Microsoft SCCM - 自动化辅助修补
本文详细介绍了使用Microsoft SCCM自动修补提供的工作流自动化Insightvm中的功能。
提醒
Insightvm自动化工作流程需要安装和激活orchestrator.为了与您的外部工具进行通信。
如果您仍然需要部署Orchestrator,请参阅Orchestrator帮助页面安装说明。
此内容涵盖以下主题:
目标
此工作流程专为希望利用其Microsoft System Configuration Manager(SCCM)工具而设计的InsightVM用户,以便于通过自动化帮助来缓解漏洞管理过程。
它是如何工作的
此工作流从InsightVM消耗漏洞和资产信息,以便形成检查SCCM以获取相关补丁和资产的查询。如果工作流查找匹配的修补程序和资产,它会创建并阶段SCCM可以部署的一对SCCM实体(软件更新组和设备集合)。
引发行为
工作流程触发器响应Insight平台从环境中接收新的漏洞评估数据时。dota2必威联赛换句话说,即使当前状态在您已定义的触发器范围内下降,新配置的工作流也不会启动网络当前状态。
在此上下文中,工作流程触发器响应数据上传,该数据上载包含由您的安全控制台发起的已完成的漏洞扫描,并完成了您的洞察代理人报告的已完成的漏洞评估。必威体育app登录洞察力平dota2必威联赛台在这些数据上传发生并启动资格的工作流程时检查与工作流相关的触发条件。
请注意
如果您在触发事件中遇到延迟或停止,则可能是由于平台通信问题。检查配置与Insight平台的通信dota2必威联赛页面验证您的白名单设置是否正确。
限制
此工作流程在以下限制下运行:
- 工作流程仅支持Microsoft漏洞及其各自的修补程序。
- 工作流只能基于SCCM中可用的内容来实现补丁。
- 如果已识别的漏洞在SCCM中没有相关补丁,InsightVM将不会采取行动。
- InsightVM工作流程范围内包含的资产也必须与SCCM中的可用资产(称为“设备”)相关。
- 如果InsightVM包含SCCM不知道的资产,工作流将不会对这些资产采取行动。
- 标识为易受insightvm群体的资产也必须被识别为SCCM或工作流程不会采取行动。
工作流过程深入
这个工作流程通过以下步骤来实现它的目标:
基于资产和漏洞筛分触发工作流程
您在工作流向导期间配置的资产和漏洞过滤器共同充当启动工作流的触发器。当在状态更改时检测到合格数据时,InsightVM将此触发数据打包到工件中。该工件包括关于触发器数据的一般信息,如描述、时间戳和资产数据。
用触发数据查询SCCM
然后工作流程查询SCCM以查看配置向导中指定的工作流名称是否与现有软件更新组名称匹配。
提示
工作流使用自己的InsightVM名称来查找SCCM中的软件更新组和设备集合的可能匹配。例如,如果您在配置向导中将您的工作流命名为“我的工作流”,那么工作流将寻找同名的软件更新组和设备集合。
请注意,在配置此工作流程之前,软件更新组和设备集合都不需要已经存在于成功完成。在此阶段,如果工作流未找到匹配的软件更新组,它将为您创建一个新的软件。
使用现有或新的软件更新组到位,工作流程根据与工作流触发器中的漏洞相关联的每个软件更新ID查询SCCM服务器进行软件更新:
- 如果软件更新被发现,工作流程将它们添加到软件更新组并记录伪像以反映此操作。
- 如果软件更新找不到,工作流程创建工件才能注意到这一点。
然后,工作流确定您在配置向导中指定的工作流名称是否与SCCM中现有的设备集合相匹配:
- 如果匹配设备集合存在,工作流查询工作流触发器中包含的资产主机名的SCCM。工作流程添加匹配的SCCM主机名,这些SCCM主机名尚未成为现有设备集合的一部分,并记录工件。如果在SCCM中找不到主机名,则工作流程将创建工件以请注意此操作。
- 如果匹配设备集合不存在,工作流程根据工作流触发器中包含的资产在SCCM中创建一个新的设备集合。就像以前一样,工作流程将匹配的SCCM主机名与新设备集合添加到新设备集合并记录工件。如果在SCCM中找不到主机名,则工作流程将创建工件以请注意此操作。
SCCM阶段完成的软件更新组和设备收集用于部署
当软件更新组和设备集合在SCCM中暂存时,工作流程完成。
请注意
工作流本身并不部署软件更新。在软件更新组和设备收集阶段完成后,SCCM最终负责部署软件更新。
InsightVM工作流配置说明
使用使用的新工作流程使用Microsoft SCCM自动修补InsightVM中的模板,请按照下列步骤操作:
配置工作流触发器
首先,您需要配置将启动工作流的触发器条件。
要启动向导并配置工作流触发器,请执行以下操作:
- 在InsightVM中,单击自动化选项卡在左侧导航菜单上。
- 在“自动化”页面上,单击+新的自动化在右上角。出现自动化配置向导。
- 选择工作流程然后点击继续。
- 点击漏洞触发型式单选按钮。
- 这使用Microsoft SCCM自动修补模板需要此触发类型。
- 申请一个资产过滤器和一个漏洞过滤器来细化你的触发器范围。点击继续准备好了。
- 这些过滤器确定工作流向SCCM发送的资产以及需要进行何种资产的漏洞。
- 选择使用Microsoft SCCM自动修补从下拉列表中的工作流模板。将出现所有单个工作流步骤的预览。点击继续准备好在此步骤列表的底部。
选择或配置连接
接下来,您需要选择与SCCM工具的现有连接,或为要使用的工作流配置新的连接。
创建一个新连接:
- 选择新连接从下拉列表。将出现连接创建表单。
- 给出新的连接一个名字。您将能够在将来的工作流向导中选择此连接。
- 选择orchestrator.从下拉列表中可以访问您的SCCM工具。
- 从下拉列表中选择与SCCM工具关联的现有凭据,或单击创建新的凭据配置新的。
- 在InsightVM自动化工作流程的上下文中,“凭证”是用于访问SCCM软件的帐户的用户名和密码对。
说明—凭据帐户要求
要运行此工作流程,您的凭据帐户必须具有SCCM软件上的管理员权限和读/写访问。
- 在“服务器IP”字段中,输入托管SCCM软件的Windows Server的IP地址。
- 如果您不知道此地址,请在Windows Server上打开命令提示符并运行
ipconfig.。地址将显示在旁边IPv4地址。
- 如果您不知道此地址,请在Windows Server上打开命令提示符并运行
- 此工作流使用Windows远程管理(WinRM)协议与SCCM服务器通信。在“WinRM Port”中输入对应的端口号。
- 默认情况下,WinRM监听端口5985和5986。InsightVM目前只支持HTTPS/TLS协议的5986端口。
提示
尽管从技术上讲,保存连接时不需要该字段,但如果将其留空,则默认为端口5986。
- 在“SCCM路径”字段中,输入SCCM Adminconsole二进制文件的绝对路径。
- 默认情况下,此路径是
C:\ Program Files(x86)\ Microsoft Configuration Manager \ Adminconsole \ Bin但是请注意,此位置可能因最初安装的SCCM方式而异。请检查SCCM管理员以确认您的SCCM路径是否正确。
- 默认情况下,此路径是
- 在“站点路径”字段中,输入SCCM服务器的站点代码。
- SCCM站点代码通常由三个字符组成。您可以通过导航来确定您的网站代码管理>网站配置>网站在您的SCCM管理控制台中。
- 点击保存联系等结束了。
选择了连接,请单击继续。
姓名并激活您的工作流程
既然您已配置工作流触发和连接,请为您的工作流提供一个名称,以便您可以在“工作流”表中识别它。点击启用完成工作流向导。
你的工作流程准备好了!
您现在应该成功配置工作流程使用Microsoft SCCM自动修补模板。
进行故障排除
看看排除Microsoft SCCM连接故障部分Microsoft SCCM InsightConnect帮助页面用于常见的故障排除方案和解决方案。
资源
- Microsoft SCCM文档 -https://docs.microsoft.com/en-us/sccm/core/understand/introduction