View a markdown version of this page

Interface do usuário da Web - Resposta de segurança automatizada na AWS
Como funcionaExecute correções diretamente na interface do usuário da WebFiltrar descobertas e remediações disponíveisAutenticação e autorização na interface de usuário da WebIntegração com o externo IdPs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Interface do usuário da Web

A interface de usuário da Web da solução permite que os usuários corrijam as descobertas do AWS Security Hub com um clique, visualizem e baixem as remediações anteriores e deleguem acesso à solução.

A interface de usuário da Web não é necessária para usar a solução; como alternativa, você pode configurar remediações totalmente automatizadas para evitar a necessidade de execução manual ou aproveitar o console CSPM do AWS Security Hub para iniciar as remediações usando a ação personalizada Remediate with ASR.

nota

Você deve definir o ShouldDeployWebUI parâmetro como “sim” ao implantar a pilha Admin para usar a interface de usuário da Web da solução.

Como funciona

A interface de usuário da web da solução é um aplicativo web de página única hospedado em sua conta pelo Amazon S3 e distribuído pela Amazon. CloudFront A solução também implanta uma API REST usando o API Gateway para dar suporte às operações na interface de usuário da Web.

Quando a pilha de administração é implantada, as funções Lambda da solução começam a carregar todas as descobertas do AWS Security Hub suportadas pela solução que estão presentes em sua conta de administrador no DynamoDB. Quando isso for concluído, as descobertas apresentadas na interface do usuário da Web são mantidas sincronizadas com o Security Hub quase em tempo real, graças às EventBridge regras implantadas pela solução.

Toda semana, as funções Lambda da solução são acionadas para atualizar a tabela do DynamoDB que armazena as descobertas do AWS Security Hub exibidas na interface do usuário da Web. Isso garante que os dados obsoletos sejam limpos e que nossas tabelas do DynamoDB sejam mantidas. up-to-date Se você quiser configurar essa linha de base para ser executada com mais ou menos frequência, modifique a EventBridge regra chamada SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule localizada na sua conta de administrador na mesma região em que você implantou a solução.

Execute correções diretamente na interface do usuário da Web

página de descobertas da interface do usuário da web

Na página Descobertas, usuários administradores ou administradores delegados podem ver todas as descobertas do AWS Security Hub suportadas pela solução para remediação. Isso inclui descobertas de contas de membros do Security Hub integradas à conta principal do Security Hub. Se a solução também for implantada na região de agregação, as descobertas em qualquer região integrada também serão exibidas. Para ver a lista de descobertas suportadas pela solução, consulte a seção de manuais.

Os usuários do operador de conta só poderão visualizar as descobertas originadas nas contas da AWS às quais eles têm acesso, conforme definido no convite. Além disso, eles só poderão executar correções para recursos nas contas às quais estão associados.

Para executar correções, selecione qualquer número de itens na tabela e clique em Ações > Remediar. Você também pode suprimir descobertas clicando em Ações > Suprimir, o que oculta as descobertas selecionadas da visualização padrão. Você pode visualizar descobertas suprimidas a qualquer momento clicando no botão Mostrar descobertas suprimidas.

Depois de iniciar a remediação de uma descoberta, você pode clicar na coluna Status da Remediação enquanto a remediação está In Progress ou deve ser levada diretamente Failed para aquela remediação na página Histórico de Execução.

Filtrar descobertas e remediações disponíveis

Nas páginas Descobertas e Histórico de Execução, você pode filtrar os dados exibidos na tabela por qualquer uma das colunas presentes em cada tabela respectiva.

Por exemplo, na página Findings, você pode filtrar por Finding Type para pesquisar tipos específicos de descobertas do AWS Security Hub (por exemplo, Lambda.1 ou Athena.4) clicando na barra de pesquisa e selecionando Finding Type.

nota

Os valores preenchidos automaticamente na barra de pesquisa não representam uma lista abrangente dos dados disponíveis. Os valores sugeridos para cada critério de pesquisa representam apenas os dados atualmente buscados e exibidos na interface do usuário.

Você também pode combinar vários atributos em uma única pesquisa. Por exemplo, você pode aplicar o Tipo de descoberta e o ID do recurso em sua pesquisa para realizar uma AND consulta lógica. Além disso, você pode aplicar vários dos mesmos critérios de filtro para realizar uma OR pesquisa lógica, como Finding Type = Lambda.1 e Finding Type = Athena.4. Os mesmos princípios se aplicam à página Histórico de Execução

Autenticação e autorização na interface de usuário da Web

A interface de usuário da Web da solução é protegida pela autenticação fornecida pelo Amazon Cognito. Quando a solução é implantada, um grupo de usuários do Cognito, um cliente do aplicativo Cognito e um domínio do grupo de usuários do Cognito são provisionados e configurados junto com a interface do usuário da Web. O endereço de e-mail fornecido como parâmetro para a pilha Admin recebe credenciais temporárias e recebe acesso de administrador à interface do usuário da Web.

Há três tipos de permissão que definem o acesso de um usuário à interface do usuário da Web:

Tipo de permissão Nível de acesso Caso de uso

Administrador

Controle total na interface do usuário da Web; pode visualizar todas as descobertas e remediações, executar qualquer remediação e invite/view qualquer usuário.

Atribuído somente ao usuário que implantou a pilha de administração quando ele fornece seu endereço de e-mail durante a CloudFormation implantação.

Administrador delegado

Controle elevado na interface do usuário da Web; pode visualizar todas as descobertas e remediações, executar qualquer remediação e os usuários do operador de invite/view conta. Não é possível convidar ou visualizar administradores e administradores delegados na interface do usuário da Web.

O usuário administrador pode delegar acesso à solução convidando usuários administradores delegados, que poderão executar e gerenciar quaisquer correções.

Operador de conta

Controle limitado na interface do usuário da Web; restrito a visualizar e corrigir descobertas somente nas contas às quais estão associadas mediante convite. Não é possível convidar ou ver usuários adicionais.

Day-to-day usuários que deveriam ter acesso limitado para executar correções em um subconjunto de contas integradas. Os administradores ou administradores delegados são responsáveis por convidar esses usuários e definir seu escopo.

Todos os usuários devem ser convidados por um administrador ou administrador delegado antes de poderem entrar na interface de usuário da Web. Para convidar usuários adicionais, um administrador ou administrador delegado pode inserir seu endereço de e-mail e nível de permissão na página Convidar usuários da interface do usuário da Web.

Administradores e administradores delegados também podem visualizar, gerenciar e excluir usuários existentes. Para ver uma lista de todos os usuários, navegue até a página Exibir usuários.

Para gerenciar um usuário existente, selecione o usuário na tabela e clique em Gerenciar usuário. Em seguida, você pode excluir o usuário clicando em Excluir usuário. Se o usuário for um operador de conta, você poderá modificar a lista de contas da AWS às IDs quais ele tem acesso no contexto da solução. Atualmente, não há suporte para alterar o tipo de permissão de um usuário existente.

Observe que os administradores delegados só podem visualizar e gerenciar usuários do Operador de Conta.

Integração com o externo IdPs

Você pode personalizar o mecanismo de autenticação fornecido pela solução para permitir que os usuários façam login usando seu próprio provedor de identidade OIDC ou SAML, como Okta ou Microsoft Entra ID. As etapas a seguir para integração com o externo IdPs exigem acesso à conta da AWS em que a pilha de administração está implantada.

Importante

Os usuários ainda devem ser convidados antes de fazer login usando qualquer IdP externo configurado para trabalhar com a solução. Além disso, o endereço de e-mail vinculado ao perfil do IdP deve corresponder ao e-mail fornecido no convite.

Etapa 1 - Localize o grupo de usuários da solução

No console do Amazon Cognito, localize o grupo de usuários da solução chamado SO0111-ASR -. UserPool

Clique no nome do grupo de usuários SO0111-ASR- UserPool para acessar a página de visão geral. A partir daí, selecione Provedores sociais e externos na barra de navegação.

Etapa 2 - Adicione seu provedor de identidade

Na página Provedores sociais e externos, clique no botão Adicionar provedor de identidade no canto superior direito.

Selecione OIDC ou SAML, dependendo do seu provedor de identidade.

Depois de selecionar seu tipo de provedor, você será solicitado a inserir informações sobre seu provedor de identidade.

Preencha os seguintes campos para provedores de SAML:

  1. Nome do provedor: um nome amigável para seu provedor

  2. Login com SAML iniciado pelo IdP: Selecione Require SP-initiated SAML assertions - Recommended

  3. Fonte do documento de metadados: Selecionar Upload metadata document

  4. Documento de metadados: faça o upload do documento de metadados SAML fornecido pelo seu IdP.

  5. Em Mapear atributos entre seu provedor de SAML e seu grupo de usuários, clique em Adicionar outro atributo. Para o atributo do grupo de usuários, email selecione no menu suspenso. Para o atributo SAML, insira o nome completo do atributo em que o endereço de e-mail do usuário está armazenado no seu provedor de identidade SAML. Por exemplo, .http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  6. Clique em Adicionar provedor de identidade para salvar suas alterações.

Preencha os seguintes campos para fornecedores do OIDC:

  1. Nome do provedor: um nome amigável para seu provedor

  2. ID do cliente: insira o ID do cliente fornecido pelo seu provedor de identidade do OpenID Connect.

  3. Segredo do cliente: insira o segredo do cliente fornecido pelo provedor de identidade do OpenID Connect.

  4. Escopos autorizados: Enter openid profile email

  5. Método de solicitação de atributo: selecione GET ou POST com base na configuração do seu provedor de identidade.

  6. Método de configuração: selecione Auto fill through issuer URL e insira o URL do emissor do seu provedor OIDC. Como alternativa, insira os valores manualmente.

  7. Em Mapear atributos entre seu provedor do OpenID Connect e seu grupo de usuários, clique em Adicionar outro atributo. Para o atributo do grupo de usuários, email selecione no menu suspenso. Para o atributo OpenID Connect, insira o nome completo do atributo em que o endereço de e-mail do usuário está armazenado no seu provedor de identidade OIDC. Por exemplo, .email

  8. Clique em Adicionar provedor de identidade para salvar suas alterações.

Importante

Você deve adicionar um mapeamento de atributos para o atributo email do grupo de usuários, mesmo que o nome do atributo do seu provedor de identidade também sejaemail.

Etapa 3 - Adicione seu provedor ao App Client da solução

Navegue até a página App Clients e selecione o cliente chamado SO0111-ASR-Webui -. UserPoolClient

Clique na guia Páginas de login e, em Configuração de páginas de login gerenciadas, clique em Editar.

No campo Provedores de identidade, adicione o provedor de identidade que você criou na etapa anterior. Clique em Salvar alterações

Etapa 4 - Configurar seu provedor de identidade

Para permitir que seu provedor de identidade redirecione para a interface de usuário da Web da solução após o login, você deve incluir na lista de permissões o seguinte URLs na configuração do IdP.

Dependendo do tipo do seu provedor, liste um dos seguintes retornos de chamada URLs:

  1. URL de retorno de chamada do SAML: https://so0111-asr - <your-aws-account-id> .auth. <aws-region>.amazoncognito. com/saml2/idpresponse

  2. URL de retorno de chamada do OIDC: https://so0111-asr - .auth. <your-aws-account-id> <aws-region>.amazoncognito. com/oauth2/idpresponse

Você deve <your-aws-account-id> substituir pelo ID da conta da AWS em que você implantou a pilha de administração e <aws-region> pela região em que você implantou a pilha de administração.

Etapa 4 - Verifique sua integração

Navegue até a página de login da Web UI. Confirme se seu provedor de identidade personalizado está visível na página de login.

Para testar a integração, convide um novo usuário usando a página Convidar usuários. Em seguida, certifique-se de que o usuário possa se autenticar clicando em seu provedor de identidade personalizado na página de login da interface do usuário da Web.

Observe que o perfil do usuário em seu IdP personalizado deve estar vinculado ao mesmo endereço de e-mail fornecido no convite. Em outras palavras, o endereço de e-mail nas reivindicações do seu provedor deve corresponder ao convite.