View a markdown version of this page

Interfaz de usuario web - Respuesta de seguridad automatizada en AWS
FuncionamientoEjecute las correcciones directamente en la interfaz de usuario webFiltre los hallazgos y las correcciones disponiblesAutenticación y autorización en la interfaz de usuario webIntegración con sistemas externos IdPs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Interfaz de usuario web

La interfaz de usuario web de la solución permite a los usuarios corregir los hallazgos de AWS Security Hub con un solo clic, ver y descargar las correcciones anteriores y delegar el acceso a la solución.

La interfaz de usuario web no es necesaria para usar la solución; también puede configurar soluciones totalmente automatizadas para evitar la necesidad de una ejecución manual o aprovechar la consola CSPM de AWS Security Hub para iniciar las correcciones mediante la acción personalizada Remediar con ASR.

nota

Debe establecer el ShouldDeployWebUI parámetro en «sí» al implementar la pila de administración para poder utilizar la interfaz de usuario web de la solución.

Funcionamiento

La interfaz de usuario web de la solución es una aplicación web de una sola página alojada en su cuenta por Amazon S3 y distribuida por Amazon CloudFront. La solución también implementa una API REST mediante API Gateway para admitir las operaciones en la interfaz de usuario web.

Cuando se implementa la pila de administración, las funciones de Lambda de la solución comienzan a cargar en DynamoDB todos los hallazgos de AWS Security Hub compatibles con la solución que estén presentes en su cuenta de administrador. Una vez completado esto, los hallazgos presentados en la interfaz de usuario web se mantienen sincronizados con el Security Hub casi en tiempo real gracias a las EventBridge reglas implementadas por la solución.

Cada semana, las funciones Lambda de la solución se activan para actualizar la tabla de DynamoDB que almacena los resultados de AWS Security Hub que se muestran en la interfaz de usuario web. Esto garantiza que los datos obsoletos se limpien y que se conserven nuestras tablas de DynamoDB. up-to-date Si desea configurar esta línea base para que se ejecute con mayor o menor frecuencia, modifique la EventBridge regla nombrada que SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule se encuentra en su cuenta de administrador en la misma región en la que implementó la solución.

Ejecute las correcciones directamente en la interfaz de usuario web

página de resultados de la interfaz de usuario web

En la página de conclusiones, los usuarios administradores o administradores delegados pueden ver todas las conclusiones de AWS Security Hub respaldadas por la solución para su corrección. Esto incluye los resultados de las cuentas de los miembros del Security Hub integradas en la cuenta principal del Security Hub. Si la solución también se implementa en la región de agregación, también se mostrarán los resultados en cualquier región incorporada. Para ver la lista de resultados respaldados por la solución, consulte la sección de manuales de estrategias.

Los usuarios del operador de cuentas solo podrán ver los hallazgos que se originen en las cuentas de AWS a las que tengan acceso, tal como se define en su invitación. Además, solo podrán corregir los recursos de las cuentas a las que estén asociados.

Para ejecutar las correcciones, seleccione cualquier número de elementos de la tabla y haga clic en Acciones > Corregir. También puede suprimir los hallazgos haciendo clic en Acciones > Suprimir, lo que oculta los hallazgos seleccionados de la vista predeterminada. Puede ver los hallazgos suprimidos en cualquier momento haciendo clic en el botón Mostrar los hallazgos suprimidos.

Una vez que haya iniciado la corrección de un hallazgo, puede hacer clic en la columna Estado de la corrección mientras se esté realizando la corrección In Progress o Failed para ir directamente a esa corrección en la página del historial de ejecuciones.

Filtre los hallazgos y las correcciones disponibles

Tanto en la página de resultados como en la del historial de ejecuciones, puede filtrar los datos que se muestran en la tabla por cualquiera de las columnas presentes en cada tabla correspondiente.

Por ejemplo, en la página Hallazgos, puede filtrar por tipo de búsqueda para buscar tipos específicos de hallazgos del AWS Security Hub (por ejemplo, Lambda.1 o Athena.4) haciendo clic en la barra de búsqueda y seleccionando Tipo de búsqueda.

nota

Los valores que se rellenan automáticamente en la barra de búsqueda no representan una lista completa de los datos disponibles. Los valores sugeridos para cada criterio de búsqueda solo representan los datos obtenidos y mostrados actualmente en la interfaz de usuario.

También puede combinar varios atributos en una sola búsqueda. Por ejemplo, puede aplicar el tipo de búsqueda y el identificador de recurso en la búsqueda para realizar una AND consulta lógica. Además, puede aplicar varios criterios de filtro iguales para realizar una OR búsqueda lógica, como Finding Type = Lambda.1 y Finding Type = Athena.4. Los mismos principios se aplican a la página del historial de ejecuciones

Autenticación y autorización en la interfaz de usuario web

La interfaz de usuario web de la solución está protegida mediante la autenticación proporcionada por Amazon Cognito. Cuando se implementa la solución, se aprovisionan y configuran un grupo de usuarios de Cognito, un cliente de aplicaciones de Cognito y un dominio de grupo de usuarios de Cognito junto con la interfaz de usuario web. A la dirección de correo electrónico proporcionada como parámetro de la pila de administradores se le asignan credenciales temporales y se le da acceso de administrador a la interfaz de usuario web.

Hay tres tipos de permisos que definen el acceso de un usuario a la interfaz de usuario web:

Tipo de permiso Nivel de acceso Caso de uso

Administrador

Control total en la interfaz de usuario web; puede ver todos los hallazgos y correcciones, ejecutar cualquier corrección y invite/view cualquier usuario.

Se asigna solo al usuario que implementó la pila de administración cuando proporcionó su dirección de correo electrónico durante CloudFormation la implementación.

Administrador delegado

Mayor control en la interfaz de usuario web; puede ver todos los hallazgos y soluciones, ejecutar cualquier corrección y los usuarios del operador de invite/view cuentas. No puede invitar ni ver a los administradores ni a los administradores delegados en la interfaz de usuario web.

El usuario administrador puede delegar el acceso a la solución invitando a los usuarios administradores delegados, quienes podrán ejecutar y gestionar cualquier solución.

Operador de cuentas

Control limitado en la interfaz de usuario web; está restringido a ver y corregir los hallazgos solo en las cuentas a las que están asociadas previa invitación. No puede invitar ni ver a usuarios adicionales.

Day-to-day usuarios que deberían tener acceso limitado para ejecutar correcciones en un subconjunto de cuentas integradas. Los administradores o administradores delegados son responsables de invitar a estos usuarios y definir su ámbito de aplicación.

Todos los usuarios deben ser invitados por un administrador o un administrador delegado antes de poder iniciar sesión en la interfaz de usuario web. Para invitar a más usuarios, un administrador o un administrador delegado pueden introducir su dirección de correo electrónico y su nivel de permiso en la página Invitar usuarios de la interfaz de usuario web.

Los administradores y los administradores delegados también pueden ver, gestionar y eliminar los usuarios existentes. Para ver una lista de todos los usuarios, vaya a la página Ver usuarios.

Para administrar un usuario existente, selecciónelo de la tabla y haga clic en Administrar usuario. A continuación, puede eliminar el usuario haciendo clic en Eliminar usuario. Si el usuario es un operador de cuentas, puede modificar la lista de cuentas de AWS a las IDs que tiene acceso en el contexto de la solución. Actualmente, no se admite cambiar el tipo de permiso de un usuario existente.

Tenga en cuenta que los administradores delegados solo pueden ver y administrar los usuarios del operador de la cuenta.

Integración con sistemas externos IdPs

Puede personalizar el mecanismo de autenticación que proporciona la solución para permitir a los usuarios iniciar sesión con su propio proveedor de identidad OIDC o SAML, como Okta o Microsoft Entra ID. Los siguientes pasos para la integración con dispositivos externos IdPs requieren acceso a la cuenta de AWS en la que se implementa la pila de administración.

importante

Aún así, se debe invitar a los usuarios antes de iniciar sesión con cualquier IdP externo que configure para que funcione con la solución. Además, la dirección de correo electrónico vinculada a su perfil de IdP debe coincidir con el correo electrónico proporcionado en la invitación.

Paso 1: Localice el grupo de usuarios de la solución

En la consola de Amazon Cognito, localice el grupo de usuarios de la solución denominado SO0111-ASR -. UserPool

Haga clic en el nombre del grupo de usuarios SO0111-ASR- para ir a la página de información general. UserPool Desde allí, seleccione Proveedores sociales y externos en la barra de navegación.

Paso 2: Agrega tu proveedor de identidad

En la página de proveedores sociales y externos, haz clic en el botón Añadir proveedor de identidad situado en la parte superior derecha.

Selecciona OIDC o SAML, según tu proveedor de identidad.

Una vez que selecciones el tipo de proveedor, se te pedirá que introduzcas la información sobre tu proveedor de identidad.

Rellene los siguientes campos para los proveedores de SAML:

  1. Nombre del proveedor: un nombre descriptivo para su proveedor

  2. Inicio de sesión SAML iniciado por el IdP: seleccione Require SP-initiated SAML assertions - Recommended

  3. Origen del documento de metadatos: seleccione Upload metadata document

  4. Documento de metadatos: cargue el documento de metadatos de SAML proporcionado por su IdP.

  5. En Asignar atributos entre tu proveedor de SAML y tu grupo de usuarios, haz clic en Añadir otro atributo. En el campo Atributo del grupo de usuarios, selecciona email una opción en el menú desplegable. En el caso del atributo SAML, introduce el nombre completo del atributo en el que se guarda la dirección de correo electrónico del usuario en tu proveedor de identidad SAML. Por ejemplo, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

  6. Haz clic en Añadir proveedor de identidad para guardar los cambios.

Rellene los siguientes campos para los proveedores de OIDC:

  1. Nombre del proveedor: un nombre descriptivo para su proveedor

  2. ID de cliente: introduzca el ID de cliente proporcionado por su proveedor de identidad de OpenID Connect.

  3. Secreto de cliente: introduzca el secreto de cliente proporcionado por el proveedor de identidad de OpenID Connect.

  4. Ámbitos autorizados: introduzca openid profile email

  5. Método de solicitud de atributos: seleccione GET o en POST función de la configuración de su proveedor de identidad.

  6. Método de configuración: seleccione Auto fill through issuer URL e introduzca la URL del emisor de su proveedor de OIDC. También puede introducir los valores manualmente.

  7. En Asignar atributos entre su proveedor de OpenID Connect y su grupo de usuarios, haga clic en Añadir otro atributo. En el campo Atributo de grupo de usuarios, selecciónelo email en el menú desplegable. Para el atributo OpenID Connect, introduzca el nombre completo del atributo donde se almacena la dirección de correo electrónico del usuario en su proveedor de identidad OIDC. Por ejemplo, email.

  8. Haga clic en Añadir proveedor de identidad para guardar los cambios.

importante

Debe añadir una asignación de atributos para el atributo del grupo de email usuarios, incluso si el nombre del atributo de su proveedor de identidad también lo esemail.

Paso 3: Añada su proveedor al App Client de la solución

Navegue a la página App Clients y seleccione el cliente denominado SO0111-ASR-WebUI -. UserPoolClient

Haga clic en la pestaña Páginas de inicio de sesión y, en la configuración de páginas de inicio de sesión administradas, haga clic en Editar.

En el campo Proveedores de identidad, agrega el proveedor de identidad que creaste en el paso anterior. Haga clic en Save Changes (Guardar cambios).

Paso 4: Configura tu proveedor de identidad

Para permitir que su proveedor de identidad se redirija a la interfaz de usuario web de la solución después de iniciar sesión, debe incluir lo siguiente URLs en la configuración de su IdP.

Según el tipo de proveedor, incluya en la lista una de las siguientes opciones de devolución de llamada: URLs

  1. URL de devolución de llamada de SAML: https://so0111-asr - .auth. <your-aws-account-id> <aws-region>.amazoncognito. com/saml2/idpresponse

  2. URL de devolución de llamada del OIDC: https://so0111-asr - .auth. <your-aws-account-id> <aws-region>.amazoncognito. com/oauth2/idpresponse

Debe <your-aws-account-id> sustituirlo por el ID de cuenta de AWS en el que implementó la pila de administración y <aws-region> por la región en la que implementó la pila de administración.

Paso 4: Compruebe la integración

Navegue hasta la página de inicio de sesión de la interfaz de usuario web. Confirme que su proveedor de identidad personalizado esté visible en la página de inicio de sesión.

Para probar la integración, invite a un nuevo usuario mediante la página Invitar usuarios. A continuación, asegúrese de que el usuario pueda autenticarse haciendo clic en su proveedor de identidad personalizado en la página de inicio de sesión de la interfaz de usuario web.

Tenga en cuenta que el perfil del usuario en su IDP personalizado debe estar vinculado a la misma dirección de correo electrónico proporcionada en su invitación. En otras palabras, la dirección de correo electrónico que figure en las solicitudes de su proveedor debe coincidir con la de la invitación.