Patch Automation (2020.1 SU1)

Ivanti® Endpoint Manager 2020.1 SU1 comprend un nouvel outil d'automatisation des correctifs, Patch Automation, qui simplifie énormément les campagnes de correctifs mensuelles et les automatise. L'outil Patch Automation vous guide tout au long du processus de création de la campagne de correctifs. Vous choisissez les éléments où appliquer les correctifs et le moment où le faire. Vous pouvez facilement suivre en temps réel les éléments auxquels les correctifs doivent être appliqués, au fur et à mesure que les correctifs s'accumulent.

Lorsque les étapes de la campagne de correctifs démarrent, l'écran affiche le taux de succès des correctifs en temps réel, et vous pouvez choisir le moment où la campagne progresse vers des groupes de test de plus en plus large. Une fois que vous avez créé un processus d'automatisation de campagne de correctifs qui fonctionne pour votre entreprise dans les limites de votre tolérance aux risques, vous pouvez l'automatiser chaque mois avec très peu de supervision.

IMPORTANT: Si vous utilisez cet outil pour la première fois, veillez à bien suivre les étapes de configuration détaillées à la rubrique «Avant d'utiliser Patch Automation ».

Une fois que vous avez configuré une campagne de correctifs, cette campagne se répète automatiquement tous les mois. Vous pouvez définir la date de début de la campagne. Par exemple, si vous configurez votre campagne pour qu'elle commence deux jours après le Patch Tuesday, Patch Automation accumule tous les correctifs jusqu'à la date choisie. Vous pouvez configurer autant de campagnes de correctifs que vous le souhaitez. Chaque campagne est indépendante.

L'une des nouveautés d'Endpoint Manager 2021.1 SU2 est la prise en charge des campagnes autonomes d'un seul correctif, que vous pouvez exécuter à la demande. Ces campagnes ne sont pas automatiquement répétées.

L'une des nouveautés d'Endpoint Manager 2022 SU1 est la prise en charge des campagnes de correctifs personnalisées à exécution unique. Ces campagnes reposent sur des groupes de vulnérabilités que vous avez déjà créés, que vous sélectionnez ensuite dans la campagne. Les campagnes personnalisées peuvent être utiles si vous souhaitez exécuter une campagne non centrée sur la sécurité fournisseur.

La campagne commence chaque mois par une phase de téléchargement des vulnérabilités, où les vulnérabilités concernées par ce mois-là dans la campagne sont identifiées et téléchargées. La première étape de la première campagne vous permet de configurer le nombre de journées supplémentaires de vulnérabilités à prendre en compte, car vous voudrez sans doute que ce premier mois de campagne couvre les vulnérabilités découvertes avant la création de la campagne.

Notez que les fichiers binaires de correctif sont téléchargés en fonction de la stratégie Endpoint Manager configurée. En utilisant le paramètre recommandé (analyses quotidiennes de toutes les vulnérabilités), vous vous assurez que les fichiers binaires de correctif sont téléchargés avant le déploiement des correctifs sur les postes client. Vous devrez peut-être quand même télécharger manuellement les correctifs qui ne prennent pas en charge le téléchargement automatique.

La phase mensuelle de déploiement débute alors. Les étapes de la campagne commencent à s'exécuter, dans l'ordre où elles apparaissent dans la page Étapes de correctif. Vous pouvez configurer autant d'étapes de campagne que vous le souhaitez. Chaque étape peut comporter ses propres cibles et ses propres critères d'acceptation des correctifs. Vous choisissez si la progression d'une étape à l'autre doit être automatique dès que les critères d'acceptation sont remplis, ou bien s'il faut cliquer avec le bouton droit pour faire manuellement progresser la campagne.

Nous vous recommandons d'inclure au moins les étapes suivantes dans chaque campagne :

  • Petit groupe pilote pour vérifier qu'aucun dommage important n'est constaté.
  • Groupe pilote plus étendu pour identifier les problèmes plus rares.
  • Un groupe de production pour déployer les correctifs pour tout le monde.

Effectuez les opérations suivantes pour chaque campagne :

  1. Dans la page Général, donnez un nom à la campagne et définissez la date de début de cette campagne de correctifs tous les mois, en fonction de chaque Patch Tuesday. Les versions 2021.1 SU2 et supérieures offrent l'option supplémentaire Campagne Correctif unique.
  2. Dans la page Produits, sélectionnez les produits pour lesquels le système doit collecter des correctifs au cours de la campagne. Utilisez la zone Rechercher un produit pour trouver rapidement des produits spécifiques.
  3. Dans la page Gravités, sélectionnez la gravité des vulnérabilités auxquelles appliquer des correctifs. Utilisez la zone Rechercher une gravité pour trouver rapidement des gravités spécifiques.
  4. Dans la page Étapes de correctif, ajoutez et configurez les étapes de groupe de test (Pilote, Pilote étendu, Production, etc.). Reportez-vous à la section suivante pour en savoir plus sur les étapes de campagne.
  5. La version 2021.1 SU2 offre la page supplémentaire Correction automatique. Elle vous permet de mettre en place une correction automatique globale ou de choisir une étendue incluant les périphériques à autocorriger. Cette option peut s'avérer utile si vous souhaitez empêcher certains périphériques (comme les serveurs) d'utiliser la correction automatique.
  6. Dans la page Vulnérabilités, indiquez comment vous souhaitez traiter les téléchargements de contenu du premier mois. Utilisez ces options pour ajouter les correctifs qui étaient disponibles avant le début de votre campagne. Après le premier mois, le contenu de chaque mois est téléchargé automatiquement.
  7. Dans la page Récapitulatif, passez en revue le récapitulatif de votre campagne pour vous assurer qu'elle est bien configurée comme vous le souhaitez.

Effectuez les opérations suivantes pour chaque étape de campagne de la page Étapes de correctif.

  1. Cliquez sur le bouton Ajouter une étape pour insérer une nouvelle étape. Commencez par un groupe pilote, qui recevra les correctifs en premier. Dans l'étape finale, vous pouvez activer l'option Activer la correction automatique globale, pour que la campagne s'applique à tous les périphériques après la réussite des étapes de déploiement initiales plus limitées. Pour cela, vous devez sélectionner Activer la correction automatique dans les paramètres d'agent Distribution et correctifs.
  2. Dans l'onglet Détails, attribuez un nom à l'étape et ajoutez les cibles sur lesquelles cette étape doit déployer les correctifs.
  3. Dans l'onglet Critères d'acceptation, sélectionnez la durée de traitement à consacrer à cette étape. Lorsque l'étape démarre, une tâche planifiée de réparation s'exécute sur les périphériques ciblés pour cette étape. L'étape attend ensuite pendant la durée spécifiée. À la fin de ce délai, elle calcule le taux de succès. Définissez les critères de réussite du test. Le succès déclenche un passage au groupe suivant. Par exemple, vous passez du groupe Pilote au groupe Pilote étendu.
  4. Dans l'onglet Approbation et mises à jour, indiquez si vous souhaitez passer automatiquement à l'étape disponible suivante ou si vous préférez confirmer manuellement chaque étape en cliquant avec le bouton droit dans la vue Récapitulatif. Vous pouvez également configurer des notifications à envoyer par e-mail lorsqu'une étape se termine.

Comprendre les critères d'acceptation

L'onglet Critères d'acceptation de chaque étape de campagne comporte deux options :

  • Taux de succès des déploiements : Chaque correctif inclus dans cette campagne doit être déployé avec succès vers les périphériques affectés. Si le correctif n'est pas appliqué (installé) avec succès, le système considère qu'il s'agit d'un échec. Attention, si un poste client est hors ligne pendant toute la durée d'une étape, cela ne compte pas comme un échec.

  • Taux de correctifs corrects signalé : Nécessite et utilise la fonction « Collecter les données des correctifs corrects ». Le système détecte les plantages/gels d'application et transmet ces données au serveur principal. Ce taux s'applique uniquement aux postes client où le correctif est installé avec succès. Par exemple, si l'installation d'un correctif réussit sur seulement 50 % des postes client, le taux de correctifs corrects peut quand même être de 100 %, si aucun plantage ni rapport manuel n'est détecté pour le correctif en question.

    La fonction « Collecter les données des correctifs corrects » fonctionne uniquement avec les correctifs d'application Windows tiers (ni Microsoft, ni au format .msu). Si le correctif fait partie d'une mise à jour Microsoft Windows Update (fichier .msu) ou concerne un autre système d'exploitation, il n'est pas inclus dans le total des correctifs corrects signalés.

Vous pouvez passer automatiquement à l'étape suivante si les critères d'acceptation sont remplis, ou bien le faire manuellement si vous préférez examiner les résultats avant de décider comment poursuivre.

Affichage de la progression et de l'état de la campagne de correctifs

Lors de la création initiale d'une campagne, cette dernière porte un état de planification. Elle commence à accumuler les correctifs qui feront partie de cette campagne. Les étapes de campagne démarrent seulement au prochain intervalle Patch Tuesday, avec les jours de décalage que vous avez spécifiés. Lorsque chaque traitement mensuel se termine, l'outil crée automatiquement une nouvelle campagne pour le mois suivant, avec un état de planification. Il existe six états de planification : Actif, Planifié, Suspension, Suspendu, Terminé et Échec.

Voici quelques astuces pour l'affichage de l'état de la campagne :

  • Un clic sur la campagne principale affiche l'état de la campagne dans son ensemble.
  • Un clic sur une entrée mensuelle de campagne sous la campagne principale affiche l'état pour le mois sélectionné.
  • Sous chaque campagne, vous pouvez également voir les vulnérabilités et les périphériques cible concernés.
  • Utilisez la vue Vulnérabilités pour cliquer avec le bouton droit et choisir les options Approuver, Désapprouver ou Réinitialiser l'état d'approbation. La modification de l'état d'approbation est surtout utile pour les étapes approuvées manuellement. Le taux de succès des déploiements est calculé uniquement lorsque l'étape est terminée.
  • Si une étape est suspendue (manuellement ou parce qu'il faut l'approuver manuellement), vous pouvez utiliser la vue Vulnérabilités pour cliquer séparément sur Approuver ou Désapprouver pour chaque vulnérabilité. L'approbation d'une vulnérabilité permet de l'inclure dans le calcul du taux de succès. En désapprouvant une vulnérabilité, vous la supprimez du calcul du taux de succès et du déploiement pour cette campagne.
  • Vous pouvez également utiliser la vue Vulnérabilités pour exécuter une analyse d'impact des correctifs ou créer une tâche de réparation.
  • Dans la version 2020.1 SU3, la vue Vulnérabilités contient l'option Ordinateurs affectés par cette étape, accessible par clic avec le bouton droit, qui indique les ordinateurs affectés par la vulnérabilité sélectionnée. Il s'agit d'un instantané, créé à la fin de chaque étape.
  • Utilisez la vue Périphériques pour consulter le nombre total de correctifs, le nombre de correctifs déployés et le nombre de correctifs ayant échoué pour chaque périphérique.

Merci de prendre le temps de nous donner votre opinion

Nous aimerions savoir ce que vous pensez de cette fonction. Dans l'outil Patch Automation, cliquez sur le bouton Comment améliorer l'automatisation des correctifs (Patch Automation) dans la barre d'outils pour ouvrir le formulaire d'envoi de commentaires. Nous attendons votre réponse avec impatience !