Depois de concluir uma avaliação inicial, você pode remediar os comunicados que foram detectados nela. Durante a remediação, todos os pacotes que fizerem parte desse comunicado serão aplicados aos nós selecionados. É possível remediar todos os comunicados de uma só vez ou remediar um comunicado específico, um subordinado específico ou um conjunto de subordinados, conforme necessário.

O SaltStack SecOps Vulnerability sempre instala a versão mais recente disponibilizada por um fornecedor, mesmo que o comunicado tenha sido remediado por uma versão anterior.

Depois de remediar um comunicado, você deve executar outra avaliação para verificar se a remediação foi bem-sucedida.

Observação: A remediação de comunicados em nós do Windows podem exigir etapas de configuração adicionais. Consulte Remediando comunicados no Windows para obter mais informações.

Remediando todos os comunicados

Quando você executa Remediar tudo, o SaltStack SecOps Vulnerability remedia todos os comunicados em todos os subordinados na sua política, o que pode resultar em longos tempos de processamento. É possível remediar todos os comunicados de uma só vez ou remediar um comunicado específico, um subordinado específico ou um conjunto de subordinados, conforme necessário.

Observação: Para reduzir longos tempos de processamento, use destinos menores ou remedie uma parte selecionada de comunicados ou subordinados de cada vez.

Para remediar todos os comunicados para todos os subordinados na política:

  1. No espaço de trabalho Vulnerabilidade, clique em uma política.

    Clicar em uma política abre o dashboard da política selecionada, que também inclui os comunicados e resultados de avaliações mais recentes.

  2. No canto superior direito do dashboard da política, clique em Remediar tudo.
  3. Clique em Remediar tudo na caixa de diálogo de confirmação.

    É possível rastrear o status da remediação na guia Atividades da política.

    Observação: Verificações ou subordinados isentos não serão remediados quando você executar Remediar tudo. Consulte Adicionando isenções para obter mais informações.

Remediando por comunicado

Para remediar por comunicados específicos:

  1. No espaço de trabalho Vulnerabilidade, clique em uma política.

    Clicar em uma política abre o dashboard da política selecionada, que também inclui os comunicados e resultados de avaliações mais recentes.

  2. No dashboard da política, clique na caixa de seleção ao lado de todos os comunicados que você deseja remediar.

    Você pode filtrar os comunicados por coluna, se necessário. Por exemplo, pode filtrar comunicados por gravidade para escolher quais devem ser remediados. Se um cabeçalho de coluna incluir um ícone de filtro filter-icon, você poderá filtrar os resultados por esse tipo de coluna. Clique no ícone e selecione uma opção de filtro no menu ou digite o texto com base no qual você deseja filtrar. É possível remover filtros ativos clicando em Limpar Filtros.

    Para ver mais detalhes sobre um comunicado, como a descrição e as CVEs, clique no ícone de setas duplas double-arrows-icon para abrir um painel de detalhes.

    Consulte Executando uma avaliação para obter mais informações sobre como executar uma verificação de comunicados.

  3. Clique em Remediar.

Remediação por subordinado

Para remediar um nó específico:

  1. No espaço de trabalho Vulnerabilidade, clique em uma política.

    Clicar em uma política abre o dashboard da política selecionada, que também inclui os comunicados e resultados de avaliações mais recentes.

  2. No dashboard da política, acesse a guia Subordinados e clique em um subordinado.

  3. Selecione todos os comunicados que você deseja remediar para o subordinado ativo.

    Você pode filtrar os comunicados por coluna, se necessário. Por exemplo, pode filtrar comunicados por gravidade para escolher quais devem ser remediados. Se um cabeçalho de coluna incluir um ícone de filtro filter-icon, você poderá filtrar os resultados por esse tipo de coluna. Clique no ícone e selecione uma opção de filtro no menu ou digite o texto com base no qual você deseja filtrar. É possível remover filtros ativos clicando em Limpar Filtros.

  4. Clique em Remediar.

Remediando por comunicado e subordinado

Para remediar um comunicado específico para um subordinado específico ou um conjunto de subordinados:

  1. No espaço de trabalho Vulnerabilidade, clique em uma política.

    Clicar em uma política abre o dashboard da política selecionada, que também inclui os comunicados e resultados de avaliações mais recentes.

  2. No dashboard da política, clique em um ID de comunicado.

    Clicar em um ID de comunicado abre a respectiva página de detalhes. Uma lista dos subordinados afetados por esse aviso está exibida na parte inferior dessa página.

  3. Clique na caixa de seleção ao lado de todos os subordinados que você deseja remediar para o comunicado ativo.

    Você pode filtrar os comunicados por coluna, se necessário. Por exemplo, pode filtrar comunicados por gravidade para escolher quais devem ser remediados. Se um cabeçalho de coluna tiver um ícone de filtro filter-icon, você poderá filtrar os resultados por esse tipo de coluna. Clique no ícone e selecione uma opção de filtro no menu ou digite o texto com base no qual você deseja filtrar. É possível remover filtros ativos clicando em Limpar Filtros.

  4. Clique em Remediar.

Remediando comunicados no Windows

O SaltStack SecOps Vulnerability aciona nós Windows para receber os comunicados mais recentes da Microsoft. Nós Windows podem receber essas atualizações de uma destas duas maneiras:

  • Windows Update Agent (WUA): por padrão, os nós Windows se conectam diretamente à Microsoft usando o WUA, que é instalado automaticamente em todos os nós Windows. O WUA oferece suporte para distribuição e instalação automatizadas de patches. Ele verifica os nós para determinar quais atualizações de segurança não estão instaladas e, em seguida, procura e baixa as atualizações dos sites de atualização da Microsoft.
  • Windows Server Update Services (WSUS): um servidor WSUS atua como um intermediário entre a Microsoft e o subordinado. Os servidores WSUS permitem que administradores de TI implantem atualizações em uma rede estrategicamente para minimizar o tempo de inatividade e as interrupções. Consulte Windows Server Update Services (WSUS) na documentação oficial da Microsoft para obter mais informações.

Antes de usar o SaltStack SecOps Vulnerability em nós Windows, verifique qual desses dois métodos seu ambiente está usando atualmente. Se o ambiente estiver usando o método do servidor WSUS, você deverá:

  • Garantir que o WSUS esteja ativado e em execução. Se necessário, é possível configurar o subordinado do Windows para se conectar a um WSUS usando um arquivo de estado Salt fornecido pelo SaltStack. Consulte Ativando o Windows Server Update Services (WSUS) para esse arquivo de estado. Depois de executar este arquivo de estado, verifique se o subordinado está se conectando com êxito ao servidor WSUS e está recebendo atualizações.
  • Aprove atualizações relacionadas a comunicados da Microsoft no servidor WSUS.: Quando o servidor WSUS recebe atualizações da Microsoft, o administrador do WSUS deve revisar e aprovar essas atualizações para implantá-las no ambiente. Para que o SaltStack SecOps Vulnerability detecte e remedie comunicados, todas as atualizações que contêm comunicados devem ser aprovadas.

Se qualquer um desses dois pré-requisitos não for atendido, o SaltStack SecOps Vulnerability não poderá verificar e remediar os comunicados com precisão. Para sistemas que recebem atualizações da Microsoft por meio de um servidor WSUS, as avaliações podem retornar falsos positivos que indicam que os subordinados Windows estão protegidos de todas as CVEs, mesmo que possam realmente não estar seguros.

Observação: Se um subordinado Windows estiver gravemente desatualizado ou se o servidor WSUS tentar enviar atualizações para vários subordinados, o servidor WSUS poderá falhar. Siga as práticas recomendadas e consulte o administrador do WSUS para obter assistência na solução de problemas. Consulte as práticas recomendadas do Windows Server Update Services na documentação oficial da Microsoft para obter mais informações.

Depois de configurar um servidor WSUS ou garantir que o WUA esteja funcionando corretamente em todos os subordinados Windows definidos como destino, você poderá usar o SaltStack SecOps Vulnerability para remediar nós Windows. Nós Windows podem ser remediados usando o mesmo processo que você usaria para remediar outros comunicados ou subordinados. No entanto, algumas remediações do Windows podem exigir uma reinicialização completa do sistema para que o patch ou a atualização entre em vigor. Consulte Reinicializando um subordinado como parte de uma remediação para obter mais informações.

Reinicializando um subordinado como parte de uma remediação

Uma remediação pôde exigir uma reinicialização completa do sistema para que o patch ou a atualização entre em vigor. Ocasionalmente, uma remediação pode até exigir uma segunda reinicialização.

Para determinar se um comunicado ou subordinado requer uma reinicialização como parte de uma remediação, primeiro execute uma avaliação. O método para verificar se uma reinicialização é necessária depende se você deseja ver se um aviso específico ou subordinado precisa de uma reinicialização:

Para Consulte
Comunicado

No dashboard da política na guia Comunicados, verifique a coluna Comportamento de instalação para ver o status do comunicado. Essa coluna tem os seguintes status possíveis:

  • Nunca requer reinicialização: o comunicado não requer uma reinicialização quando é remediado.
  • Sempre requer reinicialização: o aviso sempre requer uma reinicialização quando é corrigido.
  • Pode exigir reinicialização: o comunicado pode exigir uma reinicialização sob determinadas condições como parte da remediação
  • ( – ): o valor nulo. Esse status é exibido para subordinados Linux. O processo de detectar se uma reinicialização é necessária atualmente não tem suporte para subordinados Linux.
Subordinado

No dashboard da política na guia Subordinados, verifique a coluna Requer Reinicialização para ver o status do subordinado. Essa coluna tem os seguintes status possíveis:

  • false: o subordinado não precisa de uma reinicialização para remediação ou ele foi reiniciado com sucesso.
  • true: o status será verdadeiro em três situações possíveis:
    • O subordinado precisa de uma reinicialização, que ainda não foi iniciada.
    • O subordinado está sendo reinicializado, e o processo ainda não terminou.
    • O subordinado foi reinicializado, mas precisará de uma segunda reinicialização para aplicar alterações adicionais.

Se você determinar que uma reinicialização é necessária como parte de uma remediação, siga estas etapas para reiniciar um subordinado:

  1. No dashboard da política na guia Subordinados, clique na caixa de seleção ao lado de um subordinado que mostra true na coluna Requer Reinicialização.
  2. Clique no botão Executar Comando.
  3. No menu Função, selecione o comando system.reboot.
  4. No campo Argumentos, adicione os argumentos necessários.

    Para os nós Windows, o comando system.reboot precisa de dois argumentos: timeout e in_seconds. Defina o primeiro argumento como 0 e o segundo argumento como true. Consulte a documentação do módulo win_system.reboot para obter mais informações sobre esses argumentos.

    Para nós Linux, o comando system.reboot recebe um argumento: at_time. Consulte a documentação do módulo system.reboot para obter mais informações sobre esses argumentos.

  5. (Opcional): se quiser agendar a reinicialização para um horário específico, crie um trabalho que reinicie o subordinado e depois defina esse trabalho para ser executado em um horário agendado. Consulte Fluxo de trabalhos do SaltStack Config para obter mais informações.
  6. Clique em Executar Comando para executar esse comando no subordinado selecionado.

Depois de iniciar uma reinicialização, o subordinado pode demorar vários minutos para reiniciar e voltar a ficar online. Lembre-se de que a guia Atividade no espaço de trabalho Vulnerabilidade indica apenas se o comando de reinicialização foi iniciado. Um status de Concluído não significa necessariamente que o subordinado foi reinicializado e está novamente online; apenas que a operação foi executada no subordinado de destino.

Para verificar se o subordinado está novamente online após uma reinicialização, atualize aguia Subordinados no espaço de trabalho Vulnerabilidade e verifique a presença do subordinado. Consulte Presença de subordinados para obter mais informações.

Depois de reiniciar um subordinado como parte de uma remediação, você deverá executar outra avaliação para verificar se essa remediação foi bem-sucedida.