen met een Windows 11-client.
  2. Configureer uw patchinstellingen.
    Uw patchinstellingen zulllen bestaan uit het volgende:
    • Patchconfiguratie: het hoofddoel van een patchconfiguratie is het definiëren hoe patches zullen worden geïmplementeerd op de agentmachines. Er is een standaard patchconfiguratie voorzien die alle ontbrekende kritieke beveiligingspatches wekelijks zal implementeren. U zult waarschijnlijk één of meer aangepaste patchconfiguraties willen maken voor het definiëren van de unieke vereisten van uw organisatie voor patchimplementatie.

      Zorg dat u op het tabblad Koppelingen uw patchconfiguratie koppelt met een aangepaste agentbeleidsgroep die de mogelijkheid heeft om patchbeheeracties uit te voeren.

    • (Optioneel) Patchgroep: u kunt kiezen om te verwijzen naar een patchgroep in een patchconfiguratie. Een patchgroep bevat een lijst specifieke patches die u wilt implementeren. Dit is een goede manier om te controleren dat alleen goedgekeurde patches zijn geïmplementeerd. Raadpleeg de sectie Implementatiegedrag in het onderwerp Patchinstellingen voor informatie over de manier waarop u dit scenario correct kunt configureren.
  3. Wacht tot de wijzigingen worden doorgegeven naar uw apparaten.
    Uw apparaten zullen de bijgewerkt beleids- en patchconfiguratiegegevens ontvangen wanneer de agenten de volgende keer inchecken bij Ivanti Neurons.
  4. Ontbrekende patches implementeren op de agentmachine.
    De implementatie kan worden bereikt op vier verschillende manieren:
    • Via een automatische, geplande patchimplementatie die is gedefinieerd door de patchconfiguratie.
    • Vanaf de component Kwetsbaarheid eindpunt binnen Ivanti Neurons for Patch Management. U kunt deze component gebruiken voor het implementeren van alle patches die werden geïdentificeerd als ontbrekend tijdens de meest recente patchscan.

      Zorg dat u beschikt over de machtigingen van Patch Management die nodig zijn voor het implementeren van patches vanaf Eindpuntkwetsbaarheid.

    • Vanaf het tabblad Patches van de pagina Apparaatdetails. Vanaf deze pagina kunt u individuele patches selecteren voor implementatie.
    • Door de agentclient te gebruiken op de agentmachine door onmiddellijk een patchimplementatie te starten.
    Na een patchimplementatie wordt de agentmachine automatisch opnieuw gescand en worden de resultaten verzonden naar Ivanti Neurons. Hiermee kunt u de implementatiestatus controleren en de huidige status van de agentmachine beoordelen.
  5. Gebruik de component Implementatiegeschiedenis om de resultaten van de implementatie weer te geven en snel eventuele problemen te identificeren.
  6. Gebruik de component Kwetsbaarheid eindpunt om de patchstatus van de machines in uw omgeving te beoordelen.
  7. Gebruik de component Patch Intelligence om een dieper inzicht te verkrijgen in de kwetsbaarheden die zijn gedetecteerd op uw machines, gebaseerd op prioriteiten die op risico zijn gebaseerd, patchbetrouwbaarheid en patch compliance.

Hybride workflow

Deze workflow is van toepassing op actuele gebruikers die een connector gebruiken voor een lokaal product voor patchbeheer zoals Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security of Ivanti Desktop and Server Management. Deze klanten zullen de migratie naar de Cloudworkflow starten door beide workflows tegelijk te gebruiken. Bestaande klanten kunnen bijvoorbeeld kiezen om het beheer van hun werkstations over te dragen naar de Cloudworkflow, terwijl er nog steeds patchbeheercapaciteiten worden geboden aan losgekoppelde werkstations, servers en andere apparaten met een hoog profiel of gevoelige apparaten met hun eigen lokale workflow. Met deze strategie kunt u op eigen tempo de overgang maken naar de Cloud-workflow.

De lokale console scant op en implementeert patches op de beheerde machines. De resultaten worden gemeld aan Ivanti Neurons.

Items in afbeelding

A

Agentmachines

B

Lokale patchbeheerconsole (Endpoint Manager, Security Controls, enz.)

C

Via console beheerde machines

Cloudworkflow

1

Maak een aangepaste beleidsgroep.

2

Maak een patchconfiguratie en koppel deze met uw beleidsgroep.

3

Wacht tot de wijzigingen worden doorgegeven naar uw agentmachines.

4

Agenten scannen op en implementeren patches op de beheerde machines.

5

Scan en implementatieresultaten worden gemeld aan Ivanti Neurons.

Hybride workflow

i

Connector

ii

De console scant op en implementeert patches op de beheerde machines.

iii

Consoleresultaten worden gemeld aan Ivanti Neurons.

Het resultaat zal een combinatie zijn van gegevens op het Ivanti Neurons-platform voor zowel op cloud als lokaal beheerde apparaten. Patchimplementaties voor eindpunten die worden bepaald door de Cloud-workflow, zullen worden uitgevoerd door de Ivanti Neurons-agent. Het uitvoeren van implementaties voor apparaten die worden beheerd door een lokale oplossing, gebeurt verder door de lokale console.

Het is mogelijk dat u apparaten hebt die worden beheerd door zowel de Ivanti Neurons Cloud als door een lokale oplossing. Beide oplossingen zullen doeltreffend naast elkaar werken. Acties die worden uitgevoerd vanaf Ivanti Neurons Cloud, zullen de prioriteit krijgen omdat ze directe interactie met de apparaten bieden.

Terwijl het mogelijk is om apparaten te laten beheren door beide oplossingen, is het mogelijk niet wenselijk, omdat het ontvangen van meerdere rapporten van verschillende producten verwarrend kan zijn.

De implementaties kunnen worden gestart door een Ivanti Neurons-agent, een Ivanti Endpoint Manager of Ivanti Security Controls on-premise console, of via de cloud met de componenten Apparaatdetails of Kwetsbaarheid eindpunt.

Als u een aangepast scanprofiel gebruikt in Ivanti Security Controls, kunt u merken dat u bij het implementeren van een ontbrekende patch, wordt gezegd dat deze al is geïnstalleerd op het apparaat.. Om dit te voorkomen, voegt u een gewone scan toe van alle apparaten met een van de vooraf gedefinieerd sjablonen Scan beveiligingspatch of Alle patches. Raadpleeg dit artikel op de Ivanti Community voor meer informatie( opent in een nieuwe venster).

Verwante onderwerpen

Kwetsbaarheid eindpunt

Patch Intelligence

Implementatiegeschiedenis

Patchinstellingen