Después de completar una evaluación inicial, puede corregir los avisos que se detectaron en la evaluación. Durante la corrección, todos los paquetes que forman parte de ese aviso se aplican a los nodos seleccionados. Puede corregir todos los avisos a la vez o un aviso específico, un minion específico o un conjunto de minions según sea necesario.

SaltStack SecOps Vulnerability siempre instala la versión más reciente disponible de un proveedor, incluso si el aviso se corrigió en una versión anterior.

Después de corregir un aviso, debe ejecutar otra evaluación para comprobar que la corrección se haya realizado correctamente.

Nota: La corrección de avisos en los nodos de Windows puede requerir pasos de configuración adicionales. Consulte Corregir avisos de Windows para obtener más información.

Corregir todos los avisos

Al ejecutar Corregir todo, SaltStack SecOps Vulnerability corrige todos los avisos sobre todos los minions de la directiva, lo que puede provocar tiempos de procesamiento largos. Puede corregir todos los avisos a la vez o un aviso específico, un minion específico o un conjunto de minions según sea necesario.

Nota: Para reducir los tiempos de procesamiento largos, puede utilizar destinos más pequeños o corregir una parte selecta de los avisos o minions a la vez.

Para corregir todos los avisos de todos los minions de la directiva:

  1. En el área de trabajo Vulnerabilidad, haga clic en una directiva.

    Al hacer clic en una directiva, se abre el panel de control de la directiva seleccionada, donde también se incluyen los avisos y los resultados de las evaluaciones más recientes.

  2. En la parte superior derecha del panel de control de la directiva, haga clic en Corregir todo.
  3. Haga clic en Corregir todo en el cuadro de diálogo de confirmación.

    Puede realizar un seguimiento del estado de la corrección en la pestaña Actividad de la directiva.

    Nota: Las comprobaciones o los minions exentos no se corrigen al ejecutar Corregir todo. Consulte Agregar exenciones para obtener más información.

Corregir por aviso

Para corregir mediante avisos específicos:

  1. En el área de trabajo Vulnerabilidad, haga clic en una directiva.

    Al hacer clic en una directiva, se abre el panel de control de la directiva seleccionada, donde también se incluyen los avisos y los resultados de las evaluaciones más recientes.

  2. En el panel de control de la directiva, haga clic en la casilla de verificación situada junto a todos los avisos que desea corregir.

    Puede filtrar los avisos por columna si es necesario. Por ejemplo, puede filtrar los avisos por gravedad para elegir cuáles corregir. Si un encabezado de columna incluye un icono de filtro icono de filtro, es posible filtrar los resultados por ese tipo de columna. Haga clic en el icono y seleccione una opción de filtro del menú o escriba el texto por el que desee filtrar. Para eliminar filtros activos, haga clic en Borrar filtros.

    Para ver más detalles sobre un aviso, como la descripción y las entradas de CVE, haga clic en el icono de flechas dobles icono de flechas dobles para abrir un panel de detalles.

    Consulte Ejecutar una evaluación para obtener más información sobre cómo analizar avisos.

  3. Haga clic en Corregir.

Corregir por minion

Para corregir un nodo específico:

  1. En el área de trabajo Vulnerabilidad, haga clic en una directiva.

    Al hacer clic en una directiva, se abre el panel de control de la directiva seleccionada, donde también se incluyen los avisos y los resultados de las evaluaciones más recientes.

  2. En el panel de control de la directiva, vaya a la pestaña Minions y haga clic en un minion.

  3. Seleccione todos los avisos que desea corregir para el minion activo.

    Puede filtrar los avisos por columna si es necesario. Por ejemplo, puede filtrar los avisos por gravedad para elegir cuáles corregir. Si un encabezado de columna incluye un icono de filtro icono de filtro, es posible filtrar los resultados por ese tipo de columna. Haga clic en el icono y seleccione una opción de filtro del menú o escriba el texto por el que desee filtrar. Para eliminar filtros activos, haga clic en Borrar filtros.

  4. Haga clic en Corregir.

Corregir por aviso y minion

Para corregir un aviso específico sobre un minion o un conjunto de minions específico:

  1. En el área de trabajo Vulnerabilidad, haga clic en una directiva.

    Al hacer clic en una directiva, se abre el panel de control de la directiva seleccionada, donde también se incluyen los avisos y los resultados de las evaluaciones más recientes.

  2. En el panel de control de la directiva, haga clic en un identificador de aviso.

    Al hacer clic en un identificador de aviso, se abrirá la página de detalles del aviso. En la parte inferior de esta página, se muestra una lista de los minions afectados por este aviso.

  3. Haga clic en la casilla de verificación situada junto a todos los minions que desea corregir para el aviso activo.

    Puede filtrar los avisos por columna si es necesario. Por ejemplo, puede filtrar los avisos por gravedad para elegir cuáles corregir. Si un encabezado de columna tiene un icono de filtro icono de filtro, es posible filtrar los resultados por ese tipo de columna. Haga clic en el icono y seleccione una opción de filtro del menú o escriba el texto por el que desee filtrar. Para eliminar filtros activos, haga clic en Borrar filtros.

  4. Haga clic en Corregir.

Corregir avisos de Windows

SaltStack SecOps Vulnerability activa los nodos de Windows para recibir los avisos más recientes de Microsoft. Los nodos de Windows pueden recibir estas actualizaciones de una de estas dos formas:

  • Agente de Windows Update (WUA): de forma predeterminada, los nodos de Windows se conectan directamente a Microsoft mediante WUA, que se instala automáticamente en todos los nodos de Windows. WUA es compatible con la entrega y la instalación de revisiones automatizadas. Este agente analiza los nodos para determinar las actualizaciones de seguridad que no están instaladas y, a continuación, busca y descarga las actualizaciones de los sitios web de actualización de Microsoft.
  • Windows Server Update Services (WSUS): un servidor WSUS funciona como intermediario entre Microsoft y el minion. Con los servidores WSUS, los administradores de TI pueden implementar actualizaciones en una red de forma estratégica para minimizar el tiempo de inactividad y las interrupciones. Consulte Windows Server Update Services (WSUS) en la documentación oficial de Microsoft para obtener más información.

Antes de utilizar SaltStack SecOps Vulnerability en nodos de Windows, compruebe cuál de estos dos métodos utiliza actualmente el entorno. Si el entorno utiliza el método de servidor WSUS, debe hacer lo siguiente:

  • Asegúrese de que WSUS esté habilitado y en ejecución. Si es necesario, puede configurar el minion de Windows para que se conecte a WSUS mediante un archivo de estado de Salt proporcionado por SaltStack. Consulte Habilitar Windows Server Update Services (WSUS) para este archivo de estado. Después de ejecutar este archivo de estado, compruebe que el minion se conecte correctamente al servidor WSUS y que reciba actualizaciones.
  • Apruebe las actualizaciones relacionadas con avisos de Microsoft en el servidor WSUS. Cuando el servidor WSUS recibe actualizaciones de Microsoft, el administrador de WSUS debe revisarlas y aprobarlas para implementarlas en el entorno. Para que SaltStack SecOps Vulnerability detecte y corrija avisos, se deben aprobar todas las actualizaciones que contengan avisos.

Si no se cumple alguno de estos dos requisitos previos, SaltStack SecOps Vulnerability no puede analizar ni corregir con precisión los avisos. En los sistemas que reciben actualizaciones de Microsoft a través de un servidor WSUS, las evaluaciones pueden devolver falsos positivos donde se indica que los minions de Windows están protegidos de todas las CVE, aunque en realidad no lo estén.

Nota: Si un minion de Windows está muy desactualizado o si el servidor WSUS intenta enviar actualizaciones a varios minions, es posible que el servidor WSUS se bloquee. Siga las prácticas recomendadas y póngase en contacto con el administrador de WSUS para obtener ayuda en la solución de problemas. Consulte Prácticas recomendadas de Windows Server Update Services en la documentación oficial de Microsoft para obtener más información.

Después de configurar un servidor WSUS o asegurarse de que WUA funcione correctamente en todos los minions de Windows de destino, puede usar SaltStack SecOps Vulnerability para corregir los nodos de Windows. Puede corregir los nodos de Windows mediante el mismo proceso que usaría para corregir otros avisos o minions. Sin embargo, es posible que algunas correcciones de Windows requieran un reinicio completo del sistema para que la revisión o la actualización surtan efecto. Consulte Reiniciar un minion como parte de una corrección para obtener más información.

Reiniciar un minion como parte de una corrección

Una corrección puede requerir un reinicio completo del sistema para que la revisión o la actualización surtan efecto. En ocasiones, una corrección puede incluso requerir un segundo reinicio.

Para determinar si un aviso o un minion requieren un reinicio como parte de una corrección, ejecute primero una evaluación. El método para comprobar la necesidad de un reinicio depende de si se desea ver si un aviso o un minion específico debe reiniciarse:

Para Consultar
Aviso

En el panel de control de la directiva, en la pestaña Avisos, revise la columna Comportamiento de instalación para ver el estado del aviso. Esta columna tiene los siguientes estados posibles:

  • Nunca requiere reinicio: el aviso no requiere un reinicio cuando se corrige.
  • Siempre requiere reinicio: el aviso siempre requiere un reinicio cuando se corrige.
  • Puede requerir reinicio: es posible que el aviso requiera un reinicio en ciertas condiciones como parte de la corrección.
  • ( – ): el valor nulo. Este estado se muestra para los minions de Linux. La detección de la necesidad de un reinicio no es compatible actualmente con los minions de Linux.
Minion

En el panel de control de la directiva, en la pestaña Minions, revise la columna Necesita reinicio para ver el estado del minion. Esta columna tiene los siguientes estados posibles:

  • falso: no es necesario reiniciar el minion para la corrección o se reinició correctamente el minion.
  • verdadero: el estado será “verdadero” en tres posibles situaciones:
    • El minion necesita reiniciarse y el reinicio aún no ha comenzado.
    • El minion se está reiniciando y el reinicio todavía no se ha completado.
    • El minion se reinició, pero necesitará un segundo reinicio para que se apliquen los cambios adicionales.

Si determina que se necesita un reinicio como parte de una corrección, siga estos pasos para reiniciar un minion:

  1. En el panel de control de la directiva, en la pestaña Minions, haga clic en la casilla de verificación junto a un minion que muestre “verdadero” en la columna Necesita reinicio.
  2. Haga clic en el botón Ejecutar comando.
  3. En el menú Función, seleccione el comando system.reboot.
  4. En el campo Argumentos, agregue los argumentos necesarios.

    En los nodos de Windows, el comando system.reboot necesita dos argumentos: timeout y in_seconds. Establezca el primer argumento en 0 y el segundo en true. Consulte la documentación del módulo win_system.reboot para obtener más información sobre estos argumentos.

    En los nodos de Linux, el comando system.reboot utiliza un argumento: at_time. Consulte la documentación del módulo system.reboot para obtener más información sobre estos argumentos.

  5. (Opcional:) Si desea programar el reinicio para una hora específica, cree un trabajo que reinicie el minion y, a continuación, establezca ese trabajo para que se ejecute a una hora programada. Consulte Flujo de trabajo de SaltStack Config para obtener más información.
  6. Haga clic en Ejecutar comando para ejecutar este comando en el minion seleccionado.

Después de iniciar un reinicio, el minion puede tardar varios minutos en reiniciarse y volver a estar conectado. Tenga en cuenta que la pestaña Actividad del área de trabajo Vulnerabilidad solo indica si se inició el comando de reinicio. El estado Completado no significa necesariamente que el minion se reinició y se encuentra conectado de nuevo. Solo significa que la operación se ejecutó en el minion de destino.

Para comprobar si el minion se encuentra nuevamente conectado después de un reinicio, actualice la pestaña Minions del área de trabajo Vulnerabilidad y compruebe la presencia del minion. Consulte Presencia de minions para obtener más información.

Después de reiniciar un minion como parte de una corrección, debe ejecutar otra evaluación para comprobar que la corrección se haya realizado correctamente.