Administración de usuarios/seguridad: Paso 3. Verificar atributos de consultas y sesiones por función

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se explican los atributos de consultas y sesiones y se proporcionan instrucciones para configurarlos para las funciones de usuario. También se describe cómo estos ajustes de función afectan las configuraciones de usuarios individuales y lo que sucede si un usuario es miembro de varias funciones.

Después de definir las funciones de usuario, es importante verificar los atributos de consultas y sesiones que se configuran para cada función. Puede ajustar esta configuración de acuerdo con los requisitos. Estos atributos se pueden configurar para funciones de usuario y para usuarios individuales. Si los configura para usuarios individuales, la configuración del usuario reemplaza a la configuración de la función asignada.

Atributos de consultas y sesiones

Los atributos de consulta y sesión determinan el manejo de las consultas que ejecuta un usuario. Estos atributos permiten controlar la información que los usuarios pueden recuperar. Se aplican a todas las sesiones de usuarios asignados a una función, a menos que estos atributos también se configuren en el nivel de usuario.

De acuerdo con los requisitos, puede especificar los siguientes atributos de manejo de consultas para una función de usuario o un usuario individual:

  • Tiempo de espera agotado de consulta es una configuración opcional que se aplica a Security Analytics 10.5 y a servicios Core superiores. Especifica la cantidad máxima de minutos que un usuario puede ejecutar una consulta. Si se configura este valor, debe ser cero (0) o mayor. Un valor de cero especifica que no hay tiempo de espera agotado.
  • Nivel de consulta es una configuración opcional que se aplica a Security Analytics 10.4 y a servicios Core anteriores. Define el tiempo de ejecución máximo de la consulta para un usuario en función de tres niveles de consulta: 1, 2 y 3. Los niveles de consulta predeterminados son el Nivel de consulta 1 = 60 minutos, el Nivel de consulta 2 = 40 minutos y el Nivel de consulta 3 = 20 minutos. El nivel de consulta quedó obsoleto para los servicios Core a partir de Security Analytics 10.5.
  • Prefijo de consulta es un filtro opcional que se aplica a las consultas que ejecuta el usuario. El prefijo restringe los resultados de consulta que ve el usuario. Por ejemplo, se antepone el prefijo de consulta 'service' = 80  a cualquier consulta que ejecute el usuario y este solo puede acceder a metadatos de sesiones HTTP.
  • Umbral de sesión es una configuración obligatoria. Este valor debe ser cero (0) o mayor. Si el umbral es mayor de cero, una optimización de consulta extrapolará los conteos de sesiones totales que superen el umbral. Cuando el valor de metadatos que devuelve la consulta alcance el umbral, el sistema:
    • Detendrá su determinación del conteo de sesiones
    • Mostrará el umbral y el porcentaje de tiempo de consulta utilizado para alcanzar el umbral

La configuración de atributos de manejo de consultas que se aplica a un usuario depende de las membresías en las funciones del usuario y de si estos atributos se configuraron para las funciones y para el usuario. Es importante verificar la configuración de atributos de manejo de consultas para las funciones y los usuarios.

Cómo se aplica la configuración de atributos de manejo de consultas a usuarios individuales

Los atributos de manejo de consultas configurados para usuarios individuales reemplazan a la configuración de funciones asignada. Si un usuario es miembro de varias funciones, se aplica al usuario la siguiente lógica:

  • Tiempo de espera agotado de consulta/Nivel de consulta: la configuración del usuario individual reemplaza a la configuración de todas las funciones. Si los ajustes del usuario individual no se configuran, se aplica al usuario el valor más permisivo (más alto) de todas las funciones asignadas.
  • Prefijo de consulta: la configuración del usuario individual reemplaza a la configuración de todas las funciones. Si la configuración del usuario individual usa valores predeterminados, los cuales se muestran en cursiva, los prefijos de consulta de cada una de las funciones de usuario se unen mediante el operador Y. Si el prefijo de consulta está en blanco para el usuario y las funciones, al usuario no se le aplica ningún prefijo de consulta.
  • Umbral de sesión: la configuración del usuario individual reemplaza a la configuración de todas las funciones. Se aplica al usuario el valor más alto de todas las funciones asignadas.

Procedimiento

Para establecer los atributos de manejo de consultas de una función de usuario:

  1. En el menú de Security Analytics, seleccione Administration > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Funciones. Si está agregando una función, haga clic en. Si está editando una función, selecciónela y haga clic en .
    Se muestra el cuadro de diálogo Agregar/Editar función.
  3. Para configurar los atributos de la función, en la sección Atributos:
    • (Opcional) En el campo Tiempo de espera agotado de consulta de SA Core, escriba la cantidad máxima de minutos que un usuario puede ejecutar una consulta. El valor predeterminado es 5 minutos. Este tiempo de espera agotado solo se aplica a las consultas que se ejecutan desde Investigation. Security Analytics 10.5 y los servicios Core superiores usan este campo.
      Cuando se migra a Security Analytics 10.5 y superior, si no hay ningún valor configurado en las funciones, 5 minutos se configura de manera predeterminada.
    • (Opcional) En el campo Nivel de consulta de SA Core, seleccione el nivel de consulta para el usuario. Los niveles de consulta predeterminados son el Nivel de consulta 1 = 60 minutos, el Nivel de consulta 2 = 40 minutos y el Nivel de consulta 3 = 20 minutos. Security Analytics 10.4 y los servicios Core anteriores usan este campo. El nivel de consulta quedó obsoleto para los servicios Core a partir de Security Analytics 10.5.
    • (Opcional) Escriba un Prefijo de consulta de SA Core para filtrar los resultados de la consulta que ven los miembros de la función. De forma predeterminada, este valor está en blanco.
    • Escriba un Umbral de sesión de SA Core para que el sistema detenga su determinación del conteo de sesiones. El valor predeterminado es 100000. El límite que especifica aquí reemplaza al valor de Máximo de exportación de sesiones definido en Perfil > Preferencias > Investigation.
    Un valor mostrado en cursiva indica un valor predeterminado; por ejemplo, 5. Un valor que no se muestra en cursiva indica un cambio respecto del valor predeterminado; por ejemplo, 1200.
  4. Haga clic en Guardar.
You are here
Table of Contents > Administrar usuarios con funciones y permisos > Paso 3. Verificar atributos de consultas y sesiones por función

Attachments

    Outcomes