Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Web UI UI Web solusi ini memungkinkan pengguna untuk memulihkan temuan AWS Security Hub dalam satu klik, melihat dan mengunduh remediasi sebelumnya, serta mendelegasikan akses ke solusi. **UI Web tidak diperlukan untuk menggunakan solusi; Anda juga dapat mengonfigurasi remediasi yang sepenuhnya otomatis untuk menghindari kebutuhan eksekusi manual, atau memanfaatkan konsol CSPM AWS Security Hub untuk memulai remediasi menggunakan tindakan kustom Remediate with ASR.** **catatan** Anda harus menyetel `ShouldDeployWebUI` parameter ke “yes” saat menerapkan tumpukan Admin untuk menggunakan UI Web solusi. ## Cara kerjanya Antarmuka Pengguna Web solusinya adalah Aplikasi Web Satu Halaman yang dihosting di akun Anda oleh Amazon S3 dan didistribusikan oleh Amazon. CloudFront Solusinya juga menerapkan REST API menggunakan API Gateway untuk mendukung operasi di UI Web. Saat tumpukan Admin diterapkan, fungsi Lambda solusi mulai memuat semua temuan AWS Security Hub yang didukung oleh solusi yang ada di akun Admin Anda ke DynamoDB. Setelah ini selesai, Temuan yang disajikan di UI Web tetap sinkron dengan Security Hub hampir real-time berkat EventBridge aturan yang diterapkan oleh solusi. Setiap minggu, fungsi Lambda solusi dipicu untuk menyegarkan tabel DynamoDB yang menyimpan temuan AWS Security Hub yang ditampilkan di UI Web. Ini memastikan bahwa data basi dibersihkan dan tabel DynamoDB kami disimpan.. up-to-date Jika Anda ingin mengonfigurasi baseline ini agar berjalan lebih atau kurang sering, ubah EventBridge Aturan bernama yang `SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule` terletak di akun Admin Anda di wilayah yang sama tempat Anda menerapkan solusi. ## Jalankan remediasi langsung di UI Web ![halaman temuan ui web](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/web-ui-findings-page.png) Pada halaman **Temuan**, pengguna Admin atau Admin Delegasi dapat melihat semua temuan AWS Security Hub yang didukung oleh solusi untuk remediasi. Ini termasuk temuan untuk akun anggota Security Hub yang terhubung dengan akun utama Security Hub. Jika solusi juga diterapkan di wilayah agregasi, maka temuan di wilayah onboard mana pun juga akan ditampilkan. Untuk melihat daftar temuan yang didukung oleh solusi, lihat [bagian buku pedoman](playbooks-1.md). Pengguna Operator Akun hanya akan dapat melihat temuan yang berasal dari Akun AWS yang dapat mereka akses sebagaimana didefinisikan dalam undangan mereka. Selain itu, mereka hanya akan dapat menjalankan remediasi untuk sumber daya di akun yang terkait dengannya. Untuk menjalankan remediasi, pilih sejumlah item dalam tabel dan klik **Tindakan > Remediasi**. Anda juga dapat **menekan** temuan dengan mengklik **Tindakan > Menekan**, yang menyembunyikan temuan yang dipilih dari tampilan default. Anda dapat melihat temuan yang ditekan kapan saja dengan mengklik **sakelar Tampilkan temuan yang ditekan**. **Setelah Anda memulai remediasi untuk temuan, Anda dapat mengklik kolom **Status Remediasi saat remediasi** dilakukan `In Progress` atau akan dibawa langsung `Failed` ke remediasi tersebut di halaman Riwayat Eksekusi.** ## Filter temuan dan remediasi yang tersedia Pada halaman **Temuan** dan **Riwayat Eksekusi**, Anda dapat memfilter data yang ditampilkan dalam tabel oleh salah satu kolom yang ada di setiap tabel masing-masing. **Misalnya, pada halaman **Temuan**, Anda dapat memfilter pada Jenis Pencarian untuk **mencari jenis** temuan AWS Security Hub tertentu (misalnya Lambda.1 atau Athena.4) dengan mengklik bilah pencarian dan memilih Jenis Pencarian.** **catatan** Nilai yang terisi otomatis di bilah pencarian tidak mewakili daftar lengkap data yang tersedia. Nilai yang disarankan untuk setiap kriteria pencarian hanya mewakili data yang saat ini diambil dan ditampilkan di UI. Anda juga dapat menggabungkan beberapa atribut dalam satu pencarian. Misalnya, Anda dapat menerapkan **Finding Type** dan **Resource ID** dalam pencarian Anda untuk melakukan `AND` kueri logis. Selain itu, Anda dapat menerapkan beberapa kriteria filter yang sama untuk melakukan `OR` pencarian logis, seperti **Finding Type = Lambda.1 dan **Finding** Type = Athena.4**. Prinsip yang sama berlaku untuk halaman **Riwayat Eksekusi** ## Otentikasi & Otorisasi di UI Web UI Web solusi dilindungi oleh otentikasi yang disediakan oleh Amazon Cognito. Saat solusi diterapkan, Kumpulan Pengguna Cognito, Klien Aplikasi Cognito, dan Domain Kumpulan Pengguna Cognito disediakan dan dikonfigurasi bersama UI Web. Alamat email yang disediakan sebagai parameter ke tumpukan Admin diberi kredenal sementara dan diberikan akses Administrator ke UI Web. Ada tiga jenis izin yang menentukan akses pengguna ke UI Web: | Jenis Izin | Tingkat Akses | Kasus Penggunaan | | --- | --- | --- | | Admin | Kontrol penuh di UI Web; Dapat melihat semua temuan dan remediasi, menjalankan remediasi apa pun, dan pengguna invite/view mana pun. | Ditugaskan hanya untuk pengguna yang menerapkan tumpukan Admin saat mereka memberikan alamat email mereka selama CloudFormation penerapan. | | Admin yang didelegasikan | Peningkatan kontrol di UI Web; Dapat melihat semua temuan dan remediasi, menjalankan remediasi apa pun, dan pengguna Operator invite/view Akun. Tidak dapat mengundang atau melihat Admin dan Admin Delegasi di UI Web. | Pengguna Admin dapat mendelegasikan akses ke solusi dengan mengundang pengguna Admin Delegasi, yang akan dapat menjalankan dan mengelola perbaikan apa pun. | | Operator Akun | Kontrol terbatas di UI Web; Dibatasi untuk melihat dan memulihkan temuan hanya di akun yang terkait dengannya saat diundang. Tidak dapat mengundang atau melihat pengguna tambahan. | Day-to-day pengguna yang seharusnya memiliki akses terbatas untuk menjalankan remediasi dalam subset akun onboard. Admin atau Admin Delegasi bertanggung jawab untuk mengundang pengguna ini dan menentukan ruang lingkup mereka. | Semua pengguna harus diundang oleh Admin atau Admin Delegasi sebelum mereka dapat masuk ke UI Web. Untuk mengundang pengguna tambahan, Admin atau Admin Delegasi dapat memasukkan alamat email dan tingkat izin mereka di halaman **Undang Pengguna** UI Web. Admin dan Admin Delegasi juga dapat melihat, mengelola, dan menghapus pengguna yang ada. Untuk melihat daftar semua pengguna, navigasikan ke halaman **Lihat Pengguna**. Untuk mengelola pengguna yang ada, pilih pengguna dari tabel dan klik **Kelola Pengguna**. Anda kemudian dapat menghapus pengguna dengan mengklik **Hapus Pengguna**. Jika pengguna adalah Operator Akun, Anda dapat mengubah daftar Akun AWS yang dapat IDs mereka akses dalam konteks solusi. Mengubah jenis izin untuk pengguna yang ada saat ini tidak didukung. Harap dicatat bahwa Admin Delegasi hanya dapat melihat dan mengelola pengguna Operator Akun. ## Integrasi dengan eksternal IdPs Anda dapat menyesuaikan mekanisme otentikasi yang disediakan oleh solusi untuk memungkinkan pengguna masuk menggunakan penyedia identitas OIDC atau SAMP Anda sendiri, seperti Okta atau Microsoft Entra ID. Langkah-langkah berikut untuk mengintegrasikan dengan eksternal IdPs memerlukan akses ke Akun AWS tempat tumpukan Admin diterapkan. **penting** Pengguna harus tetap diundang sebelum masuk menggunakan IDP eksternal yang Anda konfigurasikan untuk bekerja dengan solusi. Selain itu, alamat email yang ditautkan ke profil IDP mereka harus sesuai dengan email yang diberikan dalam undangan mereka. ### Langkah 1 - Temukan kumpulan pengguna solusi Di konsol Amazon Cognito, cari kumpulan pengguna solusi bernama **SO0111-ASR** -. UserPool **Klik nama kumpulan pengguna **SO0111-ASR- UserPool** untuk dibawa ke halaman ikhtisar.** Dari sana, pilih **Penyedia sosial dan eksternal** dari bilah navigasi. ### Langkah 2 - Tambahkan penyedia identitas Anda Pada halaman **penyedia sosial dan eksternal**, klik tombol **Tambahkan penyedia identitas** di kanan atas. Pilih **OIDC** atau **SAMP**, tergantung pada penyedia identitas Anda. Setelah Anda memilih jenis penyedia Anda, Anda akan diminta untuk memasukkan informasi tentang penyedia identitas Anda. Isi kolom berikut untuk penyedia **SAMP**: 1. **Nama penyedia: Nama** yang ramah untuk penyedia Anda 1. Masuk SAMP yang **diprakarsai IDP: Pilih** `Require SP-initiated SAML assertions - Recommended` 1. **Sumber dokumen metadata**: Pilih `Upload metadata document` 1. Dokumen **metadata: Unggah dokumen** metadata SAMP Anda yang disediakan oleh iDP Anda. 1. Di bawah **atribut Peta antara penyedia SAMP Anda dan kumpulan pengguna Anda** klik **Tambahkan atribut lain**. Untuk **atribut User pool** pilih `email` dari dropdown. Untuk **atribut SAMP**, masukkan nama lengkap atribut tempat alamat email pengguna disimpan di penyedia identitas SAMP Anda. Misalnya, `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`. 1. Klik **Tambahkan penyedia identitas** untuk menyimpan perubahan Anda. Isi kolom berikut untuk penyedia **OIDC**: 1. **Nama penyedia: Nama** yang ramah untuk penyedia Anda 1. **ID Klien**: Masukkan ID klien yang disediakan oleh penyedia identitas OpenID Connect Anda. 1. **Rahasia klien**: Masukkan rahasia klien yang disediakan oleh penyedia identitas OpenID Connect. 1. **Cakupan resmi: Enter** `openid profile email` 1. **Metode permintaan atribut**: Pilih `GET` atau `POST` berdasarkan konfigurasi penyedia identitas Anda. 1. **Metode penyiapan**: Pilih `Auto fill through issuer URL` dan masukkan **URL Penerbit dari penyedia** OIDC Anda. Atau, masukkan nilai secara manual. 1. Di bawah **atribut Map antara penyedia OpenID Connect dan kumpulan pengguna Anda**, klik **Tambahkan atribut lain**. Untuk **atribut User pool** pilih `email` dari dropdown. Untuk **atribut OpenID Connect**, masukkan nama lengkap atribut tempat alamat email pengguna disimpan di penyedia identitas OIDC Anda. Misalnya, `email`. 1. Klik **Tambahkan penyedia identitas** untuk menyimpan perubahan Anda. **penting** Anda harus menambahkan pemetaan atribut untuk atribut kumpulan `email` pengguna, meskipun nama atribut penyedia identitas Anda juga`email`. ### Langkah 3 - Tambahkan penyedia Anda ke Klien Aplikasi solusi Arahkan ke halaman **Klien Aplikasi dan pilih klien** bernama **SO0111-ASR-WebUI** -. UserPoolClient Klik tab **Halaman Login** dan di bawah **Konfigurasi halaman login terkelola** klik **Edit**. Di bidang **Penyedia identitas**, tambahkan penyedia identitas yang Anda buat di langkah sebelumnya. Klik **Simpan perubahan**. ### Langkah 4 - Konfigurasikan penyedia identitas Anda Untuk mengizinkan penyedia identitas Anda mengalihkan ke UI Web solusi setelah login, Anda harus mengizinkan daftar berikut ini URLs dalam konfigurasi iDP Anda. Bergantung pada jenis penyedia Anda, izinkan daftar salah satu Callback URLs berikut: 1. URL Panggilan Balik SAMP: https://so0111-asr - {{}} .auth. {{}}.amazoncognito. com/saml2/idpresponse 1. URL Panggilan Balik OIDC: https://so0111-asr - .auth. {{}} {{}}.amazoncognito. com/oauth2/idpresponse Anda harus mengganti `` dengan AWS Account ID tempat Anda menerapkan tumpukan Admin, dan `` dengan wilayah tempat Anda menerapkan tumpukan Admin. ### Langkah 4 - Verifikasi integrasi Anda Arahkan ke halaman login UI Web. Konfirmasikan bahwa penyedia identitas kustom Anda terlihat di halaman login. Untuk menguji integrasi, undang pengguna baru menggunakan halaman **Undang Pengguna**. Kemudian, pastikan pengguna dapat mengautentikasi dengan mengklik penyedia identitas kustom Anda di halaman login UI Web. Harap dicatat bahwa profil pengguna di iDP kustom Anda harus ditautkan ke alamat email yang sama yang diberikan dalam undangan mereka. Dengan kata lain, alamat email dalam klaim penyedia Anda harus sesuai dengan undangan.