Automação de Patch

Automação de Patch é uma ferramenta que simplifica e automatiza muito as campanhas mensais de patch. Com a Automação de Patch, você é guiado pelo processo de criação da campanha de patch. Você decide quem será corrigido e quando. Você pode monitorar facilmente o que será corrigido, em tempo real, à medida que os patches forem acumulados.

Quando as etapas de correção da campanha começam, você vê a taxa de sucesso durante o andamento e decide quando avançá-las para grupos de teste sucessivamente mais amplos. Depois de criar uma campanha de Automação de Patch condizente com sua organização e tolerância ao risco, ela pode ser automatizada a cada mês com supervisão reduzida.

IMPORTANT: Se estiver usando essa ferramenta pela primeira vez, lembre-se de seguir as etapas de configuração em Antes de usar a Automação de Patch.

Após configurar uma campanha de patch, ela será repetida automaticamente a cada mês. Você configura quando a campanha de patch começa. Por exemplo, se você configurar a campanha para começar dois dias após a Patch Tuesday, a Automação de Patch acumulará todos os patches até a data escolhida. Você pode ter quantas campanhas de patch quiser. Cada campanha é independente.

O Endpoint Manager 2021.1 SU2 adiciona suporte para campanhas autônomas individuais de patch que podem ser executadas sob demanda. Essas campanhas não se repetem automaticamente.

O Endpoint Manager 2022 SU1 adiciona suporte para campanhas de patch personalizadas que são executadas apenas uma vez. Tais campanhas baseiam-se em grupos de vulnerabilidade que você já criou e seleciona posteriormente nelas. Campanhas personalizadas podem ser úteis se você quiser executar uma campanha que não seja centrada na segurança do fornecedor.

A campanha de cada mês começa com a fase de download das vulnerabilidade, na qual as vulnerabilidades a serem tratadas naquele mês são identificadas e baixadas. A primeira etapa da primeira campanha permite configurar quantos dias adicionais de vulnerabilidades serão considerados, pois é recomendável que primeiro mês da campanha trate as vulnerabilidades que foram descobertas antes da criação da campanha.

Observe que os binários de patch serão baixados com base na política configurada do Endpoint Manager. Usar a configuração recomendada nas análises diárias de todas as vulnerabilidades garante que os binários de patch sejam baixados antes que os patches sejam implantados nos pontos de extremidade. Patches que não aceitem downloads automáticos talvez necessitem de download manual.

A fase de implantação mensal começa, e as etapas da campanha começam a ser executadas na ordem em que aparecem na página Etapas de patch. Você pode configurar quantas etapas de campanha desejar. Cada etapa pode ter seus próprios destinos e critérios de aceitação. Você controla se a progressão de etapas ocorre automaticamente, caso os critérios de aceitação sejam atendidos, ou manualmente, com um clique do botão direito.

Recomendamos que você configure, no mínimo, estas etapas para cada campanha:

  • Um pequeno grupo piloto para garantir que nada importante seja corrompido.
  • Um grupo piloto estendido para identificar problemas mais raros.
  • Um grupo de produção que seja implantado para todos.

Para cada campanha, faça o seguinte:

  1. Na página Geral, dê um nome à campanha e defina quando ela começa a cada mês, com base na Patch Tuesday. As versões 2021.1 SU2 e mais recentes têm a opção Campanha de Patch Única.
  2. Na página Produtos, selecione os produtos para os quais deseja reunir patches durante a campanha. Use a caixa Pesquisar produto para encontrar produtos específicos.
  3. Na página Gravidades:, selecione as gravidades de vulnerabilidade a serem corrigidas. Use a caixa Pesquisar gravidade para encontrar gravidades específicas.
  4. Na página Etapas de patch, adicione e configure as etapas do grupo de teste (Piloto, Piloto estendido, Produção e assim por diante). Leia a próxima seção para obter mais informações sobre as etapas da campanha.
  5. A versão 2021.1 SU2 adiciona a página Autocorreção. Nela, você pode tornar a correção automática global e selecionar um escopo que inclua os dispositivos a serem automaticamente corrigidos. Essa opção pode ser útil se você não quiser que dispositivos como servidores usem o autocorreção.
  6. Na página Vulnerabilidades, configure como deseja lidar com os downloads de conteúdo no primeiro mês. Use isso se quiser adicionar patches que foram disponibilizados antes de você iniciar a campanha. Após o primeiro mês, o conteúdo de cada mês será baixado automaticamente.
  7. Na página Resumo, revise o resumo da campanha para ter certeza de que ela está configurada da maneira desejada.

Para cada etapa da campanha na página Etapas de patch, faça o seguinte:

  1. Clique no botão Adicionar etapa para adicionar uma nova etapa. Comece com um grupo piloto que receberá os patches primeiro. Na etapa final, você pode usar a opção Habilitar reparo automático global se quiser que a campanha seja aplicada a todos os dispositivos após as etapas iniciais menores da implantação serem concluídas com sucesso. Isso requer que Habilitar reparo automático esteja habilitado nas configurações de Distribuição e Patch do agente implantado.
  2. Na guia Detalhes, nomeie a etapa e inclua os alvos em que ela será implementada.
  3. Na guia Critérios de aceitação, selecione quanto tempo deseja permanecer nessa etapa. Quando a etapa começa, uma tarefa de reparo agendada é executada nos dispositivos alvo dessa etapa. A etapa então espera pelo tempo que você especificou. Ao final desse tempo, ela calcula a taxa de sucesso. Defina o que é um teste bem-sucedido. O sucesso aciona a movimentação para o próximo grupo, como do grupo Piloto para o grupo Piloto Estendido.
  4. Na guia Aprovação e atualizações, selecione se deseja ir automaticamente para a próxima etapa disponível ou confirmar manualmente cada etapa clicando com o botão direito nela na visualização do resumo. Você também pode configurar notificações por e-mail quando uma etapa for concluída.

Compreendendo os critérios de aceitação

A guia Critérios de aceitação em cada etapa da campanha tem duas opções:

  • Taxa de sucesso da implantação: cada patch integrante da campanha deve ser implantado com sucesso nos dispositivos designados. Se o patch não for aplicado (instalado) com sucesso, será considerado uma falha. Observe que, se um ponto de extremidade tiver ficado offline por toda a duração da etapa, isso não contará como falha.

  • Proporção de patches bons relatados: requer e utiliza o recurso "coletar dados sobre patches bons". Detecta falhas ou travamentos de aplicativos e relata esses dados ao servidor núcleo. A proporção contempla apenas os pontos de extremidade em que o patch foi instalado com sucesso. Por exemplo, se apenas 50% dos pontos de extremidade instalarem o patch com sucesso, a proporção de patches bons ainda poderá ser 100%, se não houver travamentos detectados ou relatórios manuais para esse patch.

    O recurso "coletar dados sobre patches bons" funciona apenas com patches para aplicativos Windows (não com Microsoft e não com formato .msu) de terceiros. Se o patch for um arquivo .msu do Microsoft Windows Update ou for para um sistema operacional diferente, ele não será contabilizado no patches bons relatados.

Você pode avançar para a próxima etapa de forma automática, se os critérios de aceitação forem atendidos, ou manual, se quiser revisar os resultados para então decidir se vai ou não prosseguir.

Visualizar o progresso e o status da campanha de patch

Quando você cria uma campanha, ela fica no estado agendado, no qual começa a acumular os patches que farão parte dela. As etapas da campanha não começarão até o intervalo da próxima Patch Tuesday, ajustadas para os dias de deslocamento que você especificou. À medida que cada mês termina, a ferramenta cria automaticamente uma nova campanha para o mês seguinte, em estado agendado. Existem seis estados agendados possíveis: Ativo, Agendado, Pausando, Pausado, Concluído e Com Falha.

Aqui estão algumas dicas de como visualizar o status da campanha:

  • Clicar na campanha principal fornece o status geral da campanha.
  • Clicar nos itens mensais abaixo de uma campanha fornece o status do mês em que você clicou.
  • Abaixo de cada campanha, também é possível ver as vulnerabilidades e dispositivos alvo dela.
  • Use a exibição Vulnerabilidades para clicar com o botão direito e Aprovar, Desaprovar ou Redefinir o status de aprovação. Alterar o status de aprovação é útil principalmente para etapas aprovadas manualmente. A taxa de sucesso da implantação é calculada apenas quando a etapa estiver concluída.
  • Se uma etapa for pausada, seja manualmente ou porque está aguardando aprovação manual, você pode usar a exibição Vulnerabilidades para Aprovar ou Desaprovar cada vulnerabilidade individualmente. Aprovar uma vulnerabilidade a inclui no cálculo da taxa de sucesso. Desaprovar uma vulnerabilidade a remove do cálculo da taxa de sucesso e da implantação daquela campanha.
  • Você também pode usar a exibição Vulnerabilidades para fazer uma análise de impacto do patch ou criar uma tarefa de reparo.
  • Na 2020.1 SU3, clicar com o botão direito na exibição Vulnerabilidades oferece a opção Computadores afetados pela etapa, que mostra quais computadores são afetados pela vulnerabilidade selecionada. Trata-se de um instantâneo criado ao final de cada etapa.
  • Use a exibição Dispositivos para ver o total de patches, os patches implantados e os patches com falha para cada dispositivo.

Reserve um tempo para dar feedback

Queremos saber sua opinião sobre este recurso. Na ferramenta Automação de Patch, clique no botão O que deixaria a Automação de Patch melhor? na barra de ferramentas para abrir o formulário de feedback. Estamos ansiosos para saber sua opinião!