Exemplo de fluxo de trabalho para a integração da Orquestração de patches [ Resposta a vulnerabilidades com o Microsoft SCCM

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Um exemplo de como a orquestração de patches funciona com o Microsoft SCCM.

    Antes de Iniciar

    Digamos que, por exemplo, todo o seu ambiente seja corrigido uma vez a cada três semanas. A janela de patch mais recente foi concluída há uma semana, mas você deseja aplicar um patch para corrigir uma vulnerabilidade crítica que se tornou conhecida recentemente. Devido à natureza crítica desta vulnerabilidade, você não pode esperar mais duas semanas pelo próximo patch programado.

    Funções necessárias:
    • sn_vul.vulnerability_analyst ou sn_vul.vulnerability_admin para o Espaço do gerenciador de vulnerabilidades.
    • sn_vul.remediation_owner para exibir o espaço do responsável pela correção de TI.
    • Função sn_vul_patch_orch.configure_patch para configurar e programar patches.
    • sn_vul_patch_orch.read_patch para exibir (somente leitura) informações de patch nos registros. Esta função é herdada com as funções sn_vul.remediation_owner e sn_vuln.vulnerability_analyst que são necessárias para os Espaços de correção e vulnerabilidade de TI.

    Por Que e Quando Desempenhar Esta Tarefa

    Como gerente de vulnerabilidades ou analista que trabalha no Espaço do gerenciador de vulnerabilidades, considere criar tópicos de observação ou editar tópicos de observação existentes para ajudá-lo a capturar IVs importados com vulnerabilidades críticas. Com a integração de orquestração de patches, você também pode ver os patches que deseja usar para corrigir e rastrear essas vulnerabilidades. A tabela a seguir lista alguns exemplos com as condições que você pode definir para tópicos de observação para orquestração de patches. Use estes exemplos para ajudá-lo a determinar as configurações que funcionam melhor para o seu ambiente. Consulte Criar um tópico de observação no Espaço do gerenciador de vulnerabilidades para obter mais informações sobre como configurar o tópico de observação.
    Tabela 1. Amostra de tópicos de observação para orquestração de patches no Espaço do gerenciador de vulnerabilidades
    Nome do tópico de observação Descrição
    Vulnerabilidades críticas com vazamentos de patch

    A classificação de risco é 1 - crítico E

    O motivo é patch não programado
    Vulnerabilidades críticas com patches programados (ANS ausente)

    O motivo é patch programado (data de destino ausente)
    Vulnerabilidades críticas com patches programados

    A classificação de risco é 1 - crítico E

    A data programada do patch não está vazia E

    O motivo é patch programado
    • Como gerente ou analista de vulnerabilidades, depois de criar os tópicos de observação e os esforços de correção, você gera tarefas de correção. Em registros de VI e tarefas de correção, você pode fazer uma busca detalhada na guia Detecções e localizar registros de itens descobertos que têm a vulnerabilidade que você está rastreando, junto com os ativos importados pelo produto SCCM.
    • Como analista de vulnerabilidade ou administrador, você pode monitorar os dados de patch associados à vulnerabilidade. Você também pode implantar um patch ou vários patches em um ativo específico (item de configuração) a partir de um registro de item descoberto.

    Como especialista em correção de TI, você tem opções de como lidar com a vulnerabilidade com uma implantação de patch.

    • Você pode programar o patch a partir de um registro de atualização de patch (VPU#).
    • Se os itens vulneráveis (VI) tiverem soluções preferenciais mapeadas para eles e forem atribuídos a você ou aos seus grupos, você poderá programar os patches de uma tarefa de correção que tenha esses itens vulneráveis.

    Procedimento

    1. Como Especialista em correção de TI, no Espaço de correção de TI, clique na exibição inicial.
    2. Na exibição inicial, clique no cartão de pontuação Tarefas de correção atribuídas para exibir os registros.

      Para fins deste exemplo, você pode verificar o campo Descrição resumida na tarefa de correção (VUL#) em busca de qualquer texto relacionado à sua vulnerabilidade crítica. Digamos, por exemplo, que você saiba que seu gerenciador de vulnerabilidades criou um tópico de observação chamado Vulnerabilidades críticas com vazamentos de patch para detectar IVs (VIT#) com esta vulnerabilidade crítica.

      Com o registro aberto, você também pode revisar os IVs, os patches preferenciais e ver se você ou alguém do seu grupo já enviou solicitações de patch para aprovação.

    3. Se você tiver informações suficientes, talvez prefira enviar uma solicitação de patch agora a partir desta tarefa de correção.
      Nota:
      Se os IVs associados ao registro não tiverem patches mapeados para eles, o botão Programar patch não estará disponível no registro.
    4. Clique em Programar patch e preencha os campos na caixa de diálogo.
      Para obter mais informações sobre como programar um patch, consulte Programar patches com a integração Microsoft do SCCM com Resposta a vulnerabilidades.
    5. Como alternativa, na exibição de lista no Espaço de correção de TI, você pode clicar nos links Tarefas de correção, Itens vulneráveis, Soluções e Patches para exibir esses registros.
      No caso deste exemplo, em vez de um nome de tópico de observação, você pode saber o ID do artigo ou o ID do boletim e o título do patch. Em caso afirmativo, convém verificar se algum dos IVs com esta vulnerabilidade está atribuído a você ou aos seus grupos. Em registros de atualização de patch, você pode enviar solicitações de patch. Em registros de VI, você pode verificar possíveis patches e abrir a tarefa de correção associada se quiser enviar uma solicitação de patch.
    6. Se você não tiver acesso aos espaços ou preferir exibir dados e programar patches no ambiente clássico, siga estas etapas.
      1. Navegar até Resposta a vulnerabilidades > Patches > Todos.
      2. Localize o registro de atualização de patch desejado.
        Você pode preferir filtrar os registros com pontuações de risco crítico.
      3. Revise os campos de VIs associados e % de VIs corrigidos na guia Status de correção.
        Se os IVs tiverem patches disponíveis, o botão Programar patch será exibido no canto superior direito do registro.
      4. Se você decidir enviar uma solicitação, clique em Programar patch.
        Para obter mais informações sobre como programar um patch, consulte Programar patches com a integração Microsoft do SCCM com Resposta a vulnerabilidades.
      5. Como alternativa, diga que você não tem as informações de ID do patch, mas pode verificar o campo Descrição resumida nas tarefas de correção atribuídas ao seu grupo para qualquer texto relacionado à sua vulnerabilidade crítica.
      6. Navegar até Resposta a vulnerabilidades > Tarefas de correção > Atribuído aos Meus grupos.
      7. Localize o registro desejado e clique nele para abri-lo.
        No registro aberto, revise a guia Status de correção para VIs e % de VIs corrigidos. Clique nos Links relacionados para registros IV, Soluções preferenciais, Patches preferenciais e Solicitações de patch.
        Nota:
        Se os IVs associados ao registro não tiverem patches mapeados para eles, o botão Programar patch não estará disponível no registro.
      8. Clique em Programar patch no registro se quiser enviar uma solicitação de patch.