Beispiel-Workflow für die Integration von Vulnerability Response Patch Orchestration mit Microsoft SCCM

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Ein Beispiel für die Funktionsweise der Patch-Orchestration mit Microsoft SCCM.

    Vorbereitungen

    Angenommen, Ihre gesamte Umgebung wird alle drei Wochen gepatcht. Das letzte Patch-Zeitfenster wurde vor einer Woche abgeschlossen, Sie möchten jedoch einen Patch anwenden, um eine kritische Schwachstelle zu beheben, die kürzlich bekannt wurde. Aufgrund der kritischen Natur dieser Schwachstelle können Sie nicht zwei weitere Wochen auf den nächsten geplanten Patch warten.

    Erforderliche Rollen:
    • sn_vul.vulnerability_analyst oder sn_vul.vulnerability_admin für Vulnerability Manager Workspace.
    • sn_vul.remediation_owner, um den Arbeitsbereich des IT-Korrekturbesitzers anzuzeigen.
    • Rolle sn_vul_patch_orch.configure_patch zum Konfigurieren und Planen von Patches.
    • sn_vul_patch_orch.read_patch, um Patch-Informationen in Datensätzen anzuzeigen (schreibgeschützt). Diese Rolle wird mit den Rollen sn_vul.remediation_owner und sn_vuln.vulnerability_analyst geerbt, die für die Arbeitsbereiche IT Remediation und Vulnerability Manager erforderlich sind.

    Warum und wann dieser Vorgang ausgeführt wird

    Als Schwachstellenmanager oder Analyst, der im Arbeitsbereich des Schwachstellenmanagers arbeitet, sollten Sie Überwachungsthemen erstellen oder vorhandene Überwachungsthemen bearbeiten, um importierte VIs mit kritischen Schwachstellen zu erfassen. Mit der Integration von Patch Orchestration können Sie auch die Patches anzeigen, die Sie zum Beheben und Nachverfolgen dieser Schwachstellen verwenden möchten. In der folgenden Tabelle sind einige Beispiele mit den Bedingungen aufgeführt, die Sie für Überwachungsthemen für die Patch-Orchestration festlegen können. Verwenden Sie diese Beispiele, um die Einstellungen zu bestimmen, die für Ihre Umgebung am besten geeignet sind. Weitere Informationen zum Einrichten des Überwachungsthemas finden Sie unter Erstellen Sie in Vulnerability Manager Workspace ein Überwachungsthema.
    Tabelle : 1. Beispiele für Überwachungsthemen für die Patch-Orchestrierung in Vulnerability Manager Workspace
    Name des Überwachungsthemas Beschreibung
    Kritische Schwachstellen mit Patch-Lecks

    Risikobewertung ist 1 – kritisch UND

    Grund ist „Patch nicht geplant“.
    Kritische Schwachstellen mit geplanten Patches (fehlende SLA)

    Grund ist „Patch geplant“ (fehlendes Zieldatum)
    Kritische Schwachstellen mit geplanten Patches

    Risikobewertung ist 1 – kritisch UND

    Geplantes Patch-Datum ist nicht leer UND

    Grund ist „Patch geplant“.
    • Nachdem Sie als Schwachstellenmanager oder Analyst die Überwachungsthemen und Korrekturmaßnahmen erstellt haben, generieren Sie Korrekturaufgaben. Über VI-Datensätze und Korrekturaufgaben können Sie Detailinformationen zur Registerkarte „Erkennungen“ anzeigen und Datensätze erkannter Elemente suchen, die die von Ihnen nachverfolgte Schwachstelle aufweisen, zusammen mit den vom SCCM-Produkt importierten Assets.
    • Als Schwachstellenanalyst oder Administrator können Sie die mit der Schwachstelle verknüpften Patch-Daten überwachen. Sie können auch einen Patch oder mehrere Patches für ein bestimmtes Asset (Konfigurationselement) aus einem erkannten Elementdatensatz bereitstellen.

    Als IT-Korrekturspezialist haben Sie verschiedene Möglichkeiten, wie Sie die Schwachstelle mit einer Patch-Bereitstellung beheben.

    • Sie können den Patch aus einem Patch-Update-Datensatz (VPU#) planen.
    • Wenn angreifbaren Elementen (AEs) bevorzugte Lösungen zugeordnet sind und sie Ihnen oder Ihren Gruppen zugewiesen sind, können Sie die Patches aus einer Korrekturaufgabe mit diesen angreifbaren Elementen planen.

    Prozedur

    1. Klicken Sie als IT-Korrekturspezialist im IT-Korrekturarbeitsbereich auf die Ansicht Homepage.
    2. Klicken Sie in der Startansicht auf die Bewertungsliste Zugewiesene Korrekturaufgaben, um die Datensätze anzuzeigen.

      Für dieses Beispiel können Sie das Feld Kurzbeschreibung in der Korrekturaufgabe (VUL#) auf Text überprüfen, der sich auf Ihre kritische Schwachstelle bezieht. Angenommen, Sie wissen möglicherweise, dass Ihr Schwachstellenmanager ein Überwachungsthema mit der Bezeichnung „Kritische Schwachstellen mit Patch-Lecks zur Erfassung von VIs (VIT#)“ mit dieser kritischen Schwachstelle erstellt hat.

      Wenn der Datensatz geöffnet ist, können Sie auch die AEs und die bevorzugten Patches überprüfen und feststellen, ob Sie oder einer Ihrer Gruppenmitglieder bereits Patch-Anforderungen zur Genehmigung eingereicht haben.

    3. Wenn Sie über genügend Informationen verfügen, möchten Sie möglicherweise jetzt eine Patch-Anforderung über diese Korrekturaufgabe senden.
      Hinweis:
      Wenn den mit dem Datensatz verknüpften VIs keine Patches zugeordnet sind, ist die Schaltfläche Patch planen im Datensatz nicht verfügbar.
    4. Klicken Sie auf Patch planen, und füllen Sie die Felder im Dialogfeld aus.
      Weitere Informationen zum Planen eines Patch finden Sie unter Planen von Patches mit der Microsoft SCCM-Integration mit Vulnerability Response.
    5. Alternativ können Sie in der Listenansicht im IT-Korrekturarbeitsbereich auf die Links Korrekturaufgaben, angreifbare Elemente, Lösungen und Patches klicken, um diese Datensätze anzuzeigen.
      In diesem Beispiel kennen Sie möglicherweise anstelle eines Überwachungsthemennamens die Artikel-ID oder die Bulletin-ID und den Titel des Patch. Wenn dies der Fall ist, sollten Sie überprüfen, ob Ihnen oder Ihren Gruppen einer der VIs mit dieser Schwachstelle zugewiesen ist. Über Patch-Update-Datensätze können Sie Patch-Anforderungen übermitteln. In VI-Datensätzen können Sie nach potenziellen Patches suchen und die zugehörige Korrekturaufgabe öffnen, wenn Sie eine Patch-Anforderung senden möchten.
    6. Wenn Sie keinen Zugriff auf die Arbeitsbereiche haben oder Daten anzeigen und Patches aus der klassischen Umgebung planen möchten, führen Sie die folgenden Schritte aus.
      1. Navigieren zu Vulnerability Response > Patches > Alle.
      2. Suchen Sie den gewünschten Patch-Update-Datensatz.
        Möglicherweise möchten Sie die Datensätze nach Punktzahlen kritischer Risiken filtern.
      3. Überprüfen Sie die zugehörigen Felder „AEs“ und „Prozentsatz der korrigierten AEs“ auf der Registerkarte „Korrekturstatus“.
        Wenn für die VIs Patches verfügbar sind, wird die Schaltfläche Patch planen oben rechts im Datensatz angezeigt.
      4. Wenn Sie eine Anforderung senden möchten, klicken Sie auf Patch planen.
        Weitere Informationen zum Planen eines Patch finden Sie unter Planen von Patches mit der Microsoft SCCM-Integration mit Vulnerability Response.
      5. Angenommen, Sie haben keine Patch-ID-Informationen, können aber das Feld Kurzbeschreibung der Korrekturaufgaben, die Ihrer Gruppe zugewiesen sind, auf Text überprüfen, der sich auf Ihre kritische Schwachstelle bezieht.
      6. Navigieren zu Vulnerability Response > Korrekturaufgaben > Meinen Gruppen zugewiesen.
      7. Suchen Sie den gewünschten Datensatz, und klicken Sie darauf, um ihn zu öffnen.
        Überprüfen Sie im geöffneten Datensatz die Registerkarte Remediation Status (Korrekturstatus) auf VIs und % der korrigierten VIs. Klicken Sie auf die zugehörigen Links für VI-Datensätze, bevorzugte Lösungen, bevorzugte Patches und Patch-Anforderungen.
        Hinweis:
        Wenn den mit dem Datensatz verknüpften VIs keine Patches zugeordnet sind, ist die Schaltfläche Patch planen im Datensatz nicht verfügbar.
      8. Klicken Sie im Datensatz auf Patch planen, wenn Sie eine Patch-Anforderung senden möchten.