Una volta completata una valutazione iniziale, è possibile correggere gli avvisi rilevati nella valutazione. Durante la correzione, tutti i pacchetti che fanno parte di tale avviso vengono applicati ai nodi selezionati. È possibile correggere tutti gli avvisi contemporaneamente oppure correggere un avviso specifico, un minion specifico o un insieme di minion secondo necessità.
SaltStack SecOps Vulnerability installa sempre l'ultima versione disponibile da un fornitore, anche se l'avviso è stato risolto da una versione precedente.
Dopo aver corretto un avviso, è necessario eseguire un'altra valutazione per verificare che la correzione sia stata eseguita correttamente.
Correzione di tutti gli avvisi
Quando si esegue Correggi tutto, SaltStack SecOps Vulnerability corregge tutti gli avvisi in tutti i minion nel criterio, il che potrebbe causare tempi di elaborazione lunghi. È possibile correggere tutti gli avvisi contemporaneamente oppure correggere un avviso specifico, un minion specifico o un insieme di minion secondo necessità.
Per correggere tutti gli avvisi di tutti i minion nel criterio:
- Nell'area di lavoro Vulnerabilità, fare clic su un criterio.
Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.
- Nell'angolo superiore destro del dashboard dei criteri, fare clic su Correggi tutto.
- Fare clic su Correggi tutto nella finestra di dialogo di conferma.
È possibile monitorare lo stato della correzione nella scheda Attività del criterio.
Nota: Eventuali controlli o minion esenti non vengono corretti quando si esegue Correggi tutto. Per ulteriori informazioni, vedere Aggiunta di esenzioni.
Correzione in base all'avviso
Per correggere in base ad avvisi specifici:
- Nell'area di lavoro Vulnerabilità, fare clic su un criterio.
Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.
- Nel dashboard dei criteri, fare clic sulla casella di controllo accanto a tutti gli avvisi che si desidera correggere.
Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se l'intestazione di una colonna include l'icona del filtro , è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.
Per visualizzare ulteriori dettagli su un avviso, come descrizione e CVE, fare clic sull'icona delle frecce doppie per aprire un riquadro dei dettagli.
Vedere Esecuzione di una valutazione per ulteriori informazioni sull'esecuzione di una scansione di avvisi.
- Fare clic su Correggi.
Correzione in base al minion
Per correggere un nodo specifico:
- Nell'area di lavoro Vulnerabilità, fare clic su un criterio.
Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.
- Nel dashboard dei criteri, passare alla scheda Minion e fare clic su un minion.
-
Selezionare tutti gli avvisi che si desidera correggere per il minion attivo.
Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se l'intestazione di una colonna include l'icona del filtro , è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.
- Fare clic su Correggi.
Correzione sia in base all'avviso che al minion
Per correggere un avviso specifico per un minion o una serie di minion specifici:
- Nell'area di lavoro Vulnerabilità, fare clic su un criterio.
Facendo clic su un criterio viene aperto il dashboard del criterio selezionato, che include anche gli avvisi e i risultati di valutazione più recenti.
- Nel dashboard del criterio, fare clic su un ID avviso.
Se si fa clic sull'ID di un avviso, viene aperta la pagina dei dettagli dell'avviso. Nella parte inferiore della pagina è riportato un elenco dei minion interessati da questo avviso.
- Fare clic sulla casella di controllo accanto a tutti i minion che si desidera correggere per l'avviso attivo.
Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se un'intestazione di colonna presenta un'icona di filtro , è possibile filtrare i risultati in base al tipo di colonna specificato. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.
- Fare clic su Correggi.
Correzione degli avvisi di Windows
SaltStack SecOps Vulnerability attiva la ricezione degli avvisi più recenti da parte di Microsoft nei nodi di Windows. I nodi di Windows possono ricevere questi aggiornamenti in uno dei due modi seguenti:
- Windows Update Agent (WUA): per impostazione predefinita, i nodi di Windows si connettono direttamente a Microsoft utilizzando WUA, che viene installato automaticamente in tutti i nodi di Windows. WUA supporta la distribuzione e l'installazione automatizzate delle patch. Scansiona i nodi per determinare quali aggiornamenti della sicurezza non sono installati, quindi cerca e scarica gli aggiornamenti dai siti Web di aggiornamento di Microsoft.
- Windows Server Update Services (WSUS): un server WSUS funge da intermediario tra Microsoft e il minion. I server WSUS consentono agli amministratori IT di distribuire gli aggiornamenti in una rete in modo strategico per ridurre al minimo i tempi di e le interruzioni. Vedere Windows Server Update Services (WSUS) nella documentazione ufficiale di Microsoft per ulteriori informazioni.
Prima di utilizzare SaltStack SecOps Vulnerability nei nodi di Windows, verificare quale dei due metodi è attualmente utilizzato dall'ambiente. Se l'ambiente utilizza il metodo server WSUS, è necessario:
- Assicurarsi che WSUS sia abilitato e in esecuzione. Se necessario, è possibile configurare il minion Windows in modo che si connetta a un WSUS utilizzando un file di stato di Salt fornito da SaltStack. Vedere Abilitazione di Windows Server Update Services (WSUS) per questo file di stato. Dopo aver eseguito questo file di stato, verificare che il minion si connetta correttamente al server WSUS e riceva aggiornamenti.
- Approvare gli aggiornamenti relativi agli avvisi provenienti da Microsoft sul server WSUS.: quando il server WSUS riceve gli aggiornamenti da Microsoft, l'amministratore WSUS deve rivedere e approvare tali aggiornamenti per poterli distribuire nell'ambiente. Affinché SaltStack SecOps Vulnerability possa rilevare e correggere gli avvisi, è necessario che tutti gli aggiornamenti contenenti avvisi siano approvati.
Se uno di questi due prerequisiti non viene soddisfatto, SaltStack SecOps Vulnerability non è in grado di eseguire correttamente la scansione degli avvisi e correggerli. Per i sistemi che ricevono gli aggiornamenti di Microsoft tramite un server WSUS, le valutazioni possono restituire dei falsi positivi che indicano che i minion di Windows sono sicuri da tutte le CVE, anche se potrebbero non essere effettivamente sicuri.
Dopo aver configurato un server WSUS o aver verificato il corretto funzionamento di WUA in tutti i minion di Windows di destinazione, è possibile utilizzare SaltStack SecOps Vulnerability per correggere i nodi di Windows. È possibile correggere i nodi di Windows tramite lo stesso processo utilizzato per correggere altri avvisi o minion. Tuttavia, alcune correzioni di Windows potrebbero richiedere un riavvio completo del sistema per consentire l'applicazione della patch o dell'aggiornamento. Vedere Riavvio di un minion come parte di una correzione per ulteriori informazioni.
Riavvio di un minion come parte di una correzione
Una correzione potrebbe richiedere un riavvio completo del sistema per applicare la patch o l'aggiornamento. Occasionalmente, una correzione potrebbe richiedere anche un secondo riavvio.
Per determinare se un avviso o un minion richiede un riavvio come parte di una correzione, eseguire innanzitutto una valutazione. Il metodo per controllare se è necessario un riavvio dipende dal fatto che si desideri verificare se uno specifico avviso o minion richiede un riavvio:
Per | Fare riferimento a |
---|---|
Avviso | Nel dashboard dei criteri nella scheda Avvisi, controllare la colonna Comportamento di installazione per verificare lo stato dell'avviso. Questa colonna presenta i seguenti possibili stati:
|
Minion | Nel dashboard dei criteri nella scheda Minion, selezionare la colonna Richiede il riavvio per lo stato del minion. Questa colonna presenta i seguenti possibili stati:
|
Se si stabilisce che, come parte di una correzione, è necessario riavviare il sistema, eseguire i passaggi seguenti per riavviare un minion:
- Nel dashboard dei criteri nella scheda Minion, fare clic sulla casella di controllo accanto a un minion che mostra true nella colonna Richiede il riavvio.
- Fare clic sul pulsante Esegui comando.
- Nel menu Funzione, selezionare il comando
system.reboot
. - Nel campo Argomenti, aggiungere gli argomenti necessari.
Per i nodi di Windows, il comando
system.reboot
richiede due argomenti:timeout
ein_seconds
. Impostare il primo argomento su0
e il secondo argomento sutrue
. Vedere la documentazione del modulo win_system.reboot per ulteriori informazioni su questi argomenti.Per i nodi Linux, il comando
system.reboot
accetta un solo argomento:at_time
. Vedere la documentazione del modulo system.reboot per ulteriori informazioni su questi argomenti. - (Facoltativo) Se si desidera pianificare il riavvio per un orario specifico, creare un processo che riavvii il minion e quindi impostarne l'esecuzione a un orario pianificato. Per ulteriori informazioni, vedere il workflow dei processi di SaltStack Config.
- Fare clic su Esegui comando per eseguire questo comando sul minion selezionato.
Dopo aver avviato un riavvio, il riavvio del minion potrebbe richiedere diversi minuti prima di tornare online. Tenere presente che la scheda Attività nell'area di lavoro Vulnerabilità indica solo se il comando di riavvio è stato avviato. Lo stato Completato non significa necessariamente che il minion è stato riavviato ed è di nuovo online, ma solo che l'operazione è stata eseguita sul minion di destinazione.
Per verificare se il minion torna online dopo un riavvio, aggiornare la scheda Minion nell'area di lavoro Vulnerabilità e verificare la presenza del minion. Per ulteriori informazioni, vedere Presenza di minion.
Dopo aver riavviato un minion come parte di una correzione, è necessario eseguire un'altra valutazione per verificare che la correzione sia stata eseguita correttamente.