Gerenciamento de patches

O Ivanti Neurons for Patch Management é uma solução em nuvem para aplicação de patches. Ele combina insights em tempo real da Ivanti Neurons Platform, informações de ativos do Ivanti Neurons for Discovery e inteligência acionável para priorização baseada em risco, a fim de propiciar uma estratégia de segurança adaptável. São fornecidos recursos abrangentes de gerenciamento de patches para seus dispositivos Windows, macOS e Linux, com a capacidade de corrigir produtos Microsoft, Apple e de fornecedores terceiros.

Em Macs Apple Silicon e Macs Intel com o chip Apple T2, o Ivanti Neurons for Patch Management precisa de uma conta de função para gerenciar patches do sistema operacional no dispositivo. Isso significa que quando o Ivanti Neurons for Patch Management implanta pela primeira vez um patch de sistema operacional em um dispositivo desse tipo, uma caixa de diálogo aparece solicitando ao administrador local que crie uma conta de função administrativa para o Ivanti Neurons usar no dispositivo. As instruções são fornecidas na tela. Se você tiver o FileVault habilitado, a conta de função administrativa criada aparecerá na tela de login após a reinicialização.

Para acessar o Ivanti Neurons for Patch Management, navegue até Gerenciamento de Patches na Ivanti Neurons Platform.

O Ivanti Neurons for Patch Management compreende os seguintes componentes, dependendo da sua licença:

  • Relatório de conformidade: permite determinar seu status de conformidade atual e ver sua tendência ao longo do tempo.
  • Vulnerabilidade dos pontos de extremidade: fornece uma visão central da aplicação de patches no seu ambiente, com métricas de integridade e risco dos dispositivos.
  • Patch Intelligence: coleta e agrega dados para ajudar a gerenciar, priorizar e simplificar a aplicação de patches no seu ambiente. Fornece uma visão clara do cenário de ameaças, com métricas priorizadas e baseadas em risco.
  • Histórico de implantação: permite visualizar o status das operações de implantação recentes. Você pode se concentrar nas exceções e solucionar rapidamente quaisquer problemas.
  • Configurações de patch: permite definir configurações de patch e grupos de patches para o fluxo de trabalho de gestão de patches na nuvem. Você pode usar uma configuração padrão para remediar todos os patches de segurança críticos com agilidade ou criar uma configuração personalizada para atender aos limites específicos de conformidade da sua organização.
  • Patch for Intune: estende as implementações do Microsoft Intune para incluir recursos de gerenciamento de produtos de terceiros.

Certifique-se de ter as permissões necessárias para usar o Gerenciamento de Patches.

Requisitos

Você deve adicionar uma série de URLs às suas listas de exceções de firewall, proxy e internet. Os URLs são usados para baixar conteúdo de patch de fornecedores terceiros.

Para obter a lista completa de URLs que você deve adicionar, consulte URLs, endereços IP e portas necessários.

Para implantar patches corretamente com o Agente Ivanti Neurons em dispositivos Windows, não desabilite o serviço Windows Update e defina-o como Manual ou Automático. Além disso, defina a configuração do Windows Update em cada dispositivo de destino (Painel de Controle > Sistema e Segurança > Windows Update > Alterar Configurações) como Nunca verificar atualizações. Para obter mais informações, consulte este artigo na Comunidade Ivanti.

Se você estiver aplicando patches em Office 2019 ou Office 365 que usem a tecnologia Clique para Executar, consulte Como a Ivanti corrige as instalações Clique para Executar do Office na Comunidade Ivanti (abre em uma nova janela) para saber como o Patch for Neurons corrige essas instalações.

Fluxo de trabalho na nuvem

Este é o fluxo de trabalho principal para executar a funcionalidade de gerenciamento de patches. Todas as atividades de configuração e avaliação são realizadas na nuvem, enquanto as análises e implantações reais são realizadas por agentes instalados nos dispositivos gerenciados.

1) Crie um grupo de políticas personalizado 2) Crie uma configuração de patch e associe-a ao seu grupo de políticas 3) Aguarde até que as alterações sejam propagadas para os agentes 4) Os agentes verificam e implantam os patches 5) Os resultados são relatados ao Ivanti Neurons.

Itens na figura

A

Dispositivos do agente

Fluxo de trabalho na nuvem

1

Crie uma política personalizada.

2

Crie uma configuração de patch e associe-a à sua política.

3

Aguarde até que as alterações sejam propagadas para os dispositivos do agente.

4

Os agentes procuram e implantam patches nos dispositivos gerenciados.

5

Os resultados de análise e implantação são relatados ao Ivanti Neurons.

Detalhes do fluxo de trabalho na nuvem

Etapas condicionais

Se seus dispositivos já contêm o agente Ivanti Neurons, você pode pular essas etapas condicionais.

  1. Baixe um agente para o tipo adequado de dispositivo (Windows, Mac ou Linux).
    Há dois arquivos incluídos no download:
    • O arquivo executável do agente
    • Um arquivo de opções contendo o ID do locatário, a chave de inscrição e as informações do host de nuvem que serão necessárias durante o processo de instalação
  2. Instale o agente nos dispositivos de destino desejados.
    1. No dispositivo de destino, clique duas vezes no arquivo executável para iniciar o processo de instalação.
    2. Siga as instruções do assistente de instalação.
  3. Aguarde o agente fazer automaticamente o seguinte:
    • Registrar-se e fazer check-in no Ivanti Neurons
    • Baixar a política de agente atribuída
    • Executar no dispositivo de destino uma verificação dos patches ausentes e relatar os resultados ao Ivanti Neurons
  4. Veja informações sobre os dispositivos de destino recém-descobertos na exibição Dispositivos, dentro do Ivanti Neurons.

Etapas primárias

  1. Crie uma política de agente personalizada.
    O grupo de políticas padrão inicialmente instalado com o agente está configurado para executar apenas análises de patch. Para realizar implantações de patch, você precisará criar pelo menos uma política personalizada. A política personalizada deve ser habilitada para executar ações de gerenciamento de patches e estar associada a uma configuração de patch que defina seus parâmetros de implantação. Você usa a opção Adicionar dispositivos dentro da política para atribui-la aos dispositivos de agente desejados.
    Certifique-se de ativar o recurso Gerenciamento de patches ao criar a política do agente. A política define as regras que permitem ao agente operar de forma autônoma em um dispositivo, com ou sem interação humana.
    Na política personalizada do agente, você pode optar por usar o download ponto a ponto. O ponto a ponto suporta patches assinados digitalmente e transferidos por sideload. Patches não assinados baixados digitalmente do fornecedor não são suportados pelo ponto a ponto, por exemplo, 7-Zip e Core FTP. O par servidor compartilhará com o cliente par apenas patches aplicáveis ​​ao SO; por exemplo, um Server 2019 compartilhará apenas patches de 2019.
  2. Defina suas configurações de patch.
    Suas configurações de patch consistirão no seguinte:
    • Configuração de patch: o objetivo principal de uma configuração de patch é definir como os patches serão implantados nos dispositivos do agente. É fornecida uma configuração de patch padrão que implantará semanalmente todos os patches críticos à segurança que estejam ausentes em seu ambiente Windows. Você provavelmente desejará criar uma ou mais configurações de patch personalizadas para definir os requisitos exclusivos de implantação de patch da sua organização.

      Na guia Associações, certifique-se de associar sua configuração de patch a uma política de agente personalizada que esteja habilitada para realizar ações de gerenciamento de patch.

    • (Opcional) Grupo de patches: você pode optar por fazer referência a um grupo de patches em uma configuração de patch. Um grupo de patches contém uma lista dos patches específicos que você deseja implantar. Essa é uma boa maneira de garantir que apenas patches aprovados sejam implantados. Consulte a seção Comportamento de implantação no tópico Configurações de Patch para obter informações sobre como configurar adequadamente esse cenário.
  3. Aguarde as alterações se propagarem para os dispositivos.
    Seus dispositivos receberão informações atualizadas de política e configuração na próxima vez que os agentes fizerem check-in no Ivanti Neurons.
  4. Implante os patches ausentes no dispositivo do agente.
    A implantação pode ser realizada de quatro maneiras diferentes:
    • Por meio de uma implantação automática e agendada, definida pela configuração de patch.
    • A partir do componente Vulnerabilidade dos Pontos de Extremidade, dentro do Ivanti Neurons for Patch Management. Você pode usar esse componente para implantar todos os patches identificados como ausentes durante a verificação de patch mais recente.

      Certifique-se de ter as permissões de Gerenciamento de Patches necessárias para implantar patches a partir de Vulnerabilidade dos Pontos de Extremidade.

    • Na guia Patches da página Detalhes do Dispositivo. Você pode selecionar patches individuais para implantação a partir dessa página.
    • Usando a IU do agente no dispositivo do agente para iniciar imediatamente uma implantação de patch.
    • Para instalar a interface do agente, você deve ativar o recurso na política de agente atribuída.

    Após uma implantação de patch, o dispositivo do agente será analisado novamente de modo automático, e os resultados serão enviados ao Ivanti Neurons. Isso permitirá que você verifique o status da implantação e avalie a integridade atual do dispositivo do agente.

  5. Use o componente Histórico de Implantação para visualizar os resultados da implantação e identificar rapidamente quaisquer problemas.
  6. Use o componente Vulnerabilidade dos Pontos de Extremidade para avaliar a integridade dos patches nos dispositivos do seu ambiente.
  7. Use o componente Patch Intelligence para obter um nível mais profundo de compreensão sobre as vulnerabilidades detectadas nos dispositivos, com base em priorização de risco, confiabilidade do patch e conformidade do patch.

Fluxo de trabalho híbrido

Este fluxo de trabalho se aplica a clientes atuais que estejam utilizando um conector para algum produto local de gestão de patches, tal como Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security ou Ivanti Desktop and Server Management. Esses clientes iniciarão a migração para o fluxo de trabalho em nuvem utilizando simultaneamente os dois fluxos de trabalho. Por exemplo, os clientes existentes podem optar por fazer a transição do gerenciamento de suas estações de trabalho para o fluxo de trabalho em nuvem, ao mesmo tempo em que continuam a fornecer recursos de gerenciamento de patches para estações de trabalho desconectadas, servidores e outros dispositivos sensíveis ou de alto perfil usando seu fluxo de trabalho local. Essa estratégia lhe permite fazer a transição para o fluxo de trabalho na nuvem no seu próprio ritmo.

O console local verifica e implanta patches nas máquinas gerenciadas. Os resultados são relatados ao Ivanti Neurons.

Itens na figura

A

Dispositivos do agente

B

Console de gerenciamento de patches local (Endpoint Manager, Security Controls, etc.)

C

Dispositivos gerenciados por console

Fluxo de trabalho na nuvem

1

Crie uma política personalizada.

2

Crie uma configuração de patch e associe-a à sua política.

3

Aguarde até que as alterações sejam propagadas para os dispositivos do agente.

4

Os agentes procuram e implantam patches nos dispositivos gerenciados.

5

Os resultados de análise e implantação são relatados ao Ivanti Neurons.

Fluxo de trabalho híbrido

i

Conector

ii

O console verifica e implanta os patches nos dispositivos gerenciados.

iii

Os resultados do console são relatados ao Ivanti Neurons.

O resultado será uma combinação de dados na Ivanti Neurons Platform para dispositivos gerenciados na nuvem e localmente. As implantações de patch nos pontos de extremidade regidos pelo fluxo de trabalho na nuvem serão realizadas pelo agente Ivanti Neurons. As implantações em dispositivos governados por uma solução local continuarão sendo executadas pelo console local.

É possível que você tenha dispositivos gerenciados tanto pela Ivanti Neurons Cloud como por uma solução local. As duas soluções funcionarão efetivamente lado a lado. As ações realizadas a partir da Ivanti Neurons Cloud terão precedência, pois proporcionam interação direta com os dispositivos.

Embora seja possível ter dispositivos gerenciados por ambas as soluções, provavelmente não é desejável, pois receber vários relatórios de diferentes produtos pode se tornar confuso.

As implantações podem ser iniciadas por um agente do Ivanti Neurons, por um console local do Ivanti Endpoint Manager ou do Ivanti Security Controls ou de dentro da nuvem com uso dos componentes Detalhes do Dispositivo ou Vulnerabilidade dos Pontos de Extremidade.

Se você estiver usando um perfil de verificação personalizado no Ivanti Security Controls, poderá descobrir, ao implantar um patch ausente, que ele já está instalado no dispositivo. Para evitar isso, adicione uma análise regular de todos os dispositivos usando os modelos predefinidos Análise de patches de segurança ou Todos os patches. Para obter mais informações, consulte este artigo da Comunidade Ivanti (abre em uma nova janela).

Tópicos relacionados

Vulnerabilidade dos Pontos de Extremidade

Patch Intelligence

Histórico de implantação

Configurações de Patch