Acciones de mitigación - AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acciones de mitigación

Puede utilizarlos AWS IoT Device Defender para tomar medidas que mitiguen los problemas detectados en una auditoría o en una alarma de detección.

nota

No se llevarán a cabo acciones de mitigación cuando se supriman los resultados de una auditoría. Para obtener más información acerca de las supresiones de resultados de la auditoría, consulte Supresiones de resultados de auditoría.

Acciones de mitigación de auditoría

AWS IoT Device Defender proporciona acciones predefinidas para las diferentes comprobaciones de auditoría. Usted configura esas acciones para usted Cuenta de AWS y, a continuación, las aplica a un conjunto de conclusiones. Estos resultados pueden ser:

  • Todos los resultados de una auditoría. Esta opción está disponible tanto en la AWS IoT consola como mediante el AWS CLI.

  • Una lista de resultados individuales. Esta opción solo está disponible a través de la AWS CLI

  • Un conjunto filtrado de los resultados de una auditoría.

En la siguiente tabla se muestran los tipos de las comprobaciones de auditoría y las acciones de mitigación compatibles para cada una de ellas:

Comprobación de auditoría y acción de mitigación
Comprobación de auditoría Acciones de mitigación admitidas
REVOKED_CA_CERT_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_CA_CERTIFICATE
INTERMEDIATE_CA_REVOKED_FOR_ACTIVE_DEVICE_CERTIFICATES_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
DEVICE_CERTIFICATE_SHARED_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS
AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS
IOT_POLICY_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS, REPLACE_DEFAULT_POLICY_VERSION
IOT_POLICY_POTENTIAL_MISCONFIGURATION_CHECK PUBLISH_FINDING_TO_SNS, REPLACE_DEFAULT_POLICY_VERSION
CA_CERTIFICATE_EXPIRING_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_CA_CERTIFICATE
CONFLICTING_CLIENT_IDS_CHECK PUBLISH_FINDING_TO_SNS
DEVICE_CERTIFICATE_EXPIRING_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
LOGGING_DISABLED_CHECK PUBLISH_FINDING_TO_SNS, ENABLE_IOT_LOGGING
DEVICE_CERTIFICATE_KEY_QUALITY_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
CA_CERTIFICATE_KEY_QUALITY_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_CA_CERTIFICATE
IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS
IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK PUBLISH_FINDING_TO_SNS

Todas las comprobaciones de auditoría admiten la publicación de los resultados de la auditoría en Amazon SNS para que pueda tomar acciones personalizadas en respuesta a la notificación. Cada tipo de comprobación de auditoría puede admitir acciones de mitigación adicionales:

REVOKED_CA_CERT_CHECK
  • Cambie el estado del certificado para marcarlo como inactivo en AWS IoT.

DEVICE_CERTIFICATE_SHARED_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Agregar dispositivos que utilizan dicho certificado a un grupo de objetos.

UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK
  • No se admiten otras acciones.

AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK
  • No se admiten otras acciones.

IOT_POLICY_OVERLY_PERMISSIVE_CHECK
  • Agregue una versión AWS IoT de política en blanco para restringir los permisos.

IOT_POLICY_POTENTIAL_MISCONFIGURATION_CHECK
  • Identifique posibles errores de configuración en AWS IoT las políticas.

CA_CERT_APPROACHING_EXPIRATION_CHECK
  • Cambie el estado del certificado para marcarlo como inactivo en AWS IoT.

CONFLICTING_CLIENT_IDS_CHECK
  • No se admiten otras acciones.

DEVICE_CERT_APPROACHING_EXPIRATION_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Agregar dispositivos que utilizan dicho certificado a un grupo de objetos.

DEVICE_CERTIFICATE_KEY_QUALITY_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Agregar dispositivos que utilizan dicho certificado a un grupo de objetos.

CA_CERTIFICATE_KEY_QUALITY_CHECK
  • Cambie el estado del certificado para marcarlo como inactivo en AWS IoT.

REVOKED_DEVICE_CERT_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Agregar dispositivos que utilizan dicho certificado a un grupo de objetos.

LOGGING_DISABLED_CHECK
  • Habilitar el registro.

AWS IoT Device Defender admite los siguientes tipos de acciones de mitigación de los resultados de la auditoría:

Tipo de acción

Notas
ADD_THINGS_TO_THING_GROUP Debe especificar el grupo a la que desea agregar los dispositivos. También debe especificar si la suscripción a uno o varios grupos dinámicos debe anularse si se supera el número máximo de grupos a los que el objeto puede pertenecer.
ENABLE_IOT_LOGGING Debe especificar el nivel de registro y el rol con permisos para el registro. No puede especificar un nivel de registro DISABLED.
PUBLISH_FINDING_TO_SNS Debe especificar el tema en el que se debe publicar la búsqueda.
REPLACE_DEFAULT_POLICY_VERSION Debe especificar el nombre de la plantilla. Sustituye la versión de la política predeterminada con una política en blanco. En este momento solo es compatible un valor de BLANK_POLICY.
UPDATE_CA_CERTIFICATE Debe especificar el nuevo estado para el certificado de entidad de certificación. En este momento solo es compatible un valor de DEACTIVATE.
UPDATE_DEVICE_CERTIFICATE Debe especificar el nuevo estado para el certificado del dispositivo. En este momento solo es compatible un valor de DEACTIVATE.

Al configurar acciones estándar para los problemas encontrados durante una auditoría, puede responder a estos problemas de forma coherente. Utilizar estas acciones de mitigación definidas también le ayuda a resolver los problemas con mayor rapidez y con menos posibilidad de que se produzcan errores.

importante

La aplicación de acciones de mitigación que cambian los certificados, agregan objetos a un nuevo grupo de objetos o sustituyen la política puede tener un impacto en sus dispositivos y aplicaciones. Por ejemplo, es posible que los dispositivos no puedan conectarse. Tenga en cuenta las implicaciones de las acciones de mitigación antes de aplicarlas. Es posible que tenga que adoptar otras medidas para corregir problemas antes de que los dispositivos y las aplicaciones puedan funcionar con normalidad. Por ejemplo, es posible que tenga que proporcionar certificados de dispositivo actualizados. Las acciones de mitigación pueden ayudarle a limitar rápidamente los riesgos pero, aún así, tiene que tomar medidas correctoras para resolver los problemas.

Algunas acciones, como, por ejemplo, reactivar un certificado de dispositivo, solo se pueden realizar manualmente. AWS IoT Device Defender no proporciona un mecanismo para revertir automáticamente las acciones de mitigación que se han aplicado.

Acciones de mitigación de Detect

AWS IoT Device Defender admite los siguientes tipos de acciones de mitigación en las alarmas de detección:

Tipo de acción

Notas
ADD_THINGS_TO_THING_GROUP Debe especificar el grupo a la que desea agregar los dispositivos. También debe especificar si la suscripción a uno o varios grupos dinámicos debe anularse si se supera el número máximo de grupos a los que el objeto puede pertenecer.

Cómo definir y administrar las acciones de mitigación

Puede utilizar la AWS IoT consola o la AWS CLI para definir y gestionar las acciones de mitigación por su cuenta Cuenta de AWS.

Creación de acciones de mitigación

Cada acción de mitigación que defina es una combinación de un tipo de acción predefinida y los parámetros específicos de su cuenta.

Para usar la AWS IoT consola para crear acciones de mitigación

  1. Abra la página Acciones de mitigación en la consola de AWS IoT.

  2. En la página Acciones de mitigación, elija Crear.

  3. En la página Crear una nueva acción de mitigación, en Nombre de la acción, escriba un nombre único para la acción de mitigación.

  4. En Action type (Tipo de acción), especifique el tipo de acción que desea definir.

  5. En Permisos, elija el rol de IAM bajo cuyos permisos se aplica la acción.

  6. Cada tipo de acción solicita un conjunto diferente de parámetros. Escriba los parámetros de la acción. Por ejemplo, si elige el tipo de acción Agregar objetos al grupo de objetos, debe elegir el grupo de destino y seleccionar o quitar la marca de verificación de Override dynamic groups (Anular grupos dinámicos).

  7. Elija Guardar para guardar la acción de mitigación en su cuenta de AWS .

Para utilizarla AWS CLI para crear acciones de mitigación
  • Utilice el comando CreateMitigationAction para crear la acción de mitigación. El nombre único que dé a la acción se utiliza cuando se aplica dicha acción a los resultados de la auditoría. Elija un nombre significativo.

Para usar la AWS IoT consola para ver y modificar las acciones de mitigación
  1. Abra la página Acciones de mitigación en la consola de AWS IoT.

    La página Acciones de mitigación muestra una lista de todas las acciones de mitigación definidas para su Cuenta de AWS.

  2. Elija el enlace del nombre de acción de la acción de mitigación que desea cambiar.

  3. Seleccione Editar y realice sus cambios en la acción de mitigación. No puede cambiar el nombre porque el nombre de la acción de mitigación se utiliza para identificarla.

  4. Seleccione Actualizar para guardar los cambios de la acción de mitigación en su archivo Cuenta de AWS.

Para usar el AWS CLI para enumerar una acción de mitigación
  • Utilice el comando ListMitigationAction para mostrar las acciones de mitigación. Si desea cambiar o eliminar una acción de mitigación, anote del nombre.

Para usar el AWS CLI para actualizar una acción de mitigación
Para usar la AWS IoT consola para eliminar una acción de mitigación
  1. Abra la página Acciones de mitigación en la consola de AWS IoT.

    La página Acciones de mitigación muestra todas las acciones de mitigación definidas para su Cuenta de AWS.

  2. Elija la acción de mitigación que quiera eliminar y, a continuación, seleccione Eliminar.

  3. En la ventana de confirmación de la eliminación, seleccione Eliminar.

Para utilizarla AWS CLI para eliminar acciones de mitigación
Para usar la AWS IoT consola para ver los detalles de las acciones de mitigación
  1. Abra la página Acciones de mitigación en la consola de AWS IoT.

    La página Acciones de mitigación muestra todas las acciones de mitigación definidas para su Cuenta de AWS.

  2. Elija el enlace del nombre de acción de la acción de mitigación que quiera ver.

Para usar la AWS CLI para ver los detalles de las acciones de mitigación

Aplicación de acciones de mitigación

Después de haber definido un conjunto de acciones de mitigación, puede aplicar esas acciones a los resultados de una auditoría. Cuando se aplican acciones, empieza una tarea de acciones de mitigación de auditoría. Esta tarea podría tardar un tiempo en completarse, en función del conjunto de resultados y las acciones que se aplican a ellos. Por ejemplo, si tiene un gran grupo de dispositivos cuyos certificados han caducado, puede tardar algún tiempo en desactivar todos estos certificados o en mover esos dispositivos a un grupo de cuarentena. Otras acciones, como la habilitación del registro, se pueden realizar con rapidez.

Puede ver la lista de ejecuciones de acciones y cancelar una ejecución que aún no se ha completado. Las acciones ya realizadas como parte de la ejecución de la acción cancelada no se revierten. Si está aplicando varias acciones a un conjunto de resultados y una de esas acciones produce un error, se omiten la acciones posteriores para ese resultado (pero se siguen aplicado a otros resultados). El estado de la tarea para el resultado es FAILED. El taskStatus se establece como error (Failed) si una o varias de las acciones fracasan cuando se aplican a los resultados. Las acciones se aplican en el orden en que estén especificadas.

Cada ejecución de acción aplica a un conjunto de acciones a un destino. Ese destino puede ser una lista de resultados o puede ser todos los resultados de una auditoría.

En el siguiente diagrama se muestra cómo puede definir una tarea de mitigación de auditoría para que tome todos los resultados de una auditoría y les aplique un conjunto de acciones. Una única ejecución aplica una acción a un resultado. La tarea de acciones de mitigación de auditoría genera un resumen de ejecución.


          La imagen conceptual muestra una tarea de acciones de mitigación de auditoría.

En el siguiente diagrama se muestra cómo puede definir una tarea de mitigación de auditoría para que tome una lista de resultados individuales de una o varias auditorías y les aplique un conjunto de acciones. Una única ejecución aplica una acción a un resultado. La tarea de acciones de mitigación de auditoría genera un resumen de ejecución.


          La imagen conceptual muestra una tarea de acciones de mitigación de auditoría.

Puede usar la AWS IoT consola o la AWS CLI para aplicar acciones de mitigación.

Utilizar la AWS IoT consola para aplicar acciones de mitigación iniciando la ejecución de una acción
  1. Abra la página de resultados de la auditoría en la consola de AWS IoT.

  2. Elija el nombre de la auditoría a la que desea aplicar acciones.

  3. Seleccione Iniciar las acciones de mitigación. Este botón no está disponible si todos las comprobaciones son correctas.

  4. En Iniciar una acción de mitigación nueva, el nombre de la tarea viene predeterminado por el ID de auditoría, pero puede cambiarlo por algo más significativo.

  5. Para cada tipo de comprobación que tenga uno o varios resultados no conformes en la auditoría, puede elegir una o más acciones para aplicar. Solo se muestran las acciones que son válidas para el tipo de comprobación.

    nota

    Si no ha configurado acciones para usted Cuenta de AWS, la lista de acciones está vacía. Puede elegir el enlace Crear acción de mitigación para crear una o más acciones de mitigación.

  6. Cuando haya especificado todas las acciones que se van a aplicar, seleccione Confirmar.

Para usar el AWS CLI para aplicar acciones de mitigación iniciando una auditoría, la ejecución de las acciones de mitigación
  1. Si desea aplicar acciones a todos los resultados de la auditoría, utilice el comando ListAuditTasks para encontrar el ID de la tarea.

  2. Si desea aplicar acciones solo a resultados seleccionados, utilice el comando ListAuditFindings para obtener los ID de los resultados.

  3. Utilice el comando ListMitigationActions y anote los nombres de las acciones de mitigación que se van a aplicar.

  4. Utilice el comando StartAuditMitigationActionsTask para aplicar las acciones al destino. Anote el ID de la tarea. Puede utilizar el ID para comprobar el estado de la ejecución de la acción, revisar los detalles o cancelarla.

Para usar la AWS IoT consola para ver las ejecuciones de sus acciones
  1. Abra la página de tareas de acción en la consola de AWS IoT.

    Una lista de tareas de acción muestra cuando cada se inició cada una y su estado actual.

  2. Elija el enlace Name (Nombre) para ver los detalles de la tarea. Los detalles incluyen todas las acciones que aplica la tarea, su destino y su estado.

    
              Detalles de la tarea de acciones de mitigación de auditoría.

    Puede utilizar los filtros Show executions for (Mostrar ejecuciones para) en tipo de acciones o estados de acción.

  3. Para ver los detalles de la tarea, en Executions (Ejecuciones), elija Show (Mostrar).

    
              Detalles de ejecución de la tarea de acciones de mitigación de auditoría.
Para usar el AWS CLI para enumerar las tareas iniciadas
  1. Use ListAuditMitigationActionsTasks para ver las tareas de acciones de mitigación de auditoría. Puede proporcionar filtros para limitar los resultados. Si desea ver los detalles de la tarea, anote el ID de la tarea.

  2. Utilice ListAuditMitigationActionsExecutions para ver los detalles de ejecución de una tarea de acciones de mitigación de auditoría en particular.

  3. Use DescribeAuditMitigationActionsTask para ver los detalles de la tarea, como los parámetros especificados cuando se inició la tarea.

Para usar la AWS CLI para cancelar una tarea de acciones de mitigación de auditoría en ejecución
  1. Utilice el comando ListAuditMitigationActionsTasks para encontrar el ID de la tarea cuya ejecución desea cancelar. Puede proporcionar filtros para limitar los resultados.

  2. Utilice el comando ListDetectMitigationActionsExecutions, utilizando el ID de la tarea, para cancelar una tarea de acciones de mitigación. No es posible cancelar tareas que se han completado. Cuando se cancela una tarea, las acciones restantes no se aplican, pero las acciones de mitigación que ya se han aplicado no se revierten.

Permisos

Para cada acción de mitigación que defina, debe proporcionar el rol utilizado para aplicar dicha acción.

Permisos para acciones de mitigación
Tipo de acción Plantilla de política de permisos

UPDATE_DEVICE_CERTIFICATE

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:UpdateCertificate" ], "Resource":[ "*" ] } ] }
UPDATE_CA_CERTIFICATE
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:UpdateCACertificate" ], "Resource":[ "*" ] } ] }
ADD_THINGS_TO_THING_GROUP
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:ListPrincipalThings", "iot:AddThingToThingGroup" ], "Resource":[ "*" ] } ] }
REPLACE_DEFAULT_POLICY_VERSION
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:CreatePolicyVersion" ], "Resource":[ "*" ] } ] }
ENABLE_IOT_LOGGING
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:SetV2LoggingOptions" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "<IAM role ARN used for setting up logging>" ] } ] }
PUBLISH_FINDING_TO_SNS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "sns:Publish" ], "Resource":[ "<The SNS topic to which the finding is published>" ] } ] }

Para todos los tipos de acciones de mitigación, utilice la siguiente plantilla de política de confianza:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "iot.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:iot:*:111122223333::*" }, "StringEquals": { "aws:SourceAccount": "111122223333:" } } } ] }