Depois de concluir uma avaliação inicial, você pode remediar os comunicados que foram detectados nela.

Antes de começar

O SaltStack SecOps Vulnerability aciona nós Windows para receber os comunicados mais recentes da Microsoft. Nós Windows podem receber essas atualizações de uma destas duas maneiras:

  • Windows Update Agent (WUA): por padrão, os nós Windows se conectam diretamente à Microsoft usando o WUA, que é instalado automaticamente em todos os nós Windows. O WUA oferece suporte para distribuição e instalação automatizadas de patches. Ele verifica os nós para determinar quais atualizações de segurança não estão instaladas e, em seguida, procura e baixa as atualizações dos sites de atualização da Microsoft.
  • Windows Server Update Services (WSUS): um servidor WSUS atua como um intermediário entre a Microsoft e o subordinado. Os servidores WSUS permitem que administradores de TI implantem atualizações em uma rede estrategicamente para minimizar o tempo de inatividade e as interrupções. Consulte Windows Server Update Services (WSUS) na documentação oficial da Microsoft para obter mais informações.
Antes de usar o SaltStack SecOps Vulnerability em nós Windows, verifique qual desses dois métodos seu ambiente está usando atualmente. Se o ambiente estiver usando o método do servidor WSUS, você deverá:
  • Garanta que o WSUS esteja ativado e em execução. Se necessário, é possível configurar o subordinado do Windows para se conectar a um WSUS usando um arquivo de estado Salt fornecido pelo SaltStack. Consulte Ativando o Windows Server Update Services (WSUS) para esse arquivo de estado. Depois de executar este arquivo de estado, verifique se o subordinado está se conectando com êxito ao servidor WSUS e está recebendo atualizações.
  • Aprove atualizações relacionadas a comunicados da Microsoft no servidor WSUS. Quando o servidor WSUS recebe atualizações da Microsoft, o administrador do WSUS deve revisar e aprovar essas atualizações para implantá-las no ambiente. Para que o SaltStack SecOps Vulnerability detecte e remedie comunicados, todas as atualizações que contêm comunicados devem ser aprovadas.
Se qualquer um desses dois pré-requisitos não for atendido, o SaltStack SecOps Vulnerability não poderá verificar e remediar os comunicados com precisão. Para sistemas que recebem atualizações da Microsoft por meio de um servidor WSUS, as avaliações podem retornar falsos positivos que indicam que os subordinados Windows estão protegidos de todas as CVEs, mesmo que possam realmente não estar seguros.

Remediar comunicados com suporte

Na página inicial da política, a guia Atividade mostra uma lista de avaliações e correções concluídas ou em andamento e seus status:

Status Descrição
Em Fila A operação está pronta para ser executada, mas os subordinados não iniciaram a operação.
Concluído A execução da operação foi encerrada.
Parcial A operação ainda está aguardando que alguns subordinados retornem, embora a operação tenha concluído a execução.

Durante a remediação, todos os pacotes que fizerem parte desse comunicado serão aplicados aos nós selecionados. É possível remediar todos os comunicados de uma só vez ou remediar um comunicado específico, um subordinado específico ou um conjunto de subordinados, conforme necessário.

O SaltStack SecOps Vulnerability sempre instala a versão mais recente disponibilizada por um fornecedor, mesmo que o comunicado tenha sido remediado por uma versão anterior.

Depois de remediar um comunicado, você deve executar outra avaliação para verificar se a remediação foi bem-sucedida.

Você pode escolher quais comunicados ou nós devem ser corrigidos, conforme necessário. Essas opções incluem:
  • Corrigir todos os comunicados de uma só vez
  • Corrigir um subordinado específico
  • Corrigir um conjunto de subordinados

No painel de políticas, quando você executa Corrigir tudo, o SaltStack SecOps Vulnerability corrige todos os comunicados em todos os subordinados na sua política, o que pode resultar em longos tempos de processamento.

  1. No espaço de trabalho Vulnerabilidade, clique em uma política para abrir o painel de políticas.
  2. No painel de políticas:
    1. Para corrigir por meio de comunicado, clique na caixa de seleção ao lado de todos os comunicados que deseja corrigir.
    2. Para corrigir por subordinado, selecione a guia Subordinados, clique em um subordinado e selecione todos os comunicados que você deseja corrigir para o subordinado ativo.
    3. Para remediar tanto por comunicado quanto por subordinado, clique em um ID de comunicado e clique na caixa de seleção ao lado de todos os subordinados que deseja corrigir para o comunicado ativo.
  3. Clique em Remediar.

Resultados: seus comunicados de vulnerabilidade são remediados. Ocasionalmente, a correção pode requerer uma reinicialização completa do sistema ou do subordinado. Para obter mais informações, consulte Como reinicializar um subordinado como parte da correção.

Remediação personalizada

Se você importou uma verificação de fornecedor de terceiros, pode ter comunicados sem suporte que precisam ser remediados. Para remediar comunicados sem suporte, você deve adicionar seu próprio arquivo de remediação personalizado, selecionando Adicionar arquivo na página de política de comunicados sem suporte e vinculando o arquivo de estado personalizado dentro da política ou vinculando o arquivo de estado personalizado globalmente.
  • Link dentro da política - O arquivo de remediação é usado apenas para corrigir o comunicado especificado na política atual. Por exemplo, se uma política duplicada tiver sido criada com o mesmo comunicado sem suporte, o arquivo de remediação somente remediará o comunicado na primeira política, e não na duplicata.
  • Vincular globalmente ao comunicado - O arquivo de remediação é usado para remediar o comunicado especificado em todas as políticas.
Observação: Quando um comunicado em uma política tem um arquivo de remediação vinculado dentro dessa política e globalmente, o SaltStack SecOps usa o arquivo vinculado dentro da política. Se o arquivo vinculado na política for excluído, o SaltStack SecOps usará o arquivo vinculado globalmente por padrão. Revise a visualização do arquivo na janela Vincular Remediação para verificar se o arquivo desejado está selecionado para remediar o comunicado.