Introdução ao Gerenciamento de Patches

Esta página fornece uma breve visão geral das etapas envolvidas na configuração do Ivanti Neurons for Patch Management. Existem duas opções principais:

  • Fluxo de trabalho na nuvem: o fluxo de trabalho principal para executar a funcionalidade de gerenciamento de patches. Todas as atividades de configuração e avaliação são realizadas na nuvem, enquanto as análises e implantações reais são realizadas por agentes instalados nos dispositivos gerenciados.
  • Fluxo de trabalho híbrido: para clientes que estejam utilizando um conector para algum produto local de gestão de patches, tal como Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security ou Ivanti Desktop and Server Management.

Para obter detalhes sobre quais sistemas operacionais e distribuições Linux podem ser corrigidos, consulte Matriz de Compatibilidade de Sistemas Operacionais.

A aplicação de patches em distribuições Linux adicionais, como Rocky, Alma e Debian, e o suporte estendido para distribuições como CentOS 6, CentOS 7, Oracle 6, Oracle 7, Ubuntu 16 e Ubuntu 18 estão disponíveis por meio do programa de parceiros. Para obter detalhes, consulte KernelCare Enterprise no Ivanti Marketplace.

Fluxo de trabalho na nuvem

Este é o fluxo de trabalho principal para executar a funcionalidade de gerenciamento de patches. Todas as atividades de configuração e avaliação são realizadas na nuvem, enquanto as análises e implantações reais são realizadas por agentes instalados nos dispositivos gerenciados.

1) Crie um grupo de políticas personalizado 2) Crie uma configuração de patch e associe-a ao seu grupo de políticas 3) Aguarde até que as alterações sejam propagadas para os agentes 4) Os agentes verificam e implantam os patches 5) Os resultados são relatados ao Ivanti Neurons.

Itens na figura

A

Dispositivos do agente

Fluxo de trabalho na nuvem

1

Crie uma política personalizada.

2

Crie uma configuração de patch e associe-a à sua política.

3

Aguarde até que as alterações sejam propagadas para os dispositivos do agente.

4

Os agentes procuram e implantam patches nos dispositivos gerenciados.

5

Os resultados de análise e implantação são relatados ao Ivanti Neurons.

Detalhes do fluxo de trabalho na nuvem

Etapas condicionais

Se seus dispositivos já contêm o agente Ivanti Neurons, você pode pular essas etapas condicionais.

  1. Baixe um agente para o tipo adequado de dispositivo (Windows, Mac ou Linux).
    Há dois arquivos incluídos no download:
    • O arquivo executável do agente
    • Um arquivo de opções contendo o ID do locatário, a chave de inscrição e as informações do host de nuvem que serão necessárias durante o processo de instalação
  2. Instale o agente nos dispositivos de destino desejados.
    1. No dispositivo de destino, clique duas vezes no arquivo executável para iniciar o processo de instalação.
    2. Siga as instruções do assistente de instalação.
  3. Aguarde o agente fazer automaticamente o seguinte:
    • Registrar-se e fazer check-in no Ivanti Neurons
    • Baixar a política de agente atribuída
    • Executar no dispositivo de destino uma verificação dos patches ausentes e relatar os resultados ao Ivanti Neurons
  4. Veja informações sobre os dispositivos de destino recém-descobertos na exibição Dispositivos, dentro do Ivanti Neurons.

Etapas primárias

  1. Crie uma política de agente personalizada.
    O grupo de políticas padrão inicialmente instalado com o agente está configurado para executar apenas análises de patch. Para realizar implantações de patch, você precisará criar pelo menos uma política personalizada. A política personalizada deve ser habilitada para executar ações de gerenciamento de patches e estar associada a uma configuração de patch que defina seus parâmetros de implantação. Você usa a opção Adicionar dispositivos dentro da política para atribui-la aos dispositivos de agente desejados.
    Certifique-se de ativar o recurso Gerenciamento de patches ao criar a política do agente. A política define as regras que permitem ao agente operar de forma autônoma em um dispositivo, com ou sem interação humana.
    Na política personalizada do agente, você pode optar por usar o download ponto a ponto. O ponto a ponto suporta patches assinados digitalmente e transferidos por sideload. Patches não assinados baixados digitalmente do fornecedor não são suportados pelo ponto a ponto, por exemplo, 7-Zip e Core FTP. O par servidor compartilhará com o cliente par apenas patches aplicáveis ​​ao SO; por exemplo, um Server 2019 compartilhará apenas patches de 2019.
  2. Defina suas configurações de patch.
    Suas configurações de patch consistirão no seguinte:
    • Configuração de patch: o objetivo principal de uma configuração de patch é definir como os patches serão implantados nos dispositivos do agente. É fornecida uma configuração de patch padrão que implantará semanalmente todos os patches críticos à segurança que estejam ausentes em seu ambiente Windows. Você provavelmente desejará criar uma ou mais configurações de patch personalizadas para definir os requisitos exclusivos de implantação de patch da sua organização.

      Na guia Associações, certifique-se de associar sua configuração de patch a uma política de agente personalizada que esteja habilitada para realizar ações de gerenciamento de patch.

    • (Opcional) Grupo de patches: você pode optar por fazer referência a um grupo de patches em uma configuração de patch. Um grupo de patches contém uma lista dos patches específicos que você deseja implantar. Essa é uma boa maneira de garantir que apenas patches aprovados sejam implantados. Consulte a seção Comportamento de implantação no tópico Configurações de Patch para obter informações sobre como configurar adequadamente esse cenário.
  3. Aguarde as alterações se propagarem para os dispositivos.
    Seus dispositivos receberão informações atualizadas de política e configuração na próxima vez que os agentes fizerem check-in no Ivanti Neurons.
  4. Implante os patches ausentes no dispositivo do agente.
    A implantação pode ser realizada de quatro maneiras diferentes:
    • Por meio de uma implantação automática e agendada, definida pela configuração de patch.
    • A partir do componente Vulnerabilidade dos Pontos de Extremidade, dentro do Ivanti Neurons for Patch Management. Você pode usar esse componente para implantar todos os patches identificados como ausentes durante a verificação de patch mais recente.

      Certifique-se de ter as permissões de Gerenciamento de Patches necessárias para implantar patches a partir de Vulnerabilidade dos Pontos de Extremidade.

    • Na guia Patches da página Detalhes do Dispositivo. Você pode selecionar patches individuais para implantação a partir dessa página.
    • Usando a IU do agente no dispositivo do agente para iniciar imediatamente uma implantação de patch.
    • Para instalar a interface do agente, você deve ativar o recurso na política de agente atribuída.

    Se a instalação de um patch falhar, ela será tentada novamente (Windows: até três vezes em um ciclo de patch individual e até cinco vezes no total para o ponto de extremidade. Mac: até três vezes. Linux: nenhuma repetição). Você também pode configurar no agendamento para que a implantação seja executada na reinicialização se o dispositivo estiver offline.

    Após uma implantação de patch, o dispositivo do agente será analisado novamente de modo automático, e os resultados serão enviados ao Ivanti Neurons. Isso permitirá que você verifique o status da implantação e avalie a integridade atual do dispositivo do agente.

  5. Use o componente Histórico de Implantação para visualizar os resultados da implantação e identificar rapidamente quaisquer problemas.
  6. Use o componente Vulnerabilidade dos Pontos de Extremidade para avaliar a integridade dos patches nos dispositivos do seu ambiente.
  7. Use o componente Patch Intelligence para obter um nível mais profundo de compreensão sobre as vulnerabilidades detectadas nos dispositivos, com base em priorização de risco, confiabilidade do patch e conformidade do patch.

Fluxo de trabalho híbrido

Este fluxo de trabalho se aplica a clientes atuais que estejam utilizando um conector para algum produto local de gestão de patches, tal como Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security ou Ivanti Desktop and Server Management. Esses clientes iniciarão a migração para o fluxo de trabalho em nuvem utilizando simultaneamente os dois fluxos de trabalho. Por exemplo, os clientes existentes podem optar por fazer a transição do gerenciamento de suas estações de trabalho para o fluxo de trabalho em nuvem, ao mesmo tempo em que continuam a fornecer recursos de gerenciamento de patches para estações de trabalho desconectadas, servidores e outros dispositivos sensíveis ou de alto perfil usando seu fluxo de trabalho local. Essa estratégia lhe permite fazer a transição para o fluxo de trabalho na nuvem no seu próprio ritmo.

O console local verifica e implanta patches nas máquinas gerenciadas. Os resultados são relatados ao Ivanti Neurons.

Itens na figura

A

Dispositivos do agente

B

Console de gerenciamento de patches local (Endpoint Manager, Security Controls, etc.)

C

Dispositivos gerenciados por console

Fluxo de trabalho na nuvem

1

Crie uma política personalizada.

2

Crie uma configuração de patch e associe-a à sua política.

3

Aguarde até que as alterações sejam propagadas para os dispositivos do agente.

4

Os agentes procuram e implantam patches nos dispositivos gerenciados.

5

Os resultados de análise e implantação são relatados ao Ivanti Neurons.

Fluxo de trabalho híbrido

i

Conector

ii

O console verifica e implanta os patches nos dispositivos gerenciados.

iii

Os resultados do console são relatados ao Ivanti Neurons.

O resultado será uma combinação de dados na Ivanti Neurons Platform para dispositivos gerenciados na nuvem e localmente. As implantações de patch nos pontos de extremidade regidos pelo fluxo de trabalho na nuvem serão realizadas pelo agente Ivanti Neurons. As implantações em dispositivos governados por uma solução local continuarão sendo executadas pelo console local.

É possível que você tenha dispositivos gerenciados tanto pela Ivanti Neurons Cloud como por uma solução local. As duas soluções funcionarão efetivamente lado a lado. As ações realizadas a partir da Ivanti Neurons Cloud terão precedência, pois proporcionam interação direta com os dispositivos.

Embora seja possível ter dispositivos gerenciados por ambas as soluções, provavelmente não é desejável, pois receber vários relatórios de diferentes produtos pode se tornar confuso.

As implantações podem ser iniciadas por um agente do Ivanti Neurons, por um console local do Ivanti Endpoint Manager ou do Ivanti Security Controls ou de dentro da nuvem com uso dos componentes Detalhes do Dispositivo ou Vulnerabilidade dos Pontos de Extremidade.

Se você estiver usando um perfil de verificação personalizado no Ivanti Security Controls, poderá descobrir, ao implantar um patch ausente, que ele já está instalado no dispositivo. Para evitar isso, adicione uma análise regular de todos os dispositivos usando os modelos predefinidos Análise de patches de segurança ou Todos os patches. Para obter mais informações, consulte este artigo da Comunidade Ivanti (abre em uma nova janela).