セキュリティ/ユーザー管理:ロール ベースのアクセス制御の仕組み

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsサーバーとコア サービスとの間に信頼関係接続がある場合のRBAC(ロール ベースのアクセス制御)について説明します。

Security Analyticsでは、ユーザーが実行可能な操作をロールとして定義します。ロールには権限が割り当てられており、各ユーザーにロールを割り当てる必要があります。これにより、ユーザーはロールで許可されている操作を実行できます。

事前定義されたロール

ロールの作成と権限の割り当てのプロセスを簡単にするために、Security Analyticsには事前構成されたロールがあります。組織でカスタムのロールを追加することもできます。 

次の表は、事前構成されたそれぞれのロールと割り当てられた権限を示しています。Administratorsロールにはすべての権限が割り当てられています。他のそれぞれのロールには権限のサブセットが割り当てられています。

                                 
ロール権限
Administrators完全なシステム アクセス権を持ちます。デフォルトでは、System Administratorsペルソナにはすべての権限が付与されています。
Operators構成へのアクセス権を持ちますが、メタおよびセッションのコンテンツへのアクセス権は持ちません。System Operatorsペルソナは、システム構成に焦点を当てていますが、Investigation、ESA、アラート生成、レポート作成、インシデント管理には焦点を当てていません。
Analystsメタおよびセッションのコンテンツへのアクセス権を持ちますが、構成へのアクセス権は持ちません。SOC(セキュリティ オペレーション センター)のAnalystsペルソナは、Investigation、ESA、アラート生成、レポート作成、インシデント管理に焦点を当てていますが、システム構成には焦点を当てていません。
SOC_ManagersAnalystsと同じアクセス権に加えて、インシデントの処理に必要な権限を持ちます。SOC Managersペルソナは、インシデント管理を構成するために必要な権限を持つこと以外はAnalystsと同一です。
Malware_AnalystsInvestigationとマルウェア イベントへのアクセス権を持ちます。Malware Analystsペルソナには、Malware Analysisモジュールへのアクセス権だけが付与されています。
Data_Privacy_OfficersDPO(Data Privacy Officer)ペルソナは、Administratorsと類似していますが、システム内の機微データの難読化および表示を管理する構成オプションに焦点を当てた権限が追加されています(「データ プライバシーの管理」を参照)。DPOロールを持つユーザーは、どのメタ キーに難読化のフラグが付いているかを確認でき、難読化されているメタ キーおよびフラグが付いているメタ キーの値を確認することもできます。

サーバとサービスとの間の信頼関係接続

信頼関係接続では、サービスはSecurity Analyticsサーバを明示的に信頼し、ユーザーの管理と認証を行います。認証されたユーザーはSecurity Analyticsの各コア サービスでローカルに定義される必要がないため、各サービスにおける管理を軽減できます。

次の表が示すように、すべてのユーザー管理タスクはサーバで行います。

                                 
タスク場所
ユーザーの追加サーバ
ユーザー名の管理サーバ
パスワードの管理サーバ
内部Security Analyticsユーザーの認証サーバ
(オプション)外部ユーザーの認証:
- Active Directory
- PAM
サーバ
サーバ
PAMのインストールと構成サーバ

信頼関係接続とユーザーの一元管理のメリットは次のとおりです。

  • すべてのユーザー管理タスクはSecurity Analyticsサーバでのみ1度だけ行います。
  • サービスへのアクセスを制御でき、ユーザーの認証をサービスで設定する必要はありません。
  • ユーザーはSecurity Analyticsのログオンでパスワードを1度だけ入力すると、サーバによって認証されます。
  • サーバで認証済みのユーザーは、パスワードを入力せずに、[Administration]>[サービス]にあるすべてのコア サービスにアクセスできます。

信頼関係接続の確立

10.6をインストールするかまたはこのバージョンにアップグレードすると、デフォルトで次の2つの設定を使用して信頼関係接続が確立されます。

  1. SSLが有効になります。
  2. コア サービスはSSLポートに接続し、通信が暗号化されます。

信頼関係接続を確立するには、各Security Analytics Coreサービスを10.4以降にアップグレードする必要があります。信頼関係接続は、Security Analytics Core 10.3.x以前とは下位互換性がありません。

サーバおよびサービスにおける共通のロール名

信頼関係接続は、サーバおよびサービスで共通のロール名に依存しています。新規インストール環境では、Security Analyticsは5つの事前構成されたロールがサーバと各コア サービスにインストールされます。10.3x以前から10.6にアップグレードした場合、Security Analyticsは新しいSOC_ManagersとMalware_Anlaystsのロールをインストールしません。これらのロールは各コア サービスに追加する必要があります。

JuniorAnalystsなどのカスタム ロールを追加している場合は、ArchiverAやBrokerBなどの各サービスにそのロールを追加する必要があります。ロール名では、大文字と小文字が区別され、空白文字を含むことはできず、厳密に同一である必要があります。たとえば、JuniorAnalyst(単数)とJuniorAnalysts(複数)は共通のロール名の要件を満たしていません。

ユーザーの構成とサービス アクセスのエンド ツー エンドのワークフロー 

このワークフローでは、Security AnalyticsサーバとサービスBrokerBとの間に信頼関係接続がある場合のロール ベースのアクセス制御の仕組みを示しています。

  1. Security Analyticsサーバで、新しいユーザーのアカウントを作成します。
    名前:Chris Jones
    ユーザ名CAJ
    パスワード:practice123
  2. Chris Jonesに割り当てるのは事前構成されたロールかカスタムロールかを決めます。
  • 事前構成されたロール
  1. Analystsのロールに割り当てられたデフォルトの権限を維持または変更します。これには、Alerting、Investigation、Malwareモジュールへのアクセスなどの権限が含まれます。  
  2. Chris JonesにAnalystsのロールを割り当てます。
  • カスタムロール
  1. JuniorAnalystsなど、カスタムロールを作成します。
  2. JuniorAnalystsのロールに権限を割り当てます。
  3. Chris JonesにJuniorAnalystsのロールを割り当てます。
  4. JuniorAnalystsのロールをBrokerBなどのサービスに追加します。
  1. ユーザーChris JonesはSecurity Analyticsサーバにログオンします。
    ユーザー名:CAJ
    パスワード:practice123
  2. サーバはChrisを認証します。 
  3. 信頼関係接続により、認証ユーザーであるChrisは、別のパスワードを入力せずに、BrokerBにアクセスできます。

詳細な説明と手順については、次のトピックを参照してください:ロールと権限によるユーザーの管理.

 

関連トピック

You are here
Table of Contents > ロール ベースのアクセス制御の仕組み

Attachments

    Outcomes