NetWitness Respondでのインシデントとアラートの調査に必要な権限を持つユーザを追加します。[対応]ビューにアクセスするユーザは、IncidentサーバとRespondサーバの両方に対して権限が必要です。
次の事前構成済みのロールには、[対応]ビューでの権限が付与されています。
- Analysts:SOC(セキュリティ オペレーション センター)のAnalystsはAlerting、NetWitness Respond、Investigation、Reportingへのアクセス権を持ちますが、システム構成へのアクセス権はありません。
- Malware Analysts: Malware AnalystsはInvestigationとMalwareイベントへのアクセス権を持ちます。
- Operators:Operatorsは構成へのアクセス権を持ちますが、Investigation、ESA、Alerting、Reporting、NetWitness Respondへのアクセス権はありません。
- SOC_Managers:SOC ManagersはAnalystsと同じアクセス権に加えて、インシデントの処理とNetWitness Respondの構成に必要な権限を持ちます。
- Data_Privacy_Officers:DPO(Data Privacy Officer)は、Administratorsと類似していますが、システム内の機微データの難読化および表示を管理する構成オプションに焦点を当てた権限が追加されています。詳細については、「データ プライバシーの管理」を参照してください。
- Respond_Administrator:Respond AdministratorはNetWitness Respondに対してフル アクセス権限を持ちます。
- Administrators:AdministratorsはデフォルトでNetWitness Suiteへのフル システム アクセス権限を持ち、すべての権限が設定されています。
NetWitness Respondデフォルトの権限については次の表を参照してください。[インシデント]タブと[Respond-server]タブの両方でユーザ権限を割り当てる必要があります。これらは[管理]>[セキュリティ]ビューの[ロールの編集]ダイアログにある[権限]タブです。[権限]タブを使用して、Alerting、Context Hub、Investigate、Investigate-server、Reportsに対してユーザ権限を追加することもできます。
Respond-server
* Data Privacy OfficersとRespond Administratorsはrespond-server.*権限を持ちます。これはRespond-serverの全アクセス権が付与された権限です。
インシデント
Respond Administratorは、Respond-serverとインシデントに対するすべての権限を持ちます。
注意:[Respond-Server]タブと[インシデント]タブの両方で同じユーザ権限を割り当てることが非常に重要です。
次の図は、デフォルトのRespond Administratorロールに付与されているRespond-Serverの権限を示しています。Respond AdministratorロールはすべてのNetWitness Respond権限を持ちます。
次の図は、デフォルトのAnalystsロールのインシデントの権限を示しています。
詳細については、「システム セキュリティとユーザ管理ガイド」の「ロールの権限」と「ロールと権限によるユーザの管理」を参照してください。