Автоматизация исправления

В средство автоматизации исправления добавлено новое приложение (Patch Automation) для упрощения и автоматизации кампаний ежемесячных исправлений. С помощью средства автоматизации исправлений вы будете использовать процесс создания кампании исправлений. Вы сами будете решать, что и когда исправлять. Вы сможете с легкостью отслеживать, что будет исправлено по мере накопления исправлений в режиме реального времени.

С началом действий кампании исправлений вы увидите процент успешных исправлений по мере их установки и сможете принять решение, когда будет необходимо перенести этапы на более масштабные тестовые группы. После создания используемого вашей организацией процесса кампании автоматизации исправлений и оценки его риска вы сможете автоматизировать действия в каждом месяце, ограничиваясь лишь небольшим контролем.

IMPORTANT: Если вы используете это средство впервые, убедитесь, что уже выполнили действия конфигурации из раздела Перед использованием средства автоматизации исправлений.

После выполнения конфигурации кампании исправлений она будет автоматически повторяться каждый месяц. Вы должны сконфигурировать, когда нужно начать кампанию исправлений. Например, если вы сконфигурировали начало кампании через два дня после вторника, автоматизация исправлений будет накапливать все исправления до выбранной вами даты. Можно использовать любое нужно количество кампаний исправлений. Каждая кампания независима от других.

В ПО Endpoint Manager 2021.1 SU2 добавлена поддержка автономных кампаний с одним исправлением, которые могут запускаться по-необходимости. Такие кампании не повторяются автоматически.

В ПО Endpoint Manager 2022 SU1 добавлена поддержка особых кампаний исправления, которые могут запускаться только один раз. Эти кампании используют уже созданные вами группы уязвимостей, которые затем могут быть выбраны в кампании. Особые кампании могут быть полезны, если нужно использовать такую, которая не основана на данных безопасности поставщика.

Кампания каждого месяца должна начинаться с этапа загрузки информации уязвимостей после обнаружения и загрузки данных уязвимостей, которые должны быть исправлены в течение кампании этого месяца. Первое действие первой кампании позволяет сконфигурировать, сколько еще дней следует учитывать уязвимости, обнаруженные до начала кампании, поскольку вы можете исправить их все в первый месяц.

Имейте в виду, что двоичные файлы исправлений будут загружены в соответствии с вашей сконфигурированной политикой Endpoint Manager. Использование рекомендованной настройки ежедневного сканирования всех уязвимостей гарантирует, что двоичные файлы исправлений будут загружены до того, как исправления будут развернуты на конечных системах. Для исправлений, не поддерживающих автоматическую загрузку, может потребоваться загрузка вручную.

Затем должен быть начат этап ежемесячного развертывания, и действия кампании будут выполняться в том порядке, в котором они отображаются на странице Действия исправления (Patch steps). Вы можете сконфигурировать любое нужно количество действий. У каждого действия могут быть свои цели и критерии принятия исправлений. Вы должны контролировать, будет ли действие выполняться автоматически с соблюдением критериев принятия или вручную с помощью нажатия правой кнопки мыши.

Мы рекомендуем, как минимум, сконфигурировать следующие действия для каждой кампании:

  • Небольшая пилотная группа для проверки отсутствия серьезных проблем.
  • Расширенная пилотная группа для обнаружения более редких проблем.
  • Рабочая и доступная всем группа.

Сделайте следующее для каждой кампании:

  1. На странице Общее (General) дайте имя кампании и определите, когда кампания будет запускаться ежемесячно с учетом исправлений по вторникам. В версиях 2021.1 SU2 и новее добавлен параметр Кампания одного исправления (Single Patch Campaign).
  2. На странице Продукты (Products) выберите продукты, для которых вы хотите получать исправления во время кампании. Для быстрого поиска продуктов используйте поле Поиск продуктов (Search product).
  3. На странице Серьезности: (Severities) выберите серьезности уязвимостей, которые нужно исправить. Для быстрого поиска серьезностей используйте поле Поиск серьезностей (Search severity).
  4. На странице Действия исправления (Patch steps) добавьте и сконфигурируйте действия тестовой группы (пилотная, расширенная пилотная, рабочая и т.д.). Для получения дополнительной информации о действиях кампании см. следующий раздел.
  5. В версии 2021.1 SU2 добавлена страница Автоисправление (Auto Fix). На ней можно сделать автоматическое исправление глобальным и выбрать область действия, включающую устройства, которые нужно исправлять автоматически. Этот параметр может быть полезен, если нужно, чтобы некоторые устройства, такие как серверы, не использовали автоисправление.
  6. На странице Уязвимости (Vulnerabilities) сконфигурируйте, как нужно обработать загрузку данных в первый месяц. Используйте этот параметр, если нужно добавить исправления, доступные до начала кампании. Спустя первый месяц данные для последующих месяцев будут загружаться автоматически.
  7. На странице Сводка (Summary) проверьте сводную информацию кампании, чтобы убедиться в корректности ее конфигурации.

Для каждого действия кампании на странице Действия исправления (Patch steps) сделайте следующее.

  1. Нажмите кнопку Добавить действие (Add step) для добавления нового действия. Начните с пилотной группы, которая первой получит исправления. В последнем действии можно использовать параметр Включить глобальное автоисправление (Enable global autofix), если нужно, чтобы кампания работала на всех устройствах после успешного завершения первых небольших действий развертывания. Включите параметр Включить автоисправление (Enable autofix) в настройках агента для распространения и исправления.
  2. На вкладке Информация (Details) дайте имя действию и добавьте цели, на которых оно будет выполняться.
  3. На вкладке Критерий принятия (Acceptance criteria) выберите количество времени, в течение которого вы хотите оставаться в этом действии. После начала действия на целевых устройствах будет запущена запланированная задача исправления. Затем действие будет ожидать указанное вами время. После этого будет вычислена степень успеха. Укажите, что должно представлять успешное завершение. Успешное завершение должно привести к переходу к следующей группе, такой как пилотная группа, а затем расширенная пилотная группа.
  4. На вкладке Утверждение и обновления (Approval and updates) выберите, нужно ли автоматически переходить к следующему доступному действию или нужно вручную подтверждать каждое действие, нажимая его правой кнопкой мыши на экране сводки. Вы также можете сконфигурировать оповещения по электронной почте, выполняемые после завершения действия.

Критерии принятия

На вкладке критериев принятия для каждого действия есть два параметра:

  • Степень успешного развертывания (Deployment success rate): Каждое исправление, которое является частью этой кампании, должно быть успешно развернуто на назначенных устройствах. Если исправление не было установлено успешно, это считается ошибкой. Имейте в виду, что если конечная система была выключена во время выполнения действия, это не считается ошибкой.

  • Сообщенная степень успешного выполнения (Reported good patch ratio): Для этого параметра требуется использование функции сбора данных об успешных исправлениях. Она обнаруживает ошибки или зависания приложений, а затем отправляет эти данные на главный сервер. Эти данные относятся только к конечным системам с успешным завершением исправления. Например, если только на 50% конечных систем исправление было успешным, все еще есть возможно получить 100% успеха, если для этого исправления не были обнаружены ошибки или созданы вручную отчеты.

    Функция сбора данных об успешных исправлениях работает только с исправлениями приложений для Windows сторонних компаний (не Microsoft и не в формате .msu). Если исправление является файлом .msu Центра обновления Microsoft Windows или предназначено для другой операционной системы, оно не учитывается в отчете об успешных исправлениях.

Вы можете перейти к следующему действию автоматически, если критерии принятия соблюдены, или вручную, если нужно проверить результаты, а затем принять решение о продолжении.

Просмотр выполнения и статуса кампании исправлений

После создания кампании она будет находиться в запланированном состоянии, и начнет получать исправления, которые станут ее частью. Действия кампании не будут начаты до следующего периода времени исправлений во вторник, который был скорректирован с учетом указанных вами дней. По мере завершения каждого месяца данное средство автоматически будет создавать новую кампанию в запланированном состоянии для следующего месяца. Шесть возможных состояний планирования: Активно, запланировано, приостановка, приостановлено, выполнено и ошибка.

Далее представлены советы по проверке статуса кампании:

  • Нажатие основной кампании отобразит ее общий статус.
  • Нажатие элементов ежемесячной кампании отобразит статус за выбранный месяц.
  • В каждой кампании вы также можете найти, назначенные ей уязвимости и целевые устройства.
  • Нажмите правой кнопкой мыши вид Уязвимости (Vulnerabilities), а затем Утвердить (Approve), Запретить (Disapprove) или Сброс (Reset) для выбора статуса утверждения. Изменение статуса утверждения, в частности, полезно для утвержденных вручную действий. Степень успешности развертывания вычисляется только после завершения действия.
  • Если действие было приостановлено вручную или из-за ожидания подтверждения вручную, вы можете использовать вид Уязвимости (Vulnerabilities) для отдельного утверждения или запрещения каждой уязвимости. Утверждение уязвимости включает ее в вычисление степени успеха. Запрет уязвимости исключает ее из вычисления степени успеха и из развертывания в этой кампании.
  • Вы также можете использовать вид Уязвимости (Vulnerabilities) для отображения анализа воздействия исправлений или создания задач исправления.
  • В версии 2020.1 SU3 в виде Уязвимости (Vulnerabilities) нажатие правой кнопкой мыши параметра Задействованные в действии компьютеры (Step affected computers) отобразит компьютеры, которые подвержены выбранной уязвимости. Это снимок, создаваемый в конце каждого действия.
  • Используйте вид Устройства (Devices) для отображения общего числа исправлений, установленных исправлений и исправлений с ошибками для каждого устройства.

Пожалуйста, дайте свой отзыв

Мы хотим знать, что вы думаете об этой функции. В средстве автоматизации исправлений на панели инструментов нажмите кнопку Как сделать автоматизацию исправлений лучше для открытия формы отзыва. Мы будем рады узнать ваше мнение!