초기 평가를 완료한 후에는 평가에서 감지된 권고에 업데이트를 적용할 수 있습니다.

시작하기 전에

Automation for Secure Hosts Vulnerability는 Windows 노드를 트리거하여 Microsoft의 최신 권고를 수신합니다. Windows 노드는 다음 두 가지 방법 중 하나로 업데이트를 받을 수 있습니다.

  • WUA(Windows Update Agent) - 기본적으로 Windows 노드는 모든 Windows 노드에 자동으로 설치되는 WUA를 사용하여 Microsoft에 직접 연결됩니다. WUA는 자동화된 패치 제공 및 설치를 지원합니다. 노드를 검색하여 설치되지 않은 보안 업데이트를 확인한 다음 Microsoft의 업데이트 웹 사이트에서 업데이트를 검색하여 다운로드합니다.
  • WSUS(Windows Server Update Services) - WSUS 서버는 Microsoft와 미니언 사이에서 중재 역할을 합니다. WSUS 서버를 사용하면 IT 관리자가 전략적으로 네트워크에 업데이트를 배포하여 다운타임 및 중단을 최소화할 수 있습니다. 자세한 내용은 공식 Microsoft 설명서에서 WSUS(Windows Server Update Services)를 참조하십시오.
Windows 노드에서 Automation for Secure Hosts Vulnerability를 사용하기 전에, 현재 환경에서 위의 두 가지 메서드 중 무엇을 사용하는지 확인합니다. 환경에서 WSUS 서버 메서드를 사용하는 경우에는 다음을 수행해야 합니다.
  • WSUS를 사용하도록 설정되어 있고 실행 중인지 확인합니다. 필요한 경우 Automation Config에서 제공하는 Salt 상태 파일을 사용하여 WSUS에 연결하도록 Windows 미니언을 구성할 수 있습니다. 이 상태 파일에 대한 내용은 "WSUS(Windows Server Update Services)를 사용하도록 설정"을 참조하십시오. 상태 파일을 실행한 후에는 미니언이 WSUS 서버에 성공적으로 연결되었는지 그리고 업데이트를 수신하는지 확인합니다.
  • WSUS 서버에서 Microsoft의 권고와 관련된 업데이트를 승인합니다. WSUS 서버가 Microsoft에서 업데이트를 수신한 경우 이 업데이트를 환경에 배포하려면 WSUS 관리자가 업데이트를 검토하고 승인해야 합니다. Automation for Secure Hosts Vulnerability가 권고를 감지하고 업데이트를 적용하려면 권고가 포함된 모든 업데이트가 승인되어야 합니다.
이러한 두 가지 사전 요구 사항 중 하나라도 충족되지 않으면 Automation for Secure Hosts Vulnerability는 권고를 정확하게 검색하고 업데이트를 적용할 수 없습니다. WSUS 서버를 통해 Microsoft 업데이트를 수신하는 시스템의 경우, 평가는 Windows 미니언이 실제로 안전하지 않을 수 있는 경우에도 모든 CVE에서 안전하다고 나타내는 거짓 긍정을 반환할 수 있습니다.

지원되는 권고에 업데이트 적용

정책 홈 페이지의 [활동] 탭에는 완료되거나 진행 중인 평가 및 업데이트 적용 목록과 해당 상태가 표시됩니다.

상태 설명
대기열에 포함됨 작업을 실행할 준비가 되었지만 미니언이 작업을 시작하지 않았습니다.
완료됨 작업 실행을 마쳤습니다.
부분 작업 실행이 완료되었지만 일부 미니언이 반환되기를 작업이 기다리고 있습니다.

업데이트를 적용하는 동안 권고에 속하는 모든 패키지가 선택한 노드에 적용됩니다. 모든 권고에 한 번에 업데이트를 적용하거나, 필요에 따라 특정 권고, 특정 미니언 또는 미니언 집합에 업데이트를 적용할 수 있습니다.

Automation for Secure Hosts Vulnerability는 항상 벤더가 제공하는 사용 가능한 최신 버전을 설치하며, 권고가 이전 버전으로 수정된 경우에도 마찬가지 입니다.

권고에 업데이트를 적용한 후에는 또 다른 평가를 실행하여 업데이트 적용이 성공했는지 확인해야 합니다.

필요에 따라 업데이트를 적용할 권고 또는 노드를 선택할 수 있습니다. 이러한 옵션에는 다음이 포함됩니다.
  • 한 번에 모든 권고에 업데이트 적용
  • 특정 미니언에 업데이트 적용
  • 미니언 집합에 업데이트 적용

정책 대시보드에서 모두에 업데이트 적용을 실행하면 Automation for Secure Hosts Vulnerability는 정책의 모든 미니언에 대한 모든 권고에 업데이트를 적용하기 때문에 처리 시간이 길어질 수 있습니다.

  1. 취약성 업무 공간에서 정책을 클릭하여 정책의 대시보드를 엽니다.
  2. 정책의 대시보드에서 다음을 수행합니다.
    1. 권고별로 업데이트를 적용하려면, 업데이트를 적용하려는 모든 권고 옆에 있는 확인란을 클릭합니다.
    2. 미니언별로 업데이트를 적용하려면 대상 탭을 선택하고 미니언을 클릭한 다음 활성 미니언에 대해 업데이트를 적용할 모든 권고를 선택합니다.
    3. 권고 및 미니언별로 업데이트를 적용하려면 권고 ID를 클릭하고 활성 권고에 대해 업데이트를 적용할 모든 미니언 옆에 있는 확인란을 클릭합니다.
  3. 업데이트 적용을 클릭합니다.

결과: 취약성 권고에 업데이트가 적용됩니다. 경우에 따라 업데이트를 적용하려면 전체 시스템 또는 미니언 재부팅이 필요할 수 있습니다. 자세한 내용은 업데이트 적용의 일환으로 미니언을 재부팅하는 방법을 참조하십시오.

사용자 지정 업데이트 적용

타사에서 벤더 검색을 가져온 경우 업데이트를 적용해야 하는 지원되지 않는 권고가 있을 수 있습니다. 지원되지 않는 권고에 업데이트를 적용하려면 지원되지 않는 권고 정책 페이지에서 파일 추가를 선택하고 정책 내에서 사용자 지정 상태 파일을 연결하거나 사용자 지정 상태 파일을 전역적으로 연결하여 자체 사용자 지정 업데이트 적용 파일을 추가해야 합니다.
  • 정책 내 연결 - 업데이트 적용 파일은 현재 정책에서 지정된 권고에 업데이트를 적용하는 데만 사용됩니다. 예를 들어 지원되지 않는 동일한 권고를 사용하여 중복 정책이 생성된 경우 업데이트 적용 파일은 첫 번째 정책의 권고에만 업데이트를 적용하고 중복 정책에는 업데이트를 적용하지 않습니다.
  • 권고에 전역적으로 연결 - 업데이트 적용 파일은 모든 정책에서 지정된 권고에 업데이트를 적용하는 데 사용됩니다.
참고: 정책의 권고에 정책 내에 연결된 업데이트 적용 파일과 전역적으로 연결된 업데이트 적용 파일이 모두 있는 경우 Automation for Secure Hosts는 정책 내에 연결된 파일을 사용합니다. 정책 내에 연결된 파일이 삭제되면 Automation for Secure Hosts는 전역으로 연결된 파일을 기본적으로 사용합니다. [링크 업데이트 적용] 창에서 파일 미리 보기를 검토하여 권고에 업데이트를 적용하기 위해 원하는 파일이 선택되었는지 확인합니다.