Acciones de mitigación - AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acciones de mitigación

Puede usarAWS IoT Device Defenderpara emprender acciones para mitigar los problemas que se encontraron en una detección de auditoría o Detect (Detect).

nota

Las acciones de mitigación no se llevarán a cabo en los resultados de auditoría suprimidos. Para obtener más información acerca de las supresiones de búsqueda de auditorías, consulteSupresiones de hallazgos de auditoría.

Acciones de mitigación de auditoría

AWS IoT Device Defenderproporciona acciones predefinidas para las distintas comprobaciones de auditoría. Configura esas acciones para tuCuenta de AWSy, a continuación, aplicarlas a un conjunto de resultados. Estos resultados puede ser:

  • Todos los resultados de una auditoría. Esta opción está disponible en la consola de AWS IoT y a través de la AWS CLI.

  • Una lista de resultados individuales. Esta opción solo está disponible a través de la AWS CLI

  • Un conjunto filtrado de los resultados de una auditoría.

En la siguiente tabla se muestran los tipos de las comprobaciones de auditoría y las acciones de mitigación compatibles para cada una de ellas:

Comprobación de auditoría y acción de mitigación
Comprobación de auditoría Acciones de mitigación admitidas
REVOKED_CA_CERT_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_CA_CERTIFICATE
DEVICE_CERTIFICATE_SHARED_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS
AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS
IOT_POLICY_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS, REPLACE_DEFAULT_POLICY_VERSION
CA_CERT_APPROACHING_EXPIRATION_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_CA_CERTIFICATE
CONFLICTING_CLIENT_IDS_CHECK PUBLISH_FINDING_TO_SNS
DEVICE_CERT_APPROACHING_EXPIRATION_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
REVOKED_DEVICE_CERT_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
LOGGING_DISABLED_CHECK PUBLISH_FINDING_TO_SNS, ENABLE_IOT_LOGGING
DEVICE_CERTIFICATE_KEY_QUALITY_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_DEVICE_CERTIFICATE, ADD_THINGS_TO_THING_GROUP
CA_CERTIFICATE_KEY_QUALITY_CHECK PUBLISH_FINDING_TO_SNS, UPDATE_CA_CERTIFICATE
IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK PUBLISH_FINDING_TO_SNS
IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK PUBLISH_FINDING_TO_SNS

Todas las comprobaciones de auditoría admiten la publicación de los resultados de la auditoría en Amazon SNS para que pueda tomar acciones personalizadas en respuesta a la notificación. Cada tipo de comprobación de auditoría puede admitir acciones de mitigación adicionales:

REVOKED_CA_CERT_CHECK
  • Cambiar el estado del certificado para marcarlo como inactivo en AWS IoT.

DEVICE_CERTIFICATE_SHARED_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Añadir dispositivos que utilizan dicho certificado a un grupo de objetos.

UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK
  • No se admiten otras acciones.

AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK
  • No se admiten otras acciones.

IOT_POLICY_OVERLY_PERMISSIVE_CHECK
  • Añadir una versión de política de AWS IoT en blanco para restringir los permisos.

CA_CERT_APPROACHING_EXPIRATION_CHECK
  • Cambiar el estado del certificado para marcarlo como inactivo en AWS IoT.

CONFLICTING_CLIENT_IDS_CHECK
  • No se admiten otras acciones.

DEVICE_CERT_APPROACHING_EXPIRATION_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Añadir dispositivos que utilizan dicho certificado a un grupo de objetos.

DEVICE_CERTIFICATE_KEY_QUALITY_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Añadir dispositivos que utilizan dicho certificado a un grupo de objetos.

CA_CERTIFICATE_KEY_QUALITY_CHECK
  • Cambiar el estado del certificado para marcarlo como inactivo en AWS IoT.

REVOKED_DEVICE_CERT_CHECK
  • Cambiar el estado del certificado del dispositivo para marcarlo como inactivo en AWS IoT.

  • Añadir dispositivos que utilizan dicho certificado a un grupo de objetos.

LOGGING_DISABLED_CHECK
  • Habilitar el registro.

AWS IoT Device Defenderadmite los siguientes tipos de acciones de mitigación en los resultados de auditoría:

Tipo de acción

Notas
ADD_THINGS_TO_THING_GROUP Debe especificar el grupo a la que desea añadir los dispositivos. También debe especificar si la suscripción a uno o varios grupos dinámicos debe anularse si se supera el número máximo de grupos a los que el objeto puede pertenecer.
ENABLE_IOT_LOGGING Debe especificar el nivel de registro y el rol con permisos para el registro. No puede especificar un nivel de registro DISABLED.
PUBLISH_FINDING_TO_SNS Debe especificar el tema en el que se debe publicar la búsqueda.
REPLACE_DEFAULT_POLICY_VERSION Debe especificar el nombre de la plantilla. Sustituye la versión de la política predeterminada con una política en blanco. En este momento solo es compatible un valor de BLANK_POLICY.
UPDATE_CA_CERTIFICATE Debe especificar el nuevo estado para el certificado de CA. En este momento solo es compatible un valor de DEACTIVATE.
UPDATE_DEVICE_CERTIFICATE Debe especificar el nuevo estado para el certificado del dispositivo. En este momento solo es compatible un valor de DEACTIVATE.

Al configurar acciones estándar para los problemas encontrados durante una auditoría, puede responder a estos problemas de forma coherente. Utilizar estas acciones de mitigación definidas también le ayuda a resolver los problemas con mayor rapidez y con menos posibilidad de que se produzcan errores.

importante

La aplicación de acciones de mitigación que cambian los certificados, añaden objetos a un nuevo grupo de objetos o sustituyen la política puede tener un impacto en sus dispositivos y aplicaciones. Por ejemplo, es posible que los dispositivos no puedan conectarse. Tenga en cuenta las implicaciones de las acciones de mitigación antes de aplicarlas. Es posible que tenga que adoptar otras medidas para corregir problemas antes de que los dispositivos y las aplicaciones puedan funcionar con normalidad. Por ejemplo, es posible que tenga que proporcionar certificados de dispositivo actualizados. Las acciones de mitigación pueden ayudarle a limitar rápidamente los riesgos pero, aún así, tiene que tomar medidas correctoras para resolver los problemas.

Algunas acciones, como, por ejemplo, reactivar un certificado de dispositivo, solo se pueden realizar manualmente. AWS IoT Device Defender no proporciona un mecanismo para revertir automáticamente las acciones de mitigación que se han aplicado.

Detección de acciones de mitigación

AWS IoT Device Defenderadmite los siguientes tipos de acciones de mitigación en Detect alarms:

Tipo de acción

Notas
ADD_THINGS_TO_THING_GROUP Debe especificar el grupo a la que desea añadir los dispositivos. También debe especificar si la suscripción a uno o varios grupos dinámicos debe anularse si se supera el número máximo de grupos a los que el objeto puede pertenecer.

Cómo definir y administrar las acciones de mitigación

Puede utilizar elAWS IoTconsola oAWS CLIpara definir y administrar las acciones de mitigación para suCuenta de AWS.

Creación de acciones de mitigación

Cada acción de mitigación que defina es una combinación de un tipo de acción predefinida y los parámetros específicos de su cuenta.

Para utilizar la consola de AWS IoT para crear acciones de mitigación

  1. Abra la consola de AWS IoT.

  2. En el panel de navegación de la izquierda, seleccione Defender y, a continuación, elija Mitigation Actions (Acciones de mitigación).

  3. En la página Mitigation Actions (Acciones de mitigación), elija Create (Crear).

    
                Ventana de creación de una nueva acción de mitigación.
  4. En la página Create a Mitigation Action (Crear una acción de mitigación), en Action name (Nombre de la acción), escriba un nombre único para la acción de mitigación.

  5. En Action type (Tipo de acción), especifique el tipo de acción que desea definir.

  6. Cada tipo de acción solicita un conjunto diferente de parámetros. Escriba los parámetros de la acción. Por ejemplo, si elige el tipo de acción Añadir objetos al grupo de objetos, debe elegir el grupo de destino y seleccionar o quitar la marca de verificación de Override dynamic groups (Anular grupos dinámicos).

  7. En Action execution role (Rol de ejecución de la acción), elija el rol bajo cuyos permisos se aplica la acción.

  8. Elija Guardar para guardar la acción de mitigación en su cuenta de AWS.

Para utilizar la AWS CLI para crear acciones de mitigación

  • UsarCreateMitigationActionpara crear la acción de mitigación. El nombre único que dé a la acción se utiliza cuando se aplica dicha acción a los resultados de la auditoría. Elija un nombre significativo.

Para utilizar la consola de AWS IoT para ver y modificar las acciones de mitigación

  1. Abra la consola de AWS IoT.

  2. En el panel de navegación de la izquierda, seleccione Defender y, a continuación, elija Mitigation Actions (Acciones de mitigación).

    LaAcciones de mitigaciónmuestra una lista de todas las acciones de mitigación definidas para suCuenta de AWS.

    
                Lista de acciones de mitigación.
  3. Elija el enlace del nombre de la acción de la acción de mitigación que desea cambiar.

  4. Realice los cambios que desee en la acción de mitigación. Como el nombre de la acción de mitigación se utiliza para identificarla, no puede cambiar el nombre.

    
                Página de edición de acción de mitigación.
  5. ElegirGuardarpara guardar los cambios en la acción de mitigación en suCuenta de AWS.

Para utilizar la AWS CLI para obtener una lista de acciones de mitigación

Para utilizar la AWS CLI para actualizar una acción de mitigación

Para utilizar la consola de AWS IoT para eliminar una acción de mitigación

  1. Abra la consola de AWS IoT.

  2. En el panel de navegación de la izquierda, seleccione Defender y, a continuación, elija Mitigation Actions (Acciones de mitigación).

    LaAcciones de mitigaciónmuestra todas las acciones de mitigación definidas para suCuenta de AWS.

  3. Elija los puntos suspensivos (...) para la acción de mitigación que desea eliminar y, a continuación, haga clic en Eliminar.

Para utilizar la AWS CLI para eliminar acciones de mitigación

Para utilizar la consola de AWS IoT para ver los detalles de una acción de mitigación

  1. Abra la consola de AWS IoT.

  2. En el panel de navegación de la izquierda, seleccione Defender y, a continuación, elija Mitigation Actions (Acciones de mitigación).

    
                Lista de acciones de mitigación.

    LaAcciones de mitigaciónmuestra todas las acciones de mitigación definidas para suCuenta de AWS.

  3. Elija el enlace del nombre de la acción de la acción de mitigación que desea cambiar.

  4. En la ventana Are you sure you want to delete the mitigation action (¿Seguro que desea eliminar la acción de mitigación?), elija Confirm (Confirmar).

    
                ¿Seguro que desea eliminar la acción de mitigación?Ventana de confirmación.

Para utilizar la AWS CLI para ver los detalles de una acción de mitigación

Aplicación de acciones de mitigación

Después de haber definido un conjunto de acciones de mitigación, puede aplicar esas acciones a los resultados de una auditoría. Cuando se aplican acciones, empieza una tarea de acciones de mitigación de auditoría. Esta tarea podría tardar un tiempo en completarse, en función del conjunto de resultados y las acciones que se aplican a ellos. Por ejemplo, si tiene un gran grupo de dispositivos cuyos certificados han caducado, puede tardar algún tiempo en desactivar todos estos certificados o en mover esos dispositivos a un grupo de cuarentena. Otras acciones, como la habilitación del registro, se pueden realizar con rapidez.

Puede ver la lista de ejecuciones de acciones y cancelar una ejecución que aún no se ha completado. Las acciones ya realizadas como parte de la ejecución de la acción cancelada no se revierten. Si está aplicando varias acciones a un conjunto de resultados y una de esas acciones produce un error, se omiten la acciones posteriores para ese resultado (pero se siguen aplicado a otros resultados). El estado de la tarea para el el resultado es FAILED. El taskStatus se establece como error (Failed) si una o varias de las acciones fracasan cuando se aplican a los resultados. Las acciones se aplican en el orden en que estén especificadas.

Cada ejecución de acción aplica a un conjunto de acciones a un destino. Ese destino puede ser una lista de resultados o puede ser todos los resultados de una auditoría.

En el siguiente diagrama se muestra cómo puede definir una tarea de mitigación de auditoría para que tome todos los resultados de una auditoría y les aplique un conjunto de acciones. Una única ejecución aplica una acción a un resultado. La tarea de acciones de mitigación de auditoría genera un resumen de ejecución.


          La imagen conceptual muestra una tarea de acciones de mitigación de auditoría.

En el siguiente diagrama se muestra cómo puede definir una tarea de mitigación de auditoría para que tome una lista de resultados individuales de una o varias auditorías y les aplique un conjunto de acciones. Una única ejecución aplica una acción a un resultado. La tarea de acciones de mitigación de auditoría genera un resumen de ejecución.


          La imagen conceptual muestra una tarea de acciones de mitigación de auditoría.

Puede utilizar la AWS CLI o la consola de AWS IoT para aplicar acciones de mitigación.

Para usar la consola AWS IoT para aplicar acciones de mitigación iniciando la ejecución de una acción

  1. Abra la consola de AWS IoT.

  2. En el panel de navegación de la izquierda, seleccione Defender, elija Auditoría y, a continuación, elija Resultados.

    
              Lista de resultados de auditoría que muestra elIniciar acciones de mitigaciónBotón.
  3. Elija el nombre de la auditoría a la que desea aplicar acciones.

    
              ¿Seguro que desea iniciar la tarea de acción de mitigación?ventana.
  4. Selec Start Mitigation Actions (Iniciar acciones de mitigación). Este botón no está disponible si todos las comprobaciones son correctas.

  5. En Are you sure that you want to start mitigation action task (¿Seguro que desea iniciar la tarea de acción de mitigación?), el nombre de la tarea toma de forma predeterminada el ID de la auditoría, pero puede cambiarlo a algo más significativo.

  6. Para cada tipo de comprobación que tenga uno o varios resultados no conformes en la auditoría, puede elegir una o más acciones para aplicar. Solo se muestran las acciones que son válidas para el tipo de comprobación.

    nota

    Si no ha configurado las acciones para suCuenta de AWS, la lista de acciones está vacía. Puede elegir el enlace click here (haga clic aquí) para crear una o varias acciones de mitigación.

  7. Cuando haya especificado todas las acciones que se van a aplicar, seleccione Confirm (Confirmar).

Para usar la AWS CLI para aplicar acciones de mitigación iniciando la ejecución de una acción de mitigación de auditoría

  1. Si desea aplicar acciones a todos los resultados de la auditoría, utilice elListAuditTaskspara encontrar el ID de la tarea.

  2. Si desea aplicar acciones solo a resultados seleccionados, utilice elListAuditFindingspara obtener los ID de búsqueda.

  3. UsarListMitigationActionsy anote los nombres de las acciones de mitigación que se van a aplicar.

  4. UsarStartAuditMitigationActionsTaskpara aplicar acciones al destino. Anote el ID de la tarea. Puede utilizar el ID para comprobar el estado de la ejecución de la acción, revisar los detalles o cancelarla.

Para utilizar la consola de AWS IoT para ver sus ejecuciones de acciones

  1. Abra la consola de AWS IoT.

  2. En el panel de navegación de la izquierda, seleccione Defender y, a continuación, elija Action Executions (Ejecuciones de acciones).

    
              Lista de ejecuciones de acciones de auditoría.

    Una lista de tareas de acción muestra cuando cada se inició cada una y su estado actual.

  3. Elija el enlace Name (Nombre) para ver los detalles de la tarea. Los detalles incluyen todas las acciones que aplica la tarea, su destino y su estado.

    
              Detalles de la tarea de acciones de mitigación de auditoría.

    Puede utilizar los filtros Show executions for (Mostrar ejecuciones para) en tipo de acciones o estados de acción.

  4. Para ver los detalles de la tarea, en Executions (Ejecuciones), elija Show (Mostrar).

    
              Detalles de ejecución de la tarea de acciones de mitigación de auditoría.

Para utilizar la AWS CLI para mostrar una lista de tareas iniciadas

  1. UsarListAuditMitigationActionsTaskspara ver las tareas de acciones de mitigación de auditoría. Puede proporcionar filtros para limitar los resultados. Si desea ver los detalles de la tarea, anote el ID de la tarea.

  2. UsarListAuditMitigationActionsExecutionspara ver los detalles de ejecución de una tarea de acciones de mitigación de auditoría en particular.

  3. UsarDescribeAuditMitigationActionsTaskpara ver los detalles de la tarea, como los parámetros especificados cuando se inició la tarea.

Para utilizar la AWS CLI para cancelar una tarea de acciones de mitigación de auditoría en ejecución

  1. UsarListAuditMitigationActionsTaskspara encontrar el ID de la tarea cuya ejecución desea cancelar. Puede proporcionar filtros para limitar los resultados.

  2. UsarEjecuciones de acciones de mitigación de detección de listas, utilizando el ID de la tarea, para cancelar la tarea de acciones de mitigación de auditoría. No es posible cancelar tareas que se han completado. Cuando se cancela una tarea, las acciones restantes no se aplican, pero las acciones de mitigación que ya se han aplicado no se revierten.

Permisos

Para cada acción de mitigación que defina, debe proporcionar el rol utilizado para aplicar dicha acción.

Permisos para acciones de mitigación
Tipo de acción Plantilla de política de permisos

UPDATE_DEVICE_CERTIFICATE

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:UpdateCertificate" ], "Resource":[ "*" ] } ] }
UPDATE_CA_CERTIFICATE
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:UpdateCACertificate" ], "Resource":[ "*" ] } ] }
ADD_THINGS_TO_THING_GROUP
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:ListPrincipalThings", "iot:AddThingToThingGroup" ], "Resource":[ "*" ] } ] }
REPLACE_DEFAULT_POLICY_VERSION
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:CreatePolicyVersion" ], "Resource":[ "*" ] } ] }
ENABLE_IOT_LOGGING
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iot:SetV2LoggingOptions" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "<IAM role ARN used for setting up logging>" ] } ] }
PUBLISH_FINDING_TO_SNS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "sns:Publish" ], "Resource":[ "<The SNS topic to which the finding is published>" ] } ] }

Para todos los tipos de acciones de mitigación, utilice la siguiente plantilla de política de confianza:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "iot.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:iot:*:111122223333::*" }, "StringEquals": { "aws:SourceAccount": "111122223333:" } } } ] }