Respondの構成:ステップ2. Respond表示権限の割り当て

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Respondでのインシデントとアラートの調査に必要な権限を持つユーザを追加します。[対応]ビューにアクセスするユーザは、IncidentサーバとRespondサーバの両方に対して権限が必要です。

次の事前構成済みのロールには、[対応]ビューでの権限が付与されています。

  • Analysts:SOC(セキュリティ オペレーション センター)のAnalystsはAlerting、NetWitness Respond、Investigation、Reportingへのアクセス権を持ちますが、システム構成へのアクセス権はありません。
  • Malware Analysts: Malware AnalystsはInvestigationとMalwareイベントへのアクセス権を持ちます。
  • Operators:Operatorsは構成へのアクセス権を持ちますが、Investigation、ESA、Alerting、Reporting、NetWitness Respondへのアクセス権はありません。
  • SOC_Managers:SOC ManagersはAnalystsと同じアクセス権に加えて、インシデントの処理とNetWitness Respondの構成に必要な権限を持ちます。
  • Data_Privacy_Officers:DPO(Data Privacy Officer)は、Administratorsと類似していますが、システム内の機微データの難読化および表示を管理する構成オプションに焦点を当てた権限が追加されています。詳細については、「データ プライバシーの管理」を参照してください。
  • Respond_Administrator:Respond AdministratorはNetWitness Respondに対してフル アクセス権限を持ちます。
  • Administrators:AdministratorsはデフォルトでNetWitness Suiteへのフル システム アクセス権限を持ち、すべての権限が設定されています。

NetWitness Respondデフォルトの権限については次の表を参照してください。[インシデント]タブと[Respond-server]タブの両方でユーザ権限を割り当てる必要があります。これらは[管理]>[セキュリティ]ビューの[ロールの編集]ダイアログにある[権限]タブです。[権限]タブを使用して、Alerting、Context Hub、Investigate、Investigate-server、Reportsに対してユーザ権限を追加することもできます。

Respond-server

                                                                                                                                                                                                

権限

Analysts

SOC
Mgrs

DPO

Respond
Admin

Operators

 

MA

 

respond-server.alert.delete

 

 

はい*

はい*

 

 

respond-server.alert.manageはいはいはい*はい* はい
respond-server.alert.readはいはいはい*はい*

 

はい

respond-server.alertrule.manage

 

はい

はい*

はい*

  
respond-server.alertrule.read はいはい*はい*

 

 

respond-server.configuration.manage

 

 

はい*

はい*

  
respond-server.health.read  はい*はい*

 

 

respond-server.incident.delete  はい*はい*  

respond-server.incident.manage

はい

はい

はい*

はい*

 

はい

respond-server.incident.readはいはいはい*はい* はい

respond-server.journal.manage

はい

はい

はい*

はい*

 

はい

respond-server.journal.readはいはいはい*はい* はい

respond-server.logs.manage

 

 

はい*

はい*

 

 

respond-server.metrics.read  はい*はい*  
respond-server.process.manage  はい*はい*

 

 

respond-server.remediation.manageはいはいはい*はい* はい

respond-server.remediation.read

はい

はい

はい*

はい*

 

はい

respond-server.security.manage  はい*はい*  

respond-server.security.read

 

 

はい*

はい*

 

 

* Data Privacy OfficersとRespond Administratorsはrespond-server.*権限を持ちます。これはRespond-serverの全アクセス権が付与された権限です。

インシデント

                                                                  

権限

Analysts

SOC
Mgrs

DPO

Respond
Admin

Operators

 

MA

 

Incidentモジュールへのアクセス

はいはいはいはい

 

はい

インシデント管理統合の構成

 

はい

はいはい  

アラートとインシデントの削除

  

はい

はい

 

 

アラート処理ルールの管理

 

はい

はいはい  

インシデントの表示と管理

はいはい

はい

はい

 

はい

Respond Administratorは、Respond-serverとインシデントに対するすべての権限を持ちます。

注意:[Respond-Server]タブと[インシデント]タブの両方で同じユーザ権限を割り当てることが非常に重要です。

次の図は、デフォルトのRespond Administratorロールに付与されているRespond-Serverの権限を示しています。Respond AdministratorロールはすべてのNetWitness Respond権限を持ちます。

Respond Administratorロールの[ロールの編集]ダイアログ

次の図は、デフォルトのAnalystsロールのインシデントの権限を示しています。

Analystsロールの[ロールの編集]ダイアログ

詳細については、「システム セキュリティとユーザ管理ガイド」の「ロールの権限」と「ロールと権限によるユーザの管理」を参照してください。

You are here
Table of Contents > NetWitness Respondの構成 > ステップ2. Respond表示権限の割り当て

Attachments

    Outcomes