View a markdown version of this page

Interfaccia utente Web - Risposta di sicurezza automatizzata su AWS
Come funzionaEsegui le riparazioni direttamente nell'interfaccia utente WebFiltra i risultati e le correzioni disponibiliAutenticazione e autorizzazione nell'interfaccia utente WebIntegrazione con sistemi esterni IdPs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Interfaccia utente Web

L'interfaccia utente Web della soluzione consente agli utenti di correggere i risultati di AWS Security Hub con un clic, visualizzare e scaricare le correzioni precedenti e delegare l'accesso alla soluzione.

L'interfaccia utente Web non è necessaria per utilizzare la soluzione; in alternativa, puoi configurare riparazioni completamente automatizzate per evitare la necessità di un'esecuzione manuale o sfruttare la console AWS Security Hub CSPM per avviare le riparazioni utilizzando l'azione personalizzata Remediate with ASR.

Nota

È necessario impostare il ShouldDeployWebUI parametro su «yes» quando si distribuisce lo stack di amministrazione per utilizzare l'interfaccia utente Web della soluzione.

Come funziona

L'interfaccia utente Web della soluzione è un'applicazione Web a pagina singola ospitata nel tuo account da Amazon S3 e distribuita da Amazon. CloudFront La soluzione implementa anche un'API REST utilizzando API Gateway per supportare le operazioni nell'interfaccia utente Web.

Quando lo stack di amministrazione viene distribuito, le funzioni Lambda della soluzione iniziano a caricare in DynamoDB tutti i risultati di AWS Security Hub supportati dalla soluzione presenti nell'account di amministrazione. Una volta completato, i risultati presentati nell'interfaccia utente Web vengono mantenuti sincronizzati con Security Hub quasi in tempo reale grazie alle EventBridge regole implementate dalla soluzione.

Ogni settimana, le funzioni Lambda della soluzione vengono attivate per aggiornare la tabella DynamoDB che memorizza i risultati di AWS Security Hub visualizzati nell'interfaccia utente Web. Ciò garantisce che i dati obsoleti vengano ripuliti e che le nostre tabelle DynamoDB vengano mantenute. up-to-date Se desideri configurare questa linea di base in modo che venga eseguita più o meno spesso, modifica la EventBridge regola denominata che SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule si trova nel tuo account di amministratore nella stessa regione in cui hai distribuito la soluzione.

Esegui le riparazioni direttamente nell'interfaccia utente Web

pagina dei risultati dell'interfaccia utente web

Nella pagina Findings, gli utenti Admin o Delegated Admin possono visualizzare tutti i risultati di AWS Security Hub supportati dalla soluzione per la correzione. Ciò include i risultati relativi agli account dei membri di Security Hub registrati con l'account primario di Security Hub. Se la soluzione viene implementata anche nella regione di aggregazione, verranno visualizzati anche i risultati in qualsiasi regione integrata. Per visualizzare l'elenco dei risultati supportati dalla soluzione, consulta la sezione playbook.

Gli utenti di Account Operator saranno in grado di visualizzare solo i risultati che provengono dagli account AWS a cui hanno accesso come definito nel loro invito. Inoltre, saranno in grado di eseguire riparazioni solo per le risorse negli account a cui sono associati.

Per eseguire le riparazioni, seleziona un numero qualsiasi di elementi nella tabella e fai clic su Azioni > Ripara. Puoi anche sopprimere i risultati facendo clic su Azioni > Sopprimi, che nasconde i risultati selezionati dalla visualizzazione predefinita. È possibile visualizzare i risultati soppressi in qualsiasi momento facendo clic sull'interruttore Mostra risultati soppressi.

Una volta avviata la correzione di un risultato, è possibile fare clic sulla colonna Stato della riparazione mentre è in corso la correzione In Progress o passare direttamente Failed alla correzione desiderata nella pagina Cronologia di esecuzione.

Filtra i risultati e le correzioni disponibili

In entrambe le pagine Findings e Execution History, puoi filtrare i dati visualizzati nella tabella in base a una qualsiasi delle colonne presenti in ogni rispettiva tabella.

Ad esempio, nella pagina Findings, puoi filtrare in base a Finding Type per cercare tipi specifici di risultati di AWS Security Hub (ad esempio Lambda.1 o Athena.4) facendo clic sulla barra di ricerca e selezionando Finding Type.

Nota

I valori compilati automaticamente nella barra di ricerca non rappresentano un elenco completo di dati disponibili. I valori suggeriti per ogni criterio di ricerca rappresentano solo i dati attualmente recuperati e visualizzati nell'interfaccia utente.

Puoi anche combinare più attributi in un'unica ricerca. Ad esempio, puoi applicare sia Finding Type che Resource ID nella ricerca per eseguire una AND query logica. Inoltre, puoi applicare più criteri di filtro uguali per eseguire una OR ricerca logica, ad esempio Finding Type = Lambda.1 e Finding Type = Athena.4. Gli stessi principi si applicano alla pagina Cronologia delle esecuzioni

Autenticazione e autorizzazione nell'interfaccia utente Web

L'interfaccia utente Web della soluzione è protetta dall'autenticazione fornita da Amazon Cognito. Quando la soluzione viene implementata, vengono forniti e configurati un pool di utenti Cognito, un client app Cognito e un dominio del pool di utenti Cognito insieme all'interfaccia utente Web. All'indirizzo e-mail fornito come parametro per lo stack di amministrazione vengono assegnate credenziali temporanee e viene concesso l'accesso come amministratore all'interfaccia utente Web.

Esistono tre tipi di autorizzazione che definiscono l'accesso di un utente all'interfaccia utente Web:

Tipo di autorizzazione Livello di accesso Caso d'uso

Admin

Controllo completo nell'interfaccia utente Web; può visualizzare tutti i risultati e le correzioni, eseguire qualsiasi riparazione e invite/view qualsiasi utente.

Assegnato solo all'utente che ha distribuito lo stack di amministrazione quando fornisce il proprio indirizzo e-mail durante la distribuzione. CloudFormation

Amministratore delegato

Controllo elevato nell'interfaccia utente Web; può visualizzare tutti i risultati e le correzioni, eseguire qualsiasi riparazione e gli utenti di Account Operator. invite/view Non è possibile invitare o visualizzare amministratori e amministratori delegati nell'interfaccia utente Web.

L'utente amministratore può delegare l'accesso alla soluzione invitando gli utenti amministratori delegati, che saranno in grado di eseguire e gestire eventuali riparazioni.

Operatore dell'account

Controllo limitato nell'interfaccia utente Web; limitato alla visualizzazione e alla correzione dei risultati solo negli account a cui sono associati su invito. Non è possibile invitare o visualizzare altri utenti.

Day-to-day utenti che dovrebbero avere un accesso limitato all'esecuzione delle riparazioni in un sottoinsieme di account registrati. Gli amministratori o gli amministratori delegati hanno la responsabilità di invitare questi utenti e definirne l'ambito.

Tutti gli utenti devono essere invitati da un amministratore o da un amministratore delegato prima di poter accedere all'interfaccia utente Web. Per invitare altri utenti, un amministratore o un amministratore delegato può inserire il proprio indirizzo e-mail e il livello di autorizzazione nella pagina Invita utenti dell'interfaccia utente Web.

Gli amministratori e gli amministratori delegati possono anche visualizzare, gestire ed eliminare gli utenti esistenti. Per visualizzare un elenco di tutti gli utenti, vai alla pagina Visualizza utenti.

Per gestire un utente esistente, selezionate l'utente dalla tabella e fate clic su Gestisci utente. È quindi possibile eliminare l'utente facendo clic su Elimina utente. Se l'utente è un Account Operator, puoi modificare l'elenco degli account AWS a IDs cui ha accesso nel contesto della soluzione. La modifica del tipo di autorizzazione per un utente esistente non è attualmente supportata.

Tieni presente che gli amministratori delegati possono solo visualizzare e gestire gli utenti dell'Account Operator.

Integrazione con sistemi esterni IdPs

Puoi personalizzare il meccanismo di autenticazione fornito dalla soluzione per consentire agli utenti di accedere utilizzando il tuo provider di identità OIDC o SAML, come Okta o Microsoft Entra ID. I seguenti passaggi per l'integrazione con dispositivi esterni IdPs richiedono l'accesso all'account AWS in cui è distribuito lo stack di amministrazione.

Importante

Gli utenti devono comunque essere invitati prima di accedere utilizzando qualsiasi IdP esterno configurato per utilizzare la soluzione. Inoltre, l'indirizzo e-mail collegato al profilo IdP deve corrispondere all'indirizzo e-mail fornito nell'invito.

Fase 1: Individua il pool di utenti della soluzione

Nella console Amazon Cognito, individua il pool di utenti della soluzione denominato SO0111-ASR -. UserPool

Fai clic sul nome del pool di utenti SO0111-ASR - per accedere alla pagina di panoramica. UserPool Da lì, seleziona Social e provider esterni dalla barra di navigazione.

Passaggio 2: aggiungi il tuo provider di identità

Nella pagina Social e provider esterni, fai clic sul pulsante Aggiungi provider di identità in alto a destra.

Seleziona OIDC o SAML, a seconda del tuo provider di identità.

Dopo aver selezionato il tipo di provider, ti verrà richiesto di inserire le informazioni sul tuo provider di identità.

Compila i seguenti campi per i provider SAML:

  1. Nome del provider: un nome descrittivo per il tuo provider

  2. Accesso SAML avviato da IdP: Seleziona Require SP-initiated SAML assertions - Recommended

  3. Origine del documento con metadati: Seleziona Upload metadata document

  4. Documento di metadati: carica il documento di metadati SAML fornito dal tuo IdP.

  5. In Mappa gli attributi tra il provider SAML e il pool di utenti, fai clic su Aggiungi un altro attributo. Per l'attributo del pool di utenti, seleziona email dal menu a discesa. Per l'attributo SAML, inserisci il nome completo dell'attributo in cui è memorizzato l'indirizzo e-mail dell'utente nel tuo provider di identità SAML. Ad esempio, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

  6. Fai clic su Aggiungi provider di identità per salvare le modifiche.

Compila i seguenti campi per i provider OIDC:

  1. Nome del provider: un nome descrittivo per il tuo provider

  2. ID client: inserisci l'ID client fornito dal tuo provider di identità OpenID Connect.

  3. Segreto client: inserisci il segreto del client fornito dal provider di identità OpenID Connect.

  4. Ambiti autorizzati: Inserisci openid profile email

  5. Metodo di richiesta degli attributi: selezionato GET o POST in base alla configurazione del provider di identità.

  6. Metodo di configurazione: seleziona Auto fill through issuer URL e inserisci l'URL dell'emittente dal tuo provider OIDC. In alternativa, inserisci i valori manualmente.

  7. In Map attributes tra il provider OpenID Connect e il pool di utenti, fai clic su Aggiungi un altro attributo. Per l'attributo User pool, seleziona email dal menu a discesa. Per l'attributo OpenID Connect, inserisci il nome completo dell'attributo in cui è memorizzato l'indirizzo e-mail dell'utente nel tuo provider di identità OIDC. Ad esempio, email.

  8. Fai clic su Aggiungi provider di identità per salvare le modifiche.

Importante

È necessario aggiungere una mappatura degli attributi per l'attributo del pool di email utenti, anche se lo è anche email il nome dell'attributo del provider di identità.

Fase 3: aggiungere il provider all'App Client della soluzione

Vai alla pagina App Clients e seleziona il client denominato SO0111-ASR-WebUI -. UserPoolClient

Fai clic sulla scheda Pagine di accesso e in Configurazione delle pagine di accesso gestite fai clic su Modifica.

Nel campo Provider di identità, aggiungi il provider di identità che hai creato nel passaggio precedente. Fai clic su Salva modifiche.

Passaggio 4: configura il tuo provider di identità

Per consentire al provider di identità di reindirizzare all'interfaccia utente Web della soluzione dopo l'accesso, è necessario elencare quanto segue URLs nella configurazione IdP.

A seconda del tipo di provider, consenti una delle seguenti callback: URLs

  1. URL di callback SAML: https://so0111-asr - .auth. <your-aws-account-id> <aws-region>.amazoncognito. com/saml2/idpresponse

  2. URL di richiamata OIDC: https://so0111-asr - .auth. <your-aws-account-id> <aws-region>.amazoncognito. com/oauth2/idpresponse

Dovresti sostituirlo <your-aws-account-id> con l'ID dell'account AWS in cui hai distribuito lo stack di amministrazione e <aws-region> con la regione in cui hai distribuito lo stack di amministrazione.

Fase 4: verifica l'integrazione

Vai alla pagina di accesso all'interfaccia utente Web. Verifica che il tuo provider di identità personalizzato sia visibile nella pagina di accesso.

Per testare l'integrazione, invita un nuovo utente utilizzando la pagina Invita utenti. Quindi, assicurati che l'utente possa autenticarsi facendo clic sul tuo provider di identità personalizzato nella pagina di accesso all'interfaccia utente Web.

Tieni presente che il profilo dell'utente nel tuo IdP personalizzato deve essere collegato allo stesso indirizzo email fornito nell'invito. In altre parole, l'indirizzo e-mail indicato nei reclami del tuo provider deve corrispondere all'invito.