Depois de concluir uma avaliação inicial, você pode remediar os comunicados que foram detectados nela.

Na página inicial da política, a guia Atividade mostra uma lista de avaliações e correções concluídas ou em andamento e seus status:

Status Descrição
Em Fila A operação está pronta para ser executada, mas os subordinados não iniciaram a operação.
Concluído A execução da operação foi encerrada.
Parcial A operação ainda está aguardando que alguns subordinados retornem, embora a operação tenha concluído a execução.

Durante a remediação, todos os pacotes que fizerem parte desse comunicado serão aplicados aos nós selecionados. É possível remediar todos os comunicados de uma só vez ou remediar um comunicado específico, um subordinado específico ou um conjunto de subordinados, conforme necessário.

O SaltStack SecOps Vulnerability sempre instala a versão mais recente disponibilizada por um fornecedor, mesmo que o comunicado tenha sido remediado por uma versão anterior.

Depois de remediar um comunicado, você deve executar outra avaliação para verificar se a remediação foi bem-sucedida.

Você pode escolher quais comunicados ou nós devem ser corrigidos, conforme necessário. Essas opções incluem:
  • Corrigir todos os comunicados de uma só vez
  • Corrigir um subordinado específico
  • Corrigir um conjunto de subordinados

No painel de políticas, quando você executa Corrigir tudo, o SaltStack SecOps Vulnerability corrige todos os comunicados em todos os subordinados na sua política, o que pode resultar em longos tempos de processamento.

Pré-requisitos

O SaltStack SecOps Vulnerability aciona nós Windows para receber os comunicados mais recentes da Microsoft. Nós Windows podem receber essas atualizações de uma destas duas maneiras:

  • Windows Update Agent (WUA): por padrão, os nós Windows se conectam diretamente à Microsoft usando o WUA, que é instalado automaticamente em todos os nós Windows. O WUA oferece suporte para distribuição e instalação automatizadas de patches. Ele verifica os nós para determinar quais atualizações de segurança não estão instaladas e, em seguida, procura e baixa as atualizações dos sites de atualização da Microsoft.
  • Windows Server Update Services (WSUS): um servidor WSUS atua como um intermediário entre a Microsoft e o subordinado. Os servidores WSUS permitem que administradores de TI implantem atualizações em uma rede estrategicamente para minimizar o tempo de inatividade e as interrupções. Consulte Windows Server Update Services (WSUS) na documentação oficial da Microsoft para obter mais informações.
Antes de usar o SaltStack SecOps Vulnerability em nós Windows, verifique qual desses dois métodos seu ambiente está usando atualmente. Se o ambiente estiver usando o método do servidor WSUS, você deverá:
  • Garanta que o WSUS esteja ativado e em execução. Se necessário, é possível configurar o subordinado do Windows para se conectar a um WSUS usando um arquivo de estado Salt fornecido pelo SaltStack. Consulte Ativando o Windows Server Update Services (WSUS) para esse arquivo de estado. Depois de executar este arquivo de estado, verifique se o subordinado está se conectando com êxito ao servidor WSUS e está recebendo atualizações.
  • Aprove atualizações relacionadas a comunicados da Microsoft no servidor WSUS. Quando o servidor WSUS recebe atualizações da Microsoft, o administrador do WSUS deve revisar e aprovar essas atualizações para implantá-las no ambiente. Para que o SaltStack SecOps Vulnerability detecte e remedie comunicados, todas as atualizações que contêm comunicados devem ser aprovadas.
Se qualquer um desses dois pré-requisitos não for atendido, o SaltStack SecOps Vulnerability não poderá verificar e remediar os comunicados com precisão. Para sistemas que recebem atualizações da Microsoft por meio de um servidor WSUS, as avaliações podem retornar falsos positivos que indicam que os subordinados Windows estão protegidos de todas as CVEs, mesmo que possam realmente não estar seguros.

Procedimento

  1. No espaço de trabalho Vulnerabilidade, clique em uma política para abrir o painel de políticas.
  2. No painel de políticas:
    • Para corrigir por meio de comunicado, clique na caixa de seleção ao lado de todos os comunicados que deseja corrigir.
    • Para corrigir por subordinado, selecione a guia Subordinados, clique em um subordinado e selecione todos os comunicados que você deseja corrigir para o subordinado ativo.
    • Para corrigir tanto por comunicado quanto por subordinado, clique em um ID de comunicado e clique na caixa de seleção ao lado de todos os subordinados que deseja corrigir para o comunicado ativo.
  3. Clique em Remediar.

Resultados

Seus comunicados de vulnerabilidade são corrigidos. Ocasionalmente, a correção pode requerer uma reinicialização completa do sistema ou do subordinado. Para obter mais informações, consulte Como reinicializar um subordinado como parte da correção.