Una volta completata una valutazione iniziale, è possibile correggere gli avvisi rilevati nella valutazione. Durante la correzione, tutti i pacchetti che fanno parte di tale avviso vengono applicati ai nodi selezionati. È possibile correggere tutti gli avvisi contemporaneamente oppure correggere un avviso specifico, un minion specifico o un insieme di minion secondo necessità.

SaltStack SecOps Vulnerability installa sempre l'ultima versione disponibile da un fornitore, anche se l'avviso è stato risolto da una versione precedente.

Dopo aver corretto un avviso, è necessario eseguire un'altra valutazione per verificare che la correzione sia stata eseguita correttamente.

Nota: La correzione degli avvisi sui nodi di Windows potrebbe richiedere ulteriori passaggi di configurazione. Per ulteriori informazioni, vedere Correzione degli avvisi di Windows.

Correzione di tutti gli avvisi

Quando si esegue Correggi tutto, SaltStack SecOps Vulnerability corregge tutti gli avvisi in tutti i minion nel criterio, il che potrebbe causare tempi di elaborazione lunghi. È possibile correggere tutti gli avvisi contemporaneamente oppure correggere un avviso specifico, un minion specifico o un insieme di minion secondo necessità.

Nota: È possibile ridurre i tempi di elaborazione utilizzando destinazioni più piccole o correggendo una parte selezionata di avvisi o minion alla volta.

Per correggere tutti gli avvisi di tutti i minion nel criterio:

  1. Nell'area di lavoro Vulnerabilità, fare clic su un criterio.

    Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.

  2. Nell'angolo superiore destro del dashboard dei criteri, fare clic su Correggi tutto.
  3. Fare clic su Correggi tutto nella finestra di dialogo di conferma.

    È possibile monitorare lo stato della correzione nella scheda Attività del criterio.

    Nota: Eventuali controlli o minion esenti non vengono corretti quando si esegue Correggi tutto. Per ulteriori informazioni, vedere Aggiunta di esenzioni.

Correzione in base all'avviso

Per correggere in base ad avvisi specifici:

  1. Nell'area di lavoro Vulnerabilità, fare clic su un criterio.

    Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.

  2. Nel dashboard dei criteri, fare clic sulla casella di controllo accanto a tutti gli avvisi che si desidera correggere.

    Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se l'intestazione di una colonna include l'icona del filtro filter-icon, è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.

    Per visualizzare ulteriori dettagli su un avviso, come descrizione e CVE, fare clic sull'icona delle frecce doppie double-arrows-icon per aprire un riquadro dei dettagli.

    Vedere Esecuzione di una valutazione per ulteriori informazioni sull'esecuzione di una scansione di avvisi.

  3. Fare clic su Correggi.

Correzione in base al minion

Per correggere un nodo specifico:

  1. Nell'area di lavoro Vulnerabilità, fare clic su un criterio.

    Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.

  2. Nel dashboard dei criteri, passare alla scheda Minion e fare clic su un minion.
  3. Selezionare tutti gli avvisi che si desidera correggere per il minion attivo.

    Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se l'intestazione di una colonna include l'icona del filtro filter-icon, è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.

  4. Fare clic su Correggi.

Correzione sia in base all'avviso che al minion

Per correggere un avviso specifico per un minion o una serie di minion specifici:

  1. Nell'area di lavoro Vulnerabilità, fare clic su un criterio.

    Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.

  2. Nel dashboard del criterio, fare clic su un ID avviso.

    Se si fa clic sull'ID di un avviso, viene aperta la pagina dei dettagli dell'avviso. Nella parte inferiore della pagina è riportato un elenco dei minion interessati da questo avviso.

  3. Fare clic sulla casella di controllo accanto a tutti i minion che si desidera correggere per l'avviso attivo.

    Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se un'intestazione di colonna presenta un'icona di filtro filter-icon, è possibile filtrare i risultati in base al tipo di colonna specificato. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.

  4. Fare clic su Correggi.

Correzione degli avvisi di Windows

SaltStack SecOps Vulnerability attiva la ricezione degli avvisi più recenti da parte di Microsoft nei nodi di Windows. I nodi di Windows possono ricevere questi aggiornamenti in uno dei due modi seguenti:

  • Windows Update Agent (WUA): per impostazione predefinita, i nodi di Windows si connettono direttamente a Microsoft utilizzando WUA, che viene installato automaticamente in tutti i nodi di Windows. WUA supporta la distribuzione e l'installazione automatizzate delle patch. Scansiona i nodi per determinare quali aggiornamenti della sicurezza non sono installati, quindi cerca e scarica gli aggiornamenti dai siti Web di aggiornamento di Microsoft.
  • Windows Server Update Services (WSUS): un server WSUS funge da intermediario tra Microsoft e il minion. I server WSUS consentono agli amministratori IT di distribuire gli aggiornamenti in una rete in modo strategico per ridurre al minimo i tempi di e le interruzioni. Vedere Windows Server Update Services (WSUS) nella documentazione ufficiale di Microsoft per ulteriori informazioni.

Prima di utilizzare SaltStack SecOps Vulnerability nei nodi di Windows, verificare quale dei due metodi è attualmente utilizzato dall'ambiente. Se l'ambiente utilizza il metodo server WSUS, è necessario:

  • Assicurarsi che WSUS sia abilitato e in esecuzione. Se necessario, è possibile configurare il minion Windows in modo che si connetta a un WSUS utilizzando un file di stato di Salt fornito da SaltStack. Vedere Abilitazione di Windows Server Update Services (WSUS) per questo file di stato. Dopo aver eseguito questo file di stato, verificare che il minion si connetta correttamente al server WSUS e riceva aggiornamenti.
  • Approvare gli aggiornamenti relativi agli avvisi provenienti da Microsoft sul server WSUS.: quando il server WSUS riceve gli aggiornamenti da Microsoft, l'amministratore WSUS deve rivedere e approvare tali aggiornamenti per poterli distribuire nell'ambiente. Affinché SaltStack SecOps Vulnerability possa rilevare e correggere gli avvisi, è necessario che tutti gli aggiornamenti contenenti avvisi siano approvati.

Se uno di questi due prerequisiti non viene soddisfatto, SaltStack SecOps Vulnerability non è in grado di eseguire correttamente la scansione degli avvisi e correggerli. Per i sistemi che ricevono gli aggiornamenti di Microsoft tramite un server WSUS, le valutazioni possono restituire dei falsi positivi che indicano che i minion di Windows sono sicuri da tutte le CVE, anche se potrebbero non essere effettivamente sicuri.

Nota: Se i minion di Windows sono molto datati o se il server WSUS tenta di inviare aggiornamenti a più minion, è possibile che il server WSUS venga arrestato in modo anomalo. Seguire le procedure consigliate e consultare l'amministratore WSUS per assistenza nella risoluzione dei problemi. Vedere Procedure consigliate di Windows Server Update Services nella documentazione ufficiale di Microsoft per ulteriori informazioni.

Dopo aver configurato un server WSUS o aver verificato il corretto funzionamento di WUA in tutti i minion di Windows di destinazione, è possibile utilizzare SaltStack SecOps Vulnerability per correggere i nodi di Windows. È possibile correggere i nodi di Windows tramite lo stesso processo utilizzato per correggere altri avvisi o minion. Tuttavia, alcune correzioni di Windows potrebbero richiedere un riavvio completo del sistema per consentire l'applicazione della patch o dell'aggiornamento. Vedere Riavvio di un minion come parte di una correzione per ulteriori informazioni.

Riavvio di un minion come parte di una correzione

Una correzione potrebbe richiedere un riavvio completo del sistema per applicare la patch o l'aggiornamento. Occasionalmente, una correzione potrebbe richiedere anche un secondo riavvio.

Per determinare se un avviso o un minion richiede un riavvio come parte di una correzione, eseguire innanzitutto una valutazione. Il metodo per controllare se è necessario un riavvio dipende dal fatto che si desideri verificare se uno specifico avviso o minion richiede un riavvio:

Per Fare riferimento a
Avviso

Nel dashboard dei criteri nella scheda Avvisi, controllare la colonna Comportamento di installazione per verificare lo stato dell'avviso. Questa colonna presenta i seguenti possibili stati:

  • Non richiede mai il riavvio: l'avviso non richiede un riavvio quando viene corretto.
  • Richiede sempre il riavvio: l'avviso richiede sempre un riavvio quando viene corretto.
  • Può richiedere il riavvio: l'avviso potrebbe richiedere un riavvio in determinate condizioni come parte della correzione
  • ( – ): il valore null. Questo stato viene visualizzato per i minion di Linux. La rilevazione della necessità di un riavvio non è attualmente supportata per i minion di Linux.
Minion

Nel dashboard dei criteri nella scheda Minion, selezionare la colonna Richiede il riavvio per lo stato del minion. Questa colonna presenta i seguenti possibili stati:

  • false: il minion non richiede un riavvio per la correzione o il minion è stato riavviato correttamente.
  • true: lo stato sarà true in tre possibili situazioni:
    • Il minion richiede un riavvio e un riavvio non è ancora stato avviato.
    • Il dispositivo è in fase di riavvio e non ha terminato il riavvio.
    • Il minion è stato riavviato, ma sarà necessario un secondo riavvio per applicare ulteriori modifiche.

Se si stabilisce che, come parte di una correzione, è necessario riavviare il sistema, eseguire i passaggi seguenti per riavviare un minion:

  1. Nel dashboard dei criteri nella scheda Minion, fare clic sulla casella di controllo accanto a un minion che mostra true nella colonna Richiede il riavvio.
  2. Fare clic sul pulsante Esegui comando.
  3. Nel menu Funzione, selezionare il comando system.reboot.
  4. Nel campo Argomenti, aggiungere gli argomenti necessari.

    Per i nodi di Windows, il comando system.reboot richiede due argomenti: timeout e in_seconds. Impostare il primo argomento su 0 e il secondo argomento su true. Vedere la documentazione del modulo win_system.reboot per ulteriori informazioni su questi argomenti.

    Per i nodi Linux, il comando system.reboot accetta un solo argomento: at_time. Vedere la documentazione del modulo system.reboot per ulteriori informazioni su questi argomenti.

  5. (Facoltativo) Se si desidera pianificare il riavvio per un orario specifico, creare un processo che riavvii il minion e quindi impostarne l'esecuzione a un orario pianificato. Per ulteriori informazioni, vedere il workflow dei processi di SaltStack Config.
  6. Fare clic su Esegui comando per eseguire questo comando sul minion selezionato.

Dopo aver avviato un riavvio, il riavvio del minion potrebbe richiedere diversi minuti prima di tornare online. Tenere presente che la scheda Attività nell'area di lavoro Vulnerabilità indica solo se il comando di riavvio è stato avviato. Lo stato Completato non significa necessariamente che il minion è stato riavviato ed è di nuovo online, ma solo che l'operazione è stata eseguita sul minion di destinazione.

Per verificare se il minion torna online dopo un riavvio, aggiornare la scheda Minion nell'area di lavoro Vulnerabilità e verificare la presenza del minion. Per ulteriori informazioni, vedere Presenza di minion.

Dopo aver riavviato un minion come parte di una correzione, è necessario eseguire un'altra valutazione per verificare che la correzione sia stata eseguita correttamente.