Понятия и использование программы исправления и проверки соответствия

В окне утилиты исправлений и проверки соответствия имеется панель инструментов со следующими кнопками:

•Все типы (All types): Отображает тип просматриваемых данных. Когда вы выберите программу антивируса, в ней будут перечислены только загруженные определения обнаружения для сканера. В нем не будут представлены специфичные для программы Ivanti Antivirus файлы определений вирусов.

•Общее (Global) (все устройства): Используется для ограничения отображения элементов по конкретным критериям.

•Все элементы (All Items): Используется для фильтрации отображенных элементов на основе данных пользовательского фильтра. Для получения информации о создании и использовании пользовательских фильтров см. раздел Настройка списков элементов с фильтрами.

•Загрузить обновления (Download updates): Открывает диалог, в котором вы можете указать загружаемые данные безопасности. К ним относятся платформы и языки, а также сервер, на котором нужно получить данные безопасности. Можно также указать, следует ли помещать определения в группу "Не назначено" (Unassigned), нужно ли параллельно загружать ассоциированные исправления, а также указать место размещения загруженных исправлений и настройки прокси-сервера.

•Создать задачу (Create a task): Предоставляет раскрывающийся список, в котором можно выбрать тип создаваемой задачи:

•Конфигурация настроек (Configure settings): Предоставляет раскрывающийся список, в котором можно выбрать тип настроек для конфигурирования, изменения или обновления:

•Отображать информационную панель в отдельном окне (Display dashboard in a separate window): Открывает информационную панель программы исправления и проверки соответствия, позволяя вам просматривать и упорядочивать диаграммы с информацией об исправлениях.

•Импорт определений (Import definitions): Позволяет импортировать XML-файл, содержащий пользовательские определения.

•Экспорт определений (Export definitions): Позволяет экспортировать пользовательское определение в виде XML-файла.

•Информация о сканировании (Scan information): Позволяет просматривать подробные сведения о действиях утилиты исправлений и проверки соответствия и их состоянии по таким категориям, как недавние сканирования и степень важности определений, для всех управляемых устройств.

•Компьютеры с несоответствиями (Computers out of compliance): Отображает список устройств, которые были просканированы для проверки соответствия с предварительно определенной политикой соответствия (на основе содержимого группы соответствий) и определены как неисправные или несоответствующие.

•Обновить (Refresh): Позволяет обновить содержимое выбранной группы.

•Добавить (Add): В зависимости от выбранного в дереве создает новую таблицу, пользовательское определение или тег. Если выбранный в дереве элемент допускает создание пользовательского определения, он добавляет пользовательское определение. Если будет выбрана функция исправления и проверки соответствия, добавляется новая таблица. Если будет выбран параметр тегов, будет создан новый тег.

•Свойства (Properties): Используется для отображения свойств выбранной таблицы, группы или определения.

•Удалить выбранные элементы (Delete selected items): Позволяет удалить выбранные элементы из базы данных главного сервера.

•Очистка определений исправлений и соответствий (Purge patch and compliance definitions): Позволяет указать платформы и языки, определения для которых вы хотите удалить из главной базы данных. Эту операцию может выполнять только администратор Ivanti.

•Отключить замененные правила (Disable replaced rules): Позволяет вам выбрать, как вы нужно заменять обрабатываемые правила. Замененные правила правила представляют собой правила, заданные другими определениями в вашей среде.

•Справка (Help): Открывает раздел справки, посвященный службе исправлений и проверки соответствия.

Корневой объект в дереве содержит все типы данных безопасности, такие как уязвимости, шпионские программы, угрозы безопасности, заблокированные приложения и группы пользовательских определений.

Объект Все типы (All types) содержит следующие подгруппы:

•Сканировать (Scan): (Для типа заблокированных приложений эта группа называется Блокировать (Block).) Содержит все определения безопасности, включенные в операцию поиска во время запуска сканера безопасности на управляемых устройствах. Другими словам, если определение включено в эту группу, оно будет частью следующей операции сканирования; в противном случае оно не будет включено в сканирование.

По умолчанию накопленные определения добавляются в группу "Сканировать" (Scan) во время обновления содержимого. (ВАЖНО! Заблокированные приложения по умолчанию добавляются в группу "Не назначено" (Unassigned).)

Сканирование — это одно из трех возможных состояний для определения безопасности наряду с "Не сканировать" (Don't Scan) и "Не назначено" (Unassigned). Поэтому определение может находиться только в одной из этих групп в определенный момент времени. Определение находится в состоянии "Сканировать" (Scan), "Не сканировать" (Don't Scan) или "Не назначено" (Unassigned) и определяется уникальным значком для каждого состояния (знак вопроса [?] — не назначено, красный крестик [X] — не сканировать и обычный значок уязвимости — сканировать). При перемещении определения из одной группы в другую автоматически меняется его состояние.

Путем перемещения определений в группу "Сканировать" (Scan) (перетаскиванием одного или нескольких определений из другой группы, за исключением группы "Обнаружено" (Detected)) можно настраивать режим и размер следующего сканирования безопасности на целевых устройствах.

•Обнаружено (Detected): Содержит все определения, обнаруженные сканером безопасности, для всех устройств, включенных в процесс сканирования. Содержимое этой группы собирается со всех операций сканирования безопасности, выполняемых в сети. Определения удаляются из этой группы только в случае успешного исправления, удаления из группы сканирования и выполнения повторного сканирования, а также после фактического удаления соответствующего устройства из базы данных.

Список "Обнаружено" (Detected) включает все определения безопасности, обнаруженные во время последнего сканирования. В столбцах просканированных устройств и обнаруженных определений указывается, сколько устройств было просканировано и сколько определений было обнаружено для этих устройств. Чтобы посмотреть, на каких конкретно устройствах обнаружено определение, щелкните правой кнопкой мыши элемент и выберите Задействованные компьютеры (Affected computers).

Имейте в виду, что вы можете также отображать информацию об устройствах посредством нажатия правой кнопкой мыши устройства в виде сети и выбора Безопасность и исправление > Информация о безопасности и исправлении (Security and Patch > Security and Patch Information).

Вы можете только перемещать определения из группы "Обнаружено" (Detected) в группы "Не назначено" (Unassigned) или "Не сканировать" (Don't Scan).

Обратите внимание, что перед выполнением исправления помимо активизации правил обнаружения определения необходимо также загрузить соответствующий исполняемый файл исправления в локальное хранилище исправлений в вашей сети (как правило, это главный сервер). Атрибут "Загружено" (Downloaded) указывает, было ли загружено исправление, связанное с данным правилом.

•Не сканировать (Do not scan): (Для заблокированных приложений эта группа называется Не блокировать (Do not Block).) Содержит все определения, не включаемые в операцию поиска при следующем запуске сканера безопасности на устройствах. Как уже говорилось ранее, если определение находится в этой группе, оно не может находиться также в группах "Сканировать" (Scan) или "Не назначено" (Unassigned). Вы можете перемещать определения в эту группу, чтобы временно удалять их из операции сканирования безопасности.

•Не назначено (Unassigned): Содержит все определения, не включенные в группу "Сканировать" (Scan) или "Не сканировать" (Don't Scan). Группа "Не назначено" (Unassigned), по сути, представляет собой область для хранения собранных определений до принятия решения о необходимости их сканирования.

Чтобы переместить определения, перетащите одно или несколько из группы "Не назначено" (Unassigned) в группу "Сканировать" (Scan) или "Не сканировать" (Don't Scan).

Чтобы новые определения автоматически добавлялись в группу "Не назначено" (Unassigned) во время обновления содержимого, выберите параметр Поместить новые определения в группу "Не назначено" (Put new definitions in the Unassigned group) в диалоге Загрузить обновления (Download updates).

•Отобразить по продуктам (View by product): Содержит все определения, объединенные в специальные подгруппы по продуктам. Эти подгруппы помогают идентифицировать определения по соответствующим категориям продуктов.

•Отобразить по поставщикам (View by vendor): Содержит все определения, объединенные в специальные подгруппы по продуктам. Эти подгруппы помогают идентифицировать определения по их соответствующим поставщикам.

С помощью подгрупп по продуктам можно копировать определения в группу "Сканировать" (Scan) для сканирования по конкретным продуктам или копировать их в пользовательскую группу (см. ниже инструкции по выполнению исправления сразу для групп продуктов).

Определения можно копировать из группы продуктов в группу "Сканировать" (Scan), "Не сканировать" (Don't Scan) или "Не назначено" (Unassigned), а также в любые определенные пользователем группы. Они могут одновременно находиться в группах по платформам, по продуктам и нескольких пользовательских группах.

Группа позволяет выполнять действия (такие как сканирование целевых систем, задача исправления или запрос) для определенного набора определений. Например, вы можете настроить группу "Подготовка к исправлению" (Ready for Repair), содержащую протестированные и готовые к развертыванию исправления.

Определение может одновременно относиться к нескольким группам. Добавление определения в группу не меняет его статус в папке Сканировать (Scan) или Не сканировать (Do not scan). Однако вы можете выполнять для данной группы задачи, которые будут перемещать определение.

Объект Группы (Groups) содержит следующие подгруппы:

•Пользовательские группы (Custom Groups): Отображает все созданные вами подгруппы, содержащие определения. Объект My custom groups Мои пользовательские группы (My custom groups) предназначен для систематизации определений безопасности нужным вам способом.

Для создания пользовательской группы нажмите правой кнопкой мыши Мои пользовательские группы (My custom groups), а затем Новая группа (New Group).

Чтобы добавить определения в пользовательскую группу, перетащите одно или несколько определений из любой другой группы определений. Можно также щелкнуть правой кнопкой мыши пользовательскую группу и выбрать Добавить определение (Add Definition)..

•Предопределенные группы (Predefined groups): Содержит любые предварительно определенные группы определений уязвимостей в соответствии с подпиской на данные безопасности Ivanti® Endpoint Security для Endpoint Manager. Например, эта группа может содержать опубликованные отраслевые определения, такие как "SANS Top 20" — первые 20 определений уязвимостей, определенные и опубликованные корпорацией Microsoft.

•Предупреждение (Alert): Содержит все определения, которые будут генерировать предупреждающее сообщение при следующем запуске сканера безопасности на устройствах.

•Соответствие (Compliance): Отображает все определения, которые могут использоваться для определения состояния управления устройства, а именно, в рабочем или нерабочем состоянии. Определения и ассоциированные файлы исправлений, находящиеся в группе "Соответствие" (Compliance), копируются на специальный сервер исправлений, который сканирует устройства, определяет их соответствие или несоответствие и может исправлять несоответствующие устройства, чтобы они могли получить полный доступ к корпоративной сети. Когда вы запускаете сканирование для проверки соответствия с помощью кнопки Создать задачу (Create a task), будут использоваться определения в данной группе.

Теги представляют собой способ организовать определения. Определение может иметь несколько связанных с ним тегов. Создайте фильтр или запрос для просмотра информации определений, которые имеют теги.

На основании информации тегов не предпринимается никаких действий. Если вы хотите организовать определения и затем выполнять действия на основе существующего группирования, необходимо использовать группу, а не тег. Во время проекта развертывания могут быть изменены теги, которые связаны с определением, но никакие действие не могут быть выполнены на основании состояния тегов.

Управление тегами выполняется с помощью элементов Конфигурация настроек > Управлять тегами (Configure settings > Manage tags).

Объект Правила обнаружения (Detection rules) отображается в дереве только в случае выбора в качестве типа значений параметров Уязвимость (Vulnerability) или Пользовательское определение (Custom definition). Этот объект отображает связанные с определениями правила обнаружения.

Группа Правила обнаружения (Detection rules) содержит следующие подгруппы:

•Сканировать (Scan): Содержит все правила обнаружения, активизированные для сканирования безопасности на устройствах. Правила обнаружения автоматически добавляются в этот список после обновления содержимого исправления.

•Не сканировать (Do not Scan): Содержит все правила обнаружения, исключенные из сканирования безопасности на устройствах. Для некоторых определений имеется больше одного правила обнаружения. Отключив правило обнаружения, вы можете убедиться, что оно не будет использоваться во время сканирования. Это может упростить операцию сканирования безопасности, не переопределяя определение.

•Отобразить по продуктам (View by Product): Содержит все правила обнаружения для собранных определений, объединенные в специальные подгруппы по продуктам. Эти подгруппы помогают идентифицировать правила обнаружения по соответствующим категориям продуктов.

С помощью подгрупп по продуктам можно выполнять групповые операции.