Trellix Endpoint Update 101

In het verlengde van mijn vorige blog, leek het me een goed idee om jullie mee te nemen door de stappen die je doorloopt in het normale update-proces. Buckle up, want dit blog is aardig lang. Maar: dan weet je wel, helemaal, 100% zeker dat je Trellix update goed is verlopen. Bovendien: ik ga er in dit artikel van uit dat je helemaal vanaf 0 begint. Er zijn een aantal stappen die je maar één keer hoeft uit te voeren, en als ze eenmaal staan hoef je dat niet nog eens te doen bij volgende updates.

Laten we beginnen met het testen van de update:

1. De upgrade testen

In de onderstaande stappen gebruik ik een Trellix ENS-upgrade als voorbeeld, maar het hele proces werkt net zo voor de meeste andere Trellix-producten.

LET OP: Maak voordat je begint met updaten een snapshot van je ePO-server, zodat je makkelijk een rollback kunt doen als iets niet volgens plan verloopt.

A. Download de nieuwste extensies & packages, en installeer ze in ePO onder software → extensions

B. Installeer je extensies bij Software → Extensies. Check daarna de bijbehorende packages in, onder Software → Main Repository. Zorg er daarbij voor dat je branche op “evaluation” staat.

C. Ga nu naar de Client Task Catalog en maak een client task aan, als je deze niet al hebt[i]. Selecteer daarbij het juiste platform, en onder Products and Components het juiste package (degene die je net hebt ingecheckt).

D. Maak nu 2 tags aan in de Tag Catalog:

1. Een tag voor de systemen waar je updates op gaat testen (bijvoorbeeld “Upgrade_Test”)

2. Een tag voor het specifieke product wat je gaat updaten (in dit geval bijvoorbeeld “Upgrade_ENS”)

E. Testen is belangrijk! Bepaal op welke systemen je de update gaat testen, en geef deze de “Upgrade_Test” tag mee.

F. Ga nu naar de System Tree en bepaal vanaf welke hoogte in de tree je een upgrade task wilt gaan uitvoeren. Ga vervolgens naar Assigned Client Tasks → New Client Task Assignment. Geef daarbij de volgende informatie op:

1. Product: Trellix Agent

2. Task Type: Product Deployment

3. Task Name: de taak die je in stap 1C hebt gemaakt

4. Tags: “Has any of these tags”: selecteer de tags uit stap 1D &“And has none of these tags”: naar inzicht als je uitzonderingen nodig hebt

Sla de task nu op

(Extra tip: maak 1 assignment met een Daily schedule type zodat je met een maintenance window kunt werken, èn een client task met een Run Immediately voor het geval dit nodig is)

G. De upgrade-taak wordt nu uitgevoerd volgens je instellingen

H. Controleer of alle updates goed op de testsystemen zijn geinstalleerd. Dat kun je op de volgende 2 manieren doen:

1. Voeg in de System Tree een custom filter toe voor de “Upgrade_Test” tag en voeg daarna onder Actions een kolom toe met de versienummers van de producten die je aan het upgraden bent.

2. Bouw een query op basis van een boolean pie chart, waarin je de nieuwste productversie als criterium toevoegt, en de “Upgrade_Test” tag als filter.

I. Als je zeker weet dat op alle testsystemen de juiste versie staat, laat deze dan eerst een week draaien om eventuele problemen uit te sluiten. Daarna kun je verder met het upgraden van je andere systemen. Het is het handigste om eerst (gefaseerd) met je workstations te beginnen, en daarna pas je servers.

2. De upgrade breder uitrollen

Bij het testen van de update heb je al met tags gewerkt. Die gaan we nu ook gebruiken om de upgrade over de rest van de systemen uit te rollen. Ik laat je straks zien hoe je een query bouwt om tags toe te kennen, zodat je het update-proces kunt automatiseren. Houd er hierbij welk rekening mee dat je een onderscheid wilt maken tussen workstations en servers (maak daar dus verschillende tasks en filters voor). Blijf wel in de gaten houden hoeveel van de systemen die je voor de upgrade hebt getagd, de upgrade ook daadwerkelijk hebben geinstalleerd.

A. Ga naar Queries & Reports en maak een nieuwe query aan met de volgende instellingen:

1. Result type: Systems

2. Chart: Table

3. Sorting: Sorting: Last Communication Value (Descending)

   Geef ook een maximaal aantal items op die de query mag weergeven. Zelf probeer ik een hele omgeving in 1 werkweek te upgraden, dus deel ik het aantal apparaten door 5 dagen, en dan weet ik hoeveel ik er per dag moet upgraden. Dat getal gebruik ik hier dan voor.

4. Columns: Last Communication, System Name, Tag, Product Version. Met deze kolommen kun je straks meer gedetailleerde informatie bekijken, als je die wilt inzien. Geen verplichte stap. Wel handig.

5. Filter:

   Managed State: Managed

   Has tag: Workstation

   And does not have tag: Upgrade_ENS[ii] (deze is extra belangrijk!)

   Voeg ook weer eventuele andere uitzonderingen toe, als je die nodig hebt

Sla de query op met een duidelijke naam & beschrijving.

B. Ga naar Server Tasks en maak een nieuwe task aan met een duidelijke naam en omschrijving (bijvoorbeeld “Upgrade ENS Workstations”). Stel de taak in met de volgende informatie:

1. Schedule Enabled

2. Actions: Run Query

3. Query: naam van de query uit stap A hierboven

4. Sub Actions: apply tag

5. Tag: Upgrade_ENS[iii]

Stel het schedule in op weekly, zonder einddatum, en geef de tijd(en) waarop je de upgrade wilt uitvoeren. Het handigste is om dit op “weekdays” te doen. De meeste workstations zullen in ‘t weekend namelijk uit staan.

Controleer in de laatste stap of alles goed staat, en sla de taak op.

3. Monitoren & Controleren

Nu hebben we alles zo ingesteld dat dagelijks een query wordt uitgevoerd om een tag toe te voegen aan systemen, waardoor die meegenomen worden in de upgrade-taak. En dan wil je natuurlijk ook weten of dat allemaal goed gaat. In principe wil je om de dag controleren of alles nog goed loopt. Dat kun je het makkelijkste doen met een query op basis van een boolean pie chart. Geef bij het maken van de boolean pie chart het volgende op:

1. Criteria: de producten & de productversie waar je naar aan het upgraden bent

2. Filter: het OS-platform waar je het op uitvoert & de toegewezen update-tag

Met deze resultaten kun je de status van je installaties bijhouden en controleren of de upgrades goed zijn gegaan. Is het zo dat de versienummers van bijvoorbeeld het Endpoint Security-platform en Threat Prevention niet goed overeenkomen, lees dan even m’n eerste nieuwsbrief. Daarin leg ik uit hoe dit komt en help ik je om de issue op te lossen.

Zijn alle upgrades goed gegaan, en heb je de nieuwste versie een week laten draaien om issues uit te sluiten? Dan kun je verder met de volgende groep workstations (als je ze hebt opgedeeld), of je servers.

4. Het update-proces afronden

Nu je hebt gecontroleerd of alle updates goed zijn gegaan, heb je nog een paar stappen te gaan voordat je update helemaal netjes is afgerond. Eigenlijk werken we dan van achteren naar voren weer terug:

A. Schakel de server task uit stap 2B uit door deze te disablen.

B. Ga dan naar je System Tree, en haal de “Upgrade_ENS” (of vergelijkbare) tag weg. Selecteer alle systemen en ga vervolgens naar Actions -> Tag -> Clear Tag -> “Upgrade_ENS”.

C. Ga naar Software → Main Repository en pas de branches aan. De vorige versie zet je op “Previous” en de upgrade-versie op “Current”[iv].

D. Als je hebt gecheckt of al je branche-versies nu goed staan, moet je je standaard deployment-taak voor nieuwe systemen nog aanpassen naar de nieuwste versies. Ga naar je Client Task Catalogue, vind je deployment-taak en zorg ervoor dat je de versies aanpast naar de nieuwste, met de juiste branches, uit stap 4B hierboven.

Nu heb je alles aangepast zodat elke nieuwe deployment-taak automatisch de nieuwste versies van je producten installeert.

Zo. Dat was een heel proces, maar je Trellix-producten zijn nu allemaal netjes ge-upgrade naar de nieuwste versie en je omgeving is weer helemaal beschermd. En zoals ik aan het begin zei: er zijn een aantal taken die je hier aan hebt gemaakt, die je later gewoon opnieuw kunt gebruiken (die Client en Server Tasks), zolang je de versienummers goed in de gaten houdt. De volgende keer zal het dus allemaal een stuk sneller gaan.

Succes!

[i] En die ga je vaker nodig hebben. Geef ‘m dus een duidelijk herkenbare naam, zoals “ENS_Upgrade_Task” bijvoorbeeld.

[ii] Of de naam die je de product-tag in stap 1D hebt gegeven. Dit is belangrijk omdat je systemen die al een update gehad hebben, wilt uitsluiten van de query.

[iii] Ook hier: of de naam die je de product-tag in stap 1D hebt gegeven.

[iv] Ik raad je aan om dit apart per product te doen. Als je meerdere producten tegelijkertijd probeert te wijzigen, kan dit voor overwachte resultaten zorgen.