View a markdown version of this page

Web-Benutzeroberfläche - Automatisierte Sicherheitsreaktion auf AWS
FunktionsweiseFühren Sie Behebungen direkt in der Webbenutzeroberfläche ausFiltern Sie verfügbare Ergebnisse und AbhilfemaßnahmenAuthentifizierung und Autorisierung in der WebbenutzeroberflächeIntegration mit externen IdPs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Web-Benutzeroberfläche

Die Web-Benutzeroberfläche der Lösung ermöglicht es Benutzern, die Ergebnisse von AWS Security Hub mit einem Klick zu korrigieren, frühere Abhilfemaßnahmen anzusehen und herunterzuladen und den Zugriff auf die Lösung zu delegieren.

Die Web-Benutzeroberfläche ist für die Verwendung der Lösung nicht erforderlich. Sie können alternativ vollautomatische Problembehebungen konfigurieren, um eine manuelle Ausführung zu vermeiden, oder die AWS Security Hub CSPM-Konsole nutzen, um Behebungen mithilfe der benutzerdefinierten Aktion Remediate with ASR zu starten.

Anmerkung

Sie müssen den ShouldDeployWebUI Parameter bei der Bereitstellung des Admin-Stacks auf „yes“ setzen, um die Web-UI der Lösung verwenden zu können.

Funktionsweise

Die Web-Benutzeroberfläche der Lösung ist eine einseitige Webanwendung, die von Amazon S3 in Ihrem Konto gehostet und von Amazon vertrieben wird. CloudFront Die Lösung stellt auch eine REST-API bereit, die API Gateway verwendet, um Operationen in der Webbenutzeroberfläche zu unterstützen.

Wenn der Admin-Stack bereitgestellt wird, beginnen die Lambda-Funktionen der Lösung, alle von der Lösung unterstützten Ergebnisse von AWS Security Hub, die in Ihrem Admin-Konto vorhanden sind, in DynamoDB zu laden. Sobald dies abgeschlossen ist, werden die auf der Weboberfläche präsentierten Ergebnisse dank der von der Lösung bereitgestellten EventBridge Regeln nahezu in Echtzeit mit Security Hub synchronisiert.

Jede Woche werden die Lambda-Funktionen der Lösung ausgelöst, um die DynamoDB-Tabelle zu aktualisieren, in der die Ergebnisse von AWS Security Hub gespeichert sind, die in der Web-UI angezeigt werden. Dadurch wird sichergestellt, dass veraltete Daten bereinigt und unsere DynamoDB-Tabellen beibehalten werden. up-to-date Wenn Sie diese Baseline so konfigurieren möchten, dass sie mehr oder weniger häufig ausgeführt wird, ändern Sie die EventBridge Regel mit dem Namen, die SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule sich in Ihrem Administratorkonto in derselben Region befindet, in der Sie die Lösung bereitgestellt haben.

Führen Sie Behebungen direkt in der Webbenutzeroberfläche aus

Seite mit Ergebnissen der Web-UI

Auf der Seite Ergebnisse können Admin- oder Delegated Admin-Benutzer alle Ergebnisse von AWS Security Hub einsehen, die von der Problembehebungslösung unterstützt werden. Dies schließt Ergebnisse für Security Hub Hub-Mitgliedskonten ein, die mit dem Security Hub Hub-Hauptkonto verknüpft sind. Wenn die Lösung auch in der Aggregationsregion eingesetzt wird, werden auch die Ergebnisse in jeder Onboarding-Region angezeigt. Eine Liste der von der Lösung unterstützten Ergebnisse finden Sie im Abschnitt Playbooks.

Benutzer des Kontobetreibers können nur Ergebnisse einsehen, die ihren Ursprung in AWS-Konten haben, auf die sie gemäß der Definition in ihrer Einladung Zugriff haben. Darüber hinaus können sie nur Korrekturen für Ressourcen in den Konten durchführen, mit denen sie verknüpft sind.

Um Korrekturen auszuführen, wählen Sie eine beliebige Anzahl von Elementen in der Tabelle aus und klicken Sie auf Aktionen > Korrigieren. Sie können Ergebnisse auch unterdrücken, indem Sie auf Aktionen > Unterdrücken klicken. Dadurch werden die ausgewählten Ergebnisse in der Standardansicht ausgeblendet. Sie können unterdrückte Ergebnisse jederzeit anzeigen, indem Sie auf den Schalter Unterdrückte Ergebnisse anzeigen klicken.

Sobald Sie mit der Behebung eines Befundes begonnen haben, können Sie auf der Seite Ausführungsverlauf auf die Spalte Behebungsstatus klicken, während die Korrektur entweder Failed läuft In Progress oder direkt zu dieser Korrektur weitergeleitet wird.

Filtern Sie verfügbare Ergebnisse und Abhilfemaßnahmen

Sowohl auf den Seiten Ergebnisse als auch auf der Seite Ausführungshistorie können Sie die in der Tabelle angezeigten Daten nach den Spalten filtern, die in der jeweiligen Tabelle vorhanden sind.

Auf der Seite Ergebnisse können Sie beispielsweise nach Finding Type filtern, um nach bestimmten Arten von AWS Security Hub Hub-Ergebnissen (z. B. Lambda.1 oder Athena.4) zu suchen, indem Sie auf die Suchleiste klicken und Finding Type auswählen.

Anmerkung

Werte, die automatisch in die Suchleiste eingegeben werden, stellen keine umfassende Liste verfügbarer Daten dar. Die vorgeschlagenen Werte für die einzelnen Suchkriterien stellen nur die Daten dar, die aktuell abgerufen und in der Benutzeroberfläche angezeigt werden.

Sie können auch mehrere Attribute in einer einzigen Suche kombinieren. Beispielsweise können Sie bei Ihrer Suche sowohl den Suchtyp als auch die Ressourcen-ID verwenden, um eine logische AND Abfrage durchzuführen. Darüber hinaus können Sie mehrere derselben Filterkriterien anwenden, um eine logische OR Suche durchzuführen, z. B. Finding Type = Lambda.1 und Finding Type = Athena.4. Dieselben Prinzipien gelten für die Seite „Ausführungsverlauf“

Authentifizierung und Autorisierung in der Webbenutzeroberfläche

Die Web-Benutzeroberfläche der Lösung ist durch eine Authentifizierung geschützt, die von Amazon Cognito bereitgestellt wird. Wenn die Lösung bereitgestellt wird, werden ein Cognito-Benutzerpool, ein Cognito App Client und eine Cognito-Benutzerpool-Domäne zusammen mit der Web-UI bereitgestellt und konfiguriert. Der E-Mail-Adresse, die als Parameter für den Admin-Stack bereitgestellt wird, werden temporäre Anmeldeinformationen zugewiesen und sie erhält Administratorzugriff auf die Web-UI.

Es gibt drei Berechtigungstypen, die den Zugriff eines Benutzers auf die Web-UI definieren:

Art der Erlaubnis Zugriffsebene Anwendungsfall

Admin.

Vollständige Kontrolle über die Webbenutzeroberfläche; kann alle Ergebnisse und Behebungen anzeigen, alle Behebungen und invite/view alle Benutzer ausführen.

Wird nur dem Benutzer zugewiesen, der den Admin-Stack bereitgestellt hat, wenn er bei der CloudFormation Bereitstellung seine E-Mail-Adresse angibt.

Delegierter Administrator

Erweiterte Kontrolle in der Web-UI; kann alle Ergebnisse und Abhilfemaßnahmen einsehen, alle Korrekturmaßnahmen durchführen und Benutzer des invite/view Account-Operators anzeigen. Administratoren und delegierte Administratoren können in der Webbenutzeroberfläche nicht eingeladen oder angezeigt werden.

Der Admin-Benutzer kann den Zugriff auf die Lösung delegieren, indem er delegierte Admin-Benutzer einlädt, die dann in der Lage sind, alle Problembehebungen durchzuführen und zu verwalten.

Kontobetreiber

Eingeschränkte Kontrolle über die Webbenutzeroberfläche; beschränkt auf die Anzeige und Korrektur von Ergebnissen nur in Konten, mit denen sie auf Einladung verknüpft sind. Es können keine weiteren Benutzer eingeladen oder angezeigt werden.

Day-to-day Benutzer, die nur eingeschränkten Zugriff haben sollten, um Problembehebungen in einer Teilmenge der integrierten Konten durchzuführen. Administratoren oder delegierte Administratoren sind dafür verantwortlich, diese Benutzer einzuladen und ihren Zuständigkeitsbereich zu definieren.

Alle Benutzer müssen von einem Administrator oder delegierten Administrator eingeladen werden, bevor sie sich bei der Weboberfläche anmelden können. Um weitere Benutzer einzuladen, kann ein Administrator oder delegierter Administrator seine E-Mail-Adresse und die Berechtigungsstufe auf der Seite „Benutzer einladen“ der Weboberfläche eingeben.

Administratoren und delegierte Administratoren können auch bestehende Benutzer anzeigen, verwalten und löschen. Um eine Liste aller Benutzer zu sehen, navigieren Sie zur Seite „Benutzer anzeigen“.

Um einen vorhandenen Benutzer zu verwalten, wählen Sie den Benutzer aus der Tabelle aus und klicken Sie auf Benutzer verwalten. Anschließend können Sie den Benutzer löschen, indem Sie auf Benutzer löschen klicken. Wenn der Benutzer ein Kontobetreiber ist, können Sie die Liste der AWS-Konten IDs , auf die er Zugriff hat, im Kontext der Lösung ändern. Das Ändern des Berechtigungstyps für einen vorhandenen Benutzer wird derzeit nicht unterstützt.

Bitte beachten Sie, dass delegierte Administratoren nur Benutzer des Kontobetreibers anzeigen und verwalten können.

Integration mit externen IdPs

Sie können den von der Lösung bereitgestellten Authentifizierungsmechanismus so anpassen, dass sich Benutzer mit Ihrem eigenen OIDC- oder SAML-Identitätsanbieter wie Okta oder Microsoft Entra ID anmelden können. Die folgenden Schritte für die Integration mit External IdPs erfordern Zugriff auf das AWS-Konto, auf dem der Admin-Stack bereitgestellt wird.

Wichtig

Benutzer müssen dennoch eingeladen werden, bevor sie sich mit einem externen IdP anmelden, den Sie für die Verwendung mit der Lösung konfiguriert haben. Darüber hinaus muss die mit ihrem IdP-Profil verknüpfte E-Mail-Adresse mit der in der Einladung angegebenen E-Mail-Adresse übereinstimmen.

Schritt 1 — Suchen Sie den Benutzerpool der Lösung

Suchen Sie in der Amazon Cognito Cognito-Konsole den Benutzerpool der Lösung mit dem Namen SO0111-ASR -. UserPool

Klicken Sie auf den Namen des Benutzerpools SO0111-ASR -, um zur Übersichtsseite zu gelangen. UserPool Wählen Sie dort in der Navigationsleiste Soziale Dienste und externe Anbieter aus.

Schritt 2 — Fügen Sie Ihren Identitätsanbieter hinzu

Klicken Sie auf der Seite Soziale Netzwerke und externe Anbieter oben rechts auf die Schaltfläche Identitätsanbieter hinzufügen.

Wählen Sie je nach Ihrem Identitätsanbieter entweder OIDC oder SAML aus.

Sobald Sie Ihren Anbietertyp ausgewählt haben, werden Sie aufgefordert, Informationen zu Ihrem Identitätsanbieter einzugeben.

Füllen Sie die folgenden Felder für SAML-Anbieter aus:

  1. Anbietername: Ein benutzerfreundlicher Name für Ihren Anbieter

  2. IDP-initiierte SAML-Anmeldung: Wählen Require SP-initiated SAML assertions - Recommended

  3. Quelle des Metadaten-Dokuments: Wählen Sie Upload metadata document

  4. Metadaten-Dokument: Laden Sie Ihr von Ihrem IdP bereitgestelltes SAML-Metadatendokument hoch.

  5. Klicken Sie unter Attribute zwischen Ihrem SAML-Anbieter und Ihrem Benutzerpool zuordnen auf Weiteres Attribut hinzufügen. Wählen Sie für Benutzerpool-Attribut eine Option email aus der Dropdownliste aus. Geben Sie unter SAML-Attribut den vollständigen Namen des Attributs ein, in dem die E-Mail-Adresse des Benutzers in Ihrem SAML-Identitätsanbieter gespeichert ist. Beispiel, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

  6. Klicken Sie auf Identitätsanbieter hinzufügen, um Ihre Änderungen zu speichern.

Füllen Sie die folgenden Felder für OIDC-Anbieter aus:

  1. Anbietername: Ein freundlicher Name für Ihren Anbieter

  2. Client-ID: Geben Sie die Client-ID ein, die Sie von Ihrem OpenID Connect-Identitätsanbieter erhalten haben.

  3. Kundengeheimnis: Geben Sie das vom OpenID Connect-Identitätsanbieter bereitgestellte Client-Geheimnis ein.

  4. Autorisierte Bereiche: Geben Sie ein openid profile email

  5. Methode zur Anforderung von Attributen: Wählen Sie GET oder POST basiert auf der Konfiguration Ihres Identity Providers.

  6. Einrichtungsmethode: Wählen Sie die Aussteller-URL Ihres OIDC-Anbieters aus Auto fill through issuer URL und geben Sie sie ein. Sie können die Werte auch manuell eingeben.

  7. Klicken Sie unter Attribute zwischen Ihrem OpenID Connect-Anbieter und Ihrem Benutzerpool zuordnen auf Weiteres Attribut hinzufügen. Wählen Sie für Benutzerpool-Attribut eine Option email aus der Dropdownliste aus. Geben Sie für das OpenID Connect-Attribut den vollständigen Namen des Attributs ein, in dem die E-Mail-Adresse des Benutzers in Ihrem OIDC-Identitätsanbieter gespeichert ist. Beispiel, email.

  8. Klicken Sie auf Identitätsanbieter hinzufügen, um Ihre Änderungen zu speichern.

Wichtig

Sie müssen eine Attributzuordnung für das email Benutzerpool-Attribut hinzufügen, auch wenn der Attributname Ihres Identitätsanbieters ebenfalls lautetemail.

Schritt 3 — Fügen Sie Ihren Anbieter zum App Client der Lösung hinzu

Navigieren Sie zur Seite App Clients und wählen Sie den Client mit dem Namen SO0111-ASR-WebUI - aus. UserPoolClient

Klicken Sie auf den Tab Anmeldeseiten und dann unter Konfiguration der verwalteten Anmeldeseiten auf Bearbeiten.

Fügen Sie im Feld Identitätsanbieter den Identitätsanbieter hinzu, den Sie im vorherigen Schritt erstellt haben. Klicken Sie auf Save Changes (Änderungen speichern).

Schritt 4 — Konfigurieren Sie Ihren Identitätsanbieter

Damit Ihr Identitätsanbieter nach der Anmeldung zur Weboberfläche der Lösung weiterleiten kann, müssen Sie URLs in Ihrer IdP-Konfiguration Folgendes zulassen.

Abhängig von Ihrem Anbietertyp sollten Sie einen der folgenden Callbacks auf die Zulassungsliste setzen: URLs

  1. URL für den SAML-Rückruf: https://so0111-asr — .auth. <your-aws-account-id> <aws-region>.amazoncognito. com/saml2/idpresponse

  2. URL für den OIDC-Rückruf: https://so0111-asr - .auth. <your-aws-account-id> <aws-region>.amazoncognito. com/oauth2/idpresponse

Sie sollten es durch die AWS-Konto-ID <your-aws-account-id> ersetzen, in der Sie den Admin-Stack bereitgestellt haben, und <aws-region> durch die Region, in der Sie den Admin-Stack bereitgestellt haben.

Schritt 4 — Überprüfen Sie Ihre Integration

Navigieren Sie zur Anmeldeseite der Web-Benutzeroberfläche. Vergewissern Sie sich, dass Ihr benutzerdefinierter Identitätsanbieter auf der Anmeldeseite sichtbar ist.

Um die Integration zu testen, laden Sie über die Seite „Benutzer einladen“ einen neuen Benutzer ein. Stellen Sie anschließend sicher, dass sich der Benutzer authentifizieren kann, indem Sie auf der Anmeldeseite der Web-UI auf Ihren benutzerdefinierten Identitätsanbieter klicken.

Bitte beachten Sie, dass das Benutzerprofil in Ihrem benutzerdefinierten IdP mit derselben E-Mail-Adresse verknüpft sein muss, die in der Einladung angegeben wurde. Mit anderen Worten, die E-Mail-Adresse in den Angaben Ihres Anbieters muss mit der Einladung übereinstimmen.