Gestion de la sécurité/utilisateur : Mode de fonctionnement du contrôle d'accès basé sur un rôle

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique explique le fonctionnement du contrôle d'accès basé sur un rôle lorsqu'une connexion approuvée est établie entre le serveur Security Analytics et un service Core.

Dans Security Analytics, les rôles déterminent ce que les utilisateurs sont autorisés à faire. Un rôle dispose d'autorisations et il convient d'attribuer un rôle à chaque utilisateur. Les autorisations de l'utilisateur dépendent alors de son rôle.

Rôles préconfigurés

Pour simplifier le processus de création des rôles et l'attribution des autorisations, il existe des rôles préconfigurés dans Security Analytics. Vous pouvez également ajouter des rôles personnalisés pour votre organisation. 

Le tableau suivant répertorie chaque rôle préconfiguré et les autorisations qui lui sont attribuées. Toutes les autorisations sont attribuées au rôle Administrateurs. Un sous-ensemble d'autorisations est attribué à chacun des autres rôles.

                                 
RôleAutorisation
informatiqueAccès à l'intégralité du système. Le profil Administrateurs_système se voit attribuer toutes les autorisations par défaut.
OpérateursAccès aux configurations, mais pas au contenu méta ni de session. Le profil Opérateurs_système est axé sur la configuration, mais pas sur l'investigation, ni sur la gestion des alertes ESA, des rapports ou des incidents.
AnalystesAccès au contenu méta et de session, mais pas aux configurations. Le profil Analystes_du_centre_des_opérations_de_sécurité_(SOC) est axé sur l'investigation, sur la gestion des alertes ESA, des rapports et des incidents, mais pas sur la configuration système.
SOC_Managers (Responsables de SOC)Même accès que les analystes, avec des autorisations supplémentaires pour gérer les incidents. Le profil Responsables_du_SOC est identique à celui des analystes, mais avec les autorisations nécessaires pour configurer la gestion des incidents.
Malware_Analysts (Analystes du malware)Accès aux investigations et aux événements de malware. Le seul accès accordé au profil Analystes_du_malware est celui du module Malware Analysis.
Data_Privacy_Officers (Responsables de la confidentialité des données)Le profil Spécialiste de la confidentialité des données est semblable à celui des administrateurs, mais davantage axé sur les options de configuration qui gèrent l'obfuscation et la visualisation des données sensibles au sein du système (voir Gestion de la confidentialité des données). Les utilisateurs qui se voient attribuer le rôle de Spécialiste_de_la_confidentialité_des_données peuvent voir quelles métaclés sont marquées pour obfuscation. Ils voient également les métaclés obfusquées et les valeurs créées pour les métaclés marquées.

Connexions approuvées entre le serveur et le service

Dans une connexion approuvée, un service fait explicitement confiance à Security Analytics Server pour gérer et authentifier les utilisateurs. Cela réduit l'administration sur chaque service puisque les utilisateurs authentifiés n'ont pas à être définis localement dans chaque service Security Analytics Core.

Comme le montre le tableau ci-dessous, vous effectuez toutes les tâches de gestion des utilisateurs sur le serveur :

                                 
TâcheEmplacement
Ajouter un utilisateurServeur
Gérer les noms d'utilisateurServeur
Gérer les mots de passeServeur
Authentifier les utilisateurs Security Analytics internesServeur
(Facultatif) Authentifier les utilisateurs externes avec :
- Active Directory
- PAM
Serveur
Serveur
Installer et configurer PAMServeur

Les avantages d'une connexion approuvée et de la gestion centralisée des utilisateurs sont les suivants :

  • Vous effectuez toutes les tâches d'administration des utilisateurs en même temps, uniquement sur Security Analytics Server.
  • Vous contrôlez l'accès aux services, mais vous n'avez pas besoin de configurer ni d'authentifier les utilisateurs sur les services.
  • Les utilisateurs saisissent leur mot de passe une seule fois au moment de la connexion à Security Analytics et sont authentifiés par le serveur.
  • Les utilisateurs, déjà authentifiés par le serveur, accèdent à chaque service Core dans Administration > Services sans saisir de mot de passe.

Établissement des connexions approuvées

Lorsque vous installez la version 10.6 ou que vous procédez à la mise à niveau vers cette version, les connexions approuvées sont établies par défaut avec deux paramètres :

  1. SSL est activé.
  2. Le service Core est connecté à un port SSL chiffré.

Pour établir une connexion approuvée, chaque service Security Analytics Core doit être mis à niveau vers la version 10.4 ou ultérieure. Les connexions approuvées ne sont pas rétrocompatibles avec Security Analytics Core 10.3.x ou version antérieure.

Noms de rôles courants sur le serveur et les services

Les connexions approuvées reposent sur des noms de rôles courants sur le serveur et le service. Lors d'une installation, Security Analytics installe les cinq rôles préconfigurés sur le serveur et sur chaque service Core. Lors d'une mise à niveau vers la version 10.6 depuis la version 10.3x ou une version précédente, {{SA}} n'installe pas les nouveaux rôles Responsables_du_SOC et Analystes_du_malware. Vous devez les ajouter à chaque service Core.

Si vous ajoutez un rôle personnalisé tel que le rôle Analystes_juniors, vous devez l'ajouter à chaque service comme ArchiverA et BrokerB. Les noms de rôles sont sensibles à la casse, ne peuvent pas contenir d'espace et doivent être identiques. Par exemple, Analyste_junior (singulier) et Analystes_juniors (pluriel) ne répondent pas aux exigences des noms de rôles courants.

Workflow de bout en bout pour la configuration d'utilisateurs et l'accès à un service 

Ce workflow montre comment fonctionne le contrôle d'accès basé sur un rôle lorsqu'une connexion approuvée est établie entre Security Analytics Server et le service BrokerB.

  1. Sur Security Analytics Server, créez un compte pour un nouvel utilisateur :
    Nom : Chris Jones
    Nom d’utilisateur : CAJ
    Mot de passe : practice123
  2. Déterminez si vous souhaitez attribuer un rôle préconfiguré ou personnalisé à Chris Jones :
  • Rôle préconfiguré
  1. Conservez ou modifiez les autorisations par défaut attribuées au rôle Analystes qui comprend des autorisations telles que l'accès aux modules Alerting, Investigation et Malware.  
  2. Attribuez le rôle Analystes à Chris Jones.
  • Rôle personnalisé
  1. Créez le rôle personnalisé, par exemple Analystes_juniors.
  2. Attribuez les autorisations au rôle Analystes_juniors.
  3. Attribuez le rôle Analystes_juniors à Chris Jones.
  4. Ajoutez le rôle Analystes_juniors au service, par exemple BrokerB.
  1. L’utilisateur, Chris Jones, se connecte à Security Analytics Server :
    Nom d’utilisateur : CAJ
    Mot de passe : practice123
  2. Le serveur authentifie Chris Jones. 
  3. La connexion approuvée autorise l'utilisateur authentifié, Chris Jones, à accéder à BrokerB sans saisir d'autre mot de passe.

Pour obtenir des descriptions et procédures plus détaillées, reportez-vous à la section Gérer les utilisateurs à l'aide de rôles et d'autorisations.

 

Rubrique connexe

You are here
Table of Contents > Mode de fonctionnement du contrôle d'accès basé sur un rôle

Attachments

    Outcomes