Automatización de parches

Patch Automation es una herramienta que simplifica y automatiza enormemente las campañas mensuales de parches. Con Automatización de parches, habrá una guía del proceso de creación de campañas de parches. Usted decide quién se parchea y en qué momento. Puede monitorizar fácilmente lo que se parcheará en tiempo real, a medida que se acumulen los parches.

Cuando se inicien los pasos de parcheo de la campaña, verá la tasa de éxito del parche a medida que se desarrolla y puede decidir cuándo avanzan los pasos de la campaña a grupos de prueba más amplios. Después de crear un proceso de campaña de Automatización de parches que funcione para su empresa y tolerancia de riesgo, se puede automatizar cada mes con supervisión reducida.

IMPORTANT: Si utiliza esta herramienta por primera vez, asegúrese de que sigue los pasos de configuración de Antes de usar la Automatización de parches.

Después de configurar una campaña de parches, cada mes se repite la campaña automáticamente. Puede configurar cuándo se inicia la campaña de parches. Por ejemplo, si configura su campaña para que empiece dos días después de patch Tuesday, la Automatización de parches acumulará todos los parches hasta la fecha que elija. Puede tener tantas campañas de parches como desee. Cada campaña es independiente

Endpoint Manager 2021.1 SU2 añade soporte para campañas de parche únicas y autónomas que puede ejecutar bajo pedido. Estas campañas no se repiten automáticamente.

Endpoint Manager 2022 SU1 agrega compatibilidad para las campañas de parches personalizas que solo se ejecutan una vez.Estas campañas se basan en los grupos de vulnerabilidad que haya creado y que se seleccionan en la campaña.Las campañas personalizadas pueden ser útiles si desea ejecutar una campaña que no se centre en la seguridad del proveedor.

La campaña de cada mes se inicia con una fase de descarga de vulnerabilidades, donde se identifican y se descargan las vulnerabilidades que se cubrirán en ese mes de campaña. El primer paso de la primera campaña, le permite configurar el número de días adicionales de vulnerabilidades a tener en cuenta, puesto que puede querer que ese primer mes de campaña cubra vulnerabilidades detectadas antes de crear la campaña.

Tenga en cuenta que los binarios de parches se descargarán según la política de Endpoint Manager que tenga configurada. Con el ajuste recomendado de análisis diarios para todas las vulnerabilidades, se asegura de que los binarios de parches se descargan antes de desplegar los parches en puntos terminales. Los parches que no son compatibles con las descargas automáticas pueden requerir una descarga manual.

La fase de despliegue mensual se inicia y los pasos de la campaña se empiezan a ejecutar en el orden en que aparecen en la página Pasos del parche. Puede configurar tantos pasos de campañas como desee. Cada paso puede tener sus propios destinos y sus criterios de aceptación de parches. Puede controlar si el progreso de los pasos se produce automáticamente si se cumplen los criterios de aceptación o de manera manual haciendo clic con el botón derecho.

Recomendamos que como mínimo, configure estos pasos para cada campaña:

  • Un pequeño grupo piloto para asegurar que no hay ningún problema grave.
  • Un grupo piloto ampliado para identificar problemas menos frecuentes.
  • Un grupo de producción que se despliega en todos.

Para cada campaña, haga lo siguiente:

  1. En la página General, asigne un nombre a la campaña y defina cuándo se inicia cada mes la campaña de parches, según cada patch Tuesday. Las versiones 2021.1 SU2 y más recientes tienen una opción Campaña de parches sencilla que puede elegir.
  2. En la página Productos, seleccione los productos para los que desee recopilar parches durante la campaña. Utilice el cuadro Buscar producto para encontrar productos específicos rápidamente.
  3. En la página Gravedades:, seleccione las gravedades de vulnerabilidades que desee parchear. Utilice el cuadro Buscar gravedad para encontrar gravedades específicas rápidamente.
  4. En la página Pasos de parches, agregue y configure los pasos del grupo de prueba (Piloto, Piloto ampliado, Producción, etc.). Lea la sección siguiente para obtener más información sobre pasos de campaña.
  5. La versión 2021.1 SU2 añade una página de Reparación automática. Aquí puede hacer global la reparación automática, puede seleccionar un ámbito que incluya los dispositivos que desee que se reparen automáticamente. Esta opción puede ser útil si no quiere que los dispositivos como los servidores utilicen la reparación automática.
  6. En la página Vulnerabilidades, configure cómo quiere manejar las descargas de contenido el primer mes. Utilice esto si desea agregar parches que estaban disponibles antes de iniciar la campaña. Después del primer mes, el contenido de cada mes se descargará automáticamente.
  7. En la página Resumen, revise el resumen de la campaña para asegurarse de que está configurada como desea.

Para cada paso de campa;a de la página Pasos de parches, haga lo siguiente.

  1. Haga clic en el botón Agregar paso para agregar un nuevo paso. Empiece con un grupo piloto que recibirá los parches en primer lugar. En el paso final, puede usar la opción Habilitar reparación automática global si quiere que la campaña se aplique en todos los dispositivos después de que se completen correctamente los pasos de despliegue más pequeños. Esto requiere que Habilitar reparación automática esté habilitado en los ajustes del agente de Distribución y parche desplegado.
  2. En la pestaña Detalles, asigne un nombre al paso y agregue destinos en los que se desplegará ese paso.
  3. En la pestaña Criterio de aceptación, seleccione la cantidad de tiempo que desee estar en ese paso. Cuando se inicia el paso, se ejecuta una tarea de reparación programada en los dispositivos de destino para ese paso. El paso a continuación espera a la hora que especificó. Al final de ese tiempo, calcula la tasa de éxito. Defina qué es una prueba correcta. Si funciona correctamente, se activa el avance al grupo siguiente, como el Grupo piloto al Grupo piloto ampliado.
  4. En la pestaña Aprobación y actualizaciones, seleccione si desea acceder automáticamente al paso siguiente disponible o si de sea confirmar cada paso haciendo clic con el botón derecho sobre él en la vista de resumen. También puede configurar las notificaciones de correo electrónico cuando se complete un paso.

Comprender los criterios de aceptación

La pestaña Criterios de aceptación para cada paso de campaña tiene dos opciones:

  • Tasa de éxito del despliegue: cada parche que forma parte de esta campaña se debe desplegar correctamente en los dispositivos asignados. Si el parche no se aplica (instala) correctamente, se considera un fracaso. Tenga en cuenta que si un punto terminal estaba fuera de línea durante toda la duración de un paso, no cuenta como fallo.

  • Relación de parches buenos notificados: requiere y usa la función "recopilar datos de parches buenos". Detecta los bloqueos o congelaciones de la aplicación y notifica esos datos al servidor central. La relación se aplica solo a los puntos terminales donde está instalado correctamente el parche. Por ejemplo, si solo el 50 % de puntos terminales instala un parche correctamente, aun es posible tener una relación de parches buena del 100 % si no se detectan bloqueos ni informes manuales para ese parche.

    La función "recopilar datos de parches buenos" solo funciona con parches de aplicaciones de Windows de terceros (no Microsoft ni para el formato .msu) . Si el parche es un archivo .msu de actualización de Microsoft Windows o si es para un sistema operativo distinto, no cuenta de cara a los parches buenos notificados.

Puede avanzar al siguiente paso automáticamente si cumple con los criterios de aceptación o de manera manual si desea revisar los resultados y luego decidir si continúa.

Ver el progreso y el estado de la campaña de parches

La primera vez que se crea una campaña, está en la fecha programada, donde empieza a acumular parches que formarán parte de la campaña. Los pasos de la campaña no se iniciarán hasta el siguiente intervalo de patch Tuesday, ajustados para los días de desfase especificados. Cada vez que se complete el mes, la herramienta creará automáticamente una nueva campaña para el mes siguiente en un estado programado. Hay seis estados programados posibles: Activo, Programado, Pausando, Pausado, Completado y Fallido.

Aquí hay algunos consejos para ver los estados de la campaña:

  • Al hacer clic sobre la campaña principal, se le asigna un estado para la campaña en general.
  • Al hacer clic sobre los elementos de la campaña mensual bajo una campaña, le da el estado para el mes que haya pulsado.
  • Bajo cada campaña, también puede ver las vulnerabilidades de la campaña y dirigirse a dispositivos concretos.
  • Utilice la vista Vulnerabilidades para hacer clic con el botón derecho y Aprobar, No aprobar o Restablecer el estado de la aprobación. Cambiar el estado de aprobación es útil para los pasos aprobados manualmente. La tasa de éxito de despliegue se calcula solo cuando se termina el paso.
  • Si se pausa un paso, ya sea manualmente o porque está esperando la aprobación manual, puede usar la vista de Vulnerabilidades para Aprobar o Anular la aprobación manualmente de cada vulnerabilidad. Aprobar una vulnerabilidad la incluye en el cálculo de tasa de éxito. Rechazar una vulnerabilidad la elimina del cálculo de tasa de éxito y del despliegue de esa campaña.
  • También puede usar la vista Vulnerabilidades para hacer un análisis de impacto de parches o para crear una tarea de reparación.
  • En 2020.1 SU3, la opción contextual de Equipos afectados por el paso de la vista Vulnerabilidades le muestra qué equipos se ven afectados por la vulnerabilidad seleccionada. Esto es una captura de imagen que se crea al final de cada paso.
  • Utilice la vista Dispositivos para ver el total de parches, los parches desplegados y los parches que han fallado de cada dispositivo.

Por favor, dedique unos minutos de su tiempo a enviarnos sus comentarios

Queremos saber qué piensa de esta función. En la herramienta de Automatización de parches, haga clic en el botón Cómo mejorar la automatización de parches de la barra de herramientas para abrir el formulario de comentarios. ¡Esperamos saber de usted pronto!