View a markdown version of this page

网页用户界面 - AWS 上的自动安全响应
工作原理直接在 Web 用户界面中运行修复筛选可用的发现和补救措施Web UI 中的身份验证和授权与外部集成 IdPs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网页用户界面

该解决方案的 Web 用户界面允许用户一键修复 AWS Security Hub 的调查结果,查看和下载过去的补救措施,以及委派对解决方案的访问权限。

使用该解决方案不需要 Web UI;您也可以配置全自动修复以避免手动执行,或者利用 AWS Security Hub CSPM 控制台使用 “使用 ASR 修复” 自定义操作启动补救。

注意

部署管理堆栈时,必须将ShouldDeployWebUI参数设置为 “是”,才能使用解决方案的 Web UI。

工作原理

该解决方案的 Web 用户界面是一个单页 Web 应用程序,由 Amazon S3 托管在您的账户中,并由亚马逊 CloudFront分发。该解决方案还使用 API Gateway 部署 REST API 来支持 Web 用户界面中的操作。

部署管理堆栈后,解决方案的 Lambda 函数开始将您的管理员账户中存在的该解决方案支持的所有 AWS Security Hub 发现加载到 DynamoDB 中。完成此操作后,由于解决方案部署的 EventBridge 规则,Web UI 中显示的发现结果将与 Security Hub 近乎实时地保持同步。

每周都会触发该解决方案的 Lambda 函数,以刷新存储 Web 用户界面中显示的 AWS Security Hub 发现结果的 DynamoDB 表。这样可以确保清理陈旧的数据并保留我们的 DynamoDB 表。 up-to-date如果要将此基准配置为更高或更少的运行频率,请修改SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule位于部署解决方案的同一区域的管理员帐户中名为的 EventBridge 规则。

直接在 Web 用户界面中运行修复

Web 用户界面调查结果页面

调查结果页面上,管理员或委托管理员用户可以查看该解决方案支持的所有 AWS Security Hub 调查结果以进行补救。这包括在 Security Hub 主账户中注册的 Security Hub 成员账户的调查结果。如果解决方案也部署在聚合区域,则还会显示任何已上线区域的调查结果。要查看该解决方案支持的结果列表,请参阅 playbook 部分

账户操作员用户只能查看来自他们有权访问的 AWS 账户的调查结果,如邀请中所述。此外,他们只能对与其关联的账户中的资源进行修复。

要运行修复,请在表格中选择任意数量的项目,然后单击操作 > 修复。也可以通过单击 “操作” > “” 来隐藏查找结果,这会在默认视图中隐藏选定的查找结果。通过单击 “显示隐藏的查找结果” 开关,您可以随时查看隐藏的查找结果

开始对发现进行补救后,可以单击 “修正状态” 列,同时补救处于In Progress或将直接Failed进入该修正的 “执行历史记录” 页面上。

筛选可用的发现和补救措施

在 “调查结果” 和 “执行历史记录” 页面上,您可以按每个表格中显示的任意列筛选表格中显示的数据。

例如,在 “调查结果” 页面上,您可以在 “查找类型” 上进行筛选,通过单击搜索栏并选择 “查找类型” 来搜索特定类型的 AWS Security Hub 调查结果(例如 Lambda.1 或 Athena.4)。

注意

在搜索栏中自动填充的值并不代表可用数据的完整列表。每个搜索条件的建议值仅代表当前获取并显示在用户界面中的数据。

您也可以在一次搜索中合并多个属性。例如,您可以在搜索中同时应用查找类型资源 ID 来执行逻辑AND查询。此外,您可以应用多个相同的筛选条件来执行逻辑OR搜索,例如查找类型 = Lambda.1 和查找类型 = Athena. 4。同样的原则适用于 “执行历史记录” 页面

Web UI 中的身份验证和授权

该解决方案的 Web 用户界面受 Amazon Cognito 提供的身份验证保护。部署解决方案后,将在 Web 用户界面旁边配置和配置 Cognito 用户池、Cognito 应用程序客户端和 Cognito 用户池域。作为管理员堆栈参数提供的电子邮件地址被分配了临时凭证,并被授予对 Web UI 的管理员访问权限。

有三种权限类型可以定义用户对 Web UI 的访问权限:

权限类型 访问级别 使用场景

Admin

在 Web UI 中完全控制;可以查看所有发现和补救措施、运行任何补救措施以及 invite/view 任何用户。

仅分配给部署管理堆栈的用户,前提是他们在 CloudFormation 部署期间提供电子邮件地址。

委派管理员

Web UI 中的控制权得到提升;可以查看所有发现和补救措施、运行任何补救措施以及 invite/view 账户操作员用户。无法在 Web UI 中邀请或查看管理员和委派管理员。

管理员用户可以通过邀请委派管理员用户来委派解决方案的访问权限,委托管理员用户将能够运行和管理任何补救措施。

账户操作员

Web UI 中的控制有限;仅限于在应邀与之关联的账户中查看和修正调查结果。无法邀请或查看其他用户。

Day-to-day 本应具有有限访问权限才能在已注册帐户子集中运行修正的用户。管理员或授权管理员负责邀请这些用户并定义其范围。

所有用户必须先获得管理员或委托管理员的邀请,然后才能登录 Web UI。要邀请其他用户,管理员或授权管理员可以在 Web UI 的 “邀请用户” 页面上输入他们的电子邮件地址和权限级别。

管理员和授权管理员还可以查看、管理和删除现有用户。要查看所有用户的列表,请导航至查看用户页面。

要管理现有用户,请从表格中选择该用户,然后单击 “管理用户”。然后,您可以通过单击 “删除用户” 来删除该用户。如果用户是账户操作员,则可以在解决方案的背景下修改 IDs 他们有权访问的 AWS 账户列表。目前不支持更改现有用户的权限类型。

请注意,授权管理员只能查看和管理账户操作员用户。

与外部集成 IdPs

您可以自定义该解决方案提供的身份验证机制,以允许用户使用您自己的 OIDC 或 SAML 身份提供商(例如 Okta 或 Microsoft Entra ID)进行登录。以下与外部集成的步骤 IdPs 需要访问部署管理堆栈的 AWS 账户。

重要

在使用解决方案配置的任何外部 IdP 登录之前,仍必须邀请用户。此外,链接到其 IdP 个人资料的电子邮件地址必须与邀请函中提供的电子邮件地址一致。

步骤 1-找到解决方案的用户池

在 Amazon Cognito 控制台中,找到名为 SO0111-ASR-的解决方案用户池。UserPool

单击用户池名称 SO0111-ASR-UserPool,进入述页面。从那里,从导航栏中选择 “社交和外部提供商”。

第 2 步-添加您的身份提供商

在 “社交和外部提供商” 页面上,单击右上角的 “添加身份提供商” 按钮。

根据您的身份提供商选择 OIDCSAML

选择提供商类型后,系统将提示您输入有关您的身份提供商的信息。

SAML 提供商填写以下字段:

  1. 提供商名称:您的提供商的友好名称

  2. IDP 发起的 SAML 登录:选择 Require SP-initiated SAML assertions - Recommended

  3. 元数据文档来源:选择 Upload metadata document

  4. 元数据文档:上传您的 IdP 提供的 SAML 元数据文档。

  5. SAML 提供商和用户池之间的 “映射属性” 下,单击 “添加其他属性”。对于用户池属性,请email从下拉列表中选择。在 S AML 属性中,输入您的 SAML 身份提供商中存储用户电子邮件地址的属性的全名。例如 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  6. 单击 “添加身份提供商” 以保存您的更改。

OIDC 提供商填写以下字段:

  1. 提供商名称:您的提供商的友好名称

  2. 客户端 ID:输入您的 OpenID Connect 身份提供商提供的客户端 ID。

  3. 客户机密钥:输入 OpenID Connect 身份提供商提供的客户机密钥。

  4. 授权范围:输入 openid profile email

  5. 属性请求方法POST根据您的身份提供商的配置选择GET或。

  6. 设置方法:选择Auto fill through issuer URL并输入 OIDC 提供商提供的发行人 URL。或者,也可以手动输入值。

  7. OpenID Connect 提供商和用户池之间的 “映射属性” 下,单击 “添加其他属性”。对于用户池属性,请email从下拉列表中选择。在 O penID Connect 属性中,输入 OIDC 身份提供商中存储用户电子邮件地址的属性的全名。例如 email

  8. 单击 “添加身份提供商” 以保存您的更改。

重要

即使您的身份提供商的属性名称也是,您也必须为email用户池属性添加属性映射email

第 3 步-将您的提供商添加到解决方案的应用程序客户端

导航到 “应用程序客户端” 页面,然后选择名为 so011 1-asr-webui-的客户端。UserPoolClient

单击 “登录页面” 选项卡,在 “托管登录页面配置” 下单击 “编辑”。

身份提供者字段中,添加您在上一步中创建的身份提供商。单击 Save Changes(保存更改)。

步骤 4-配置您的身份提供商

要允许您的身份提供商在登录后重定向到解决方案的 Web UI,您必须在 IdP 配置 URLs 中将以下内容列入许可名单。

根据您的提供商类型,将以下回拨 URLs之一列入白名单:

  1. SAML 回调网址:https://so0111-asr-<your-aws-account-id> .auth。 <aws-region>.amazoncognito。 com/saml2/idpresponse

  2. OIDC 回调网址:https://so0111-asr-<your-aws-account-id> .auth。 <aws-region>.amazoncognito。 com/oauth2/idpresponse

您应<your-aws-account-id>替换为部署管理堆栈的 AWS 账户 ID<aws-region>,以及部署管理堆栈的区域。

第 4 步-验证您的集成

导航到 Web UI 登录页面。确认您的自定义身份提供者在登录页面上可见。

要测试集成,请使用邀请用户页面邀请新用户。然后,在 Web UI 登录页面上单击您的自定义身份提供商,确保用户可以进行身份验证。

请注意,您的自定义 IdP 中用户的个人资料必须链接到其邀请中提供的相同电子邮件地址。换句话说,您的提供商声明中的电子邮件地址必须与邀请相匹配。