Configuration de Respond : Étape 2.  Attribuer des autorisations sur la vue Répondre

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Ajouter des utilisateurs disposant des autorisations requises pour analyser les incidents et les alertes dans NetWitness Respond. Les utilisateurs ayant accès à la vue Répondre ont besoin des autorisations sur les incidents et le serveur de réponse.

Les rôles préconfigurés suivants disposent d’autorisations dans la vue Répondre :

  • Analystes : Les analystes du centre des opérations de sécurité (SOC) ont accès à la gestion des alertes, à NetWitness Respond, Procédure d’enquête et Reporting, mais pas aux configurations système.
  • Analystes du malware : Les analystes du malware ont accès aux procédures d’enquête et aux événements de malware.
  • Opérateurs : Les opérateurs ont accès aux configurations, mais n’ont pas accès aux procédures d’enquête, à ESA, à la gestion des alertes, aux rapports et à NetWitness Respond.
  • SOC_Managers (Responsables de SOC): Les Responsables de SOC ont le même accès que les analystes et disposent aussi d’autorisations pour gérer les incidents et configurer NetWitness Respond.
  • Data_Privacy_Officers (Responsables de la confidentialité des données) : Les Responsables de la confidentialité des données ont le même accès que les administrateurs, mais s’occupe aussi des options de configuration qui gèrent l’obscurcissement et l’affichage des données sensibles dans le système. Pour plus d’informations, reportez-vous à la rubrique Gestion de la confidentialité des données.
  • Administrateur de réponse : L’administrateur de réponse a un accès complet à NetWitness Respond.
  • Administrateurs : l’administrateur a un accès système complet à NetWitness Suite et dispose de toutes les autorisations par défaut.

Les autorisations par défaut NetWitness Respond sont indiquées dans les tableaux ci-dessous. Vous devez attribuer des autorisations d’utilisateur dans les onglets Incidents et Serveur de réponse, qui sont les noms des onglets Autorisations dans les boîtes de dialogue Ajouter ou Modifier les rôles de la vue ADMIN > Sécurité. Vous souhaiterez peut-être ajouter des autorisations d’utilisateur supplémentaires pour la gestion des alertes, Context Hub, Enquêter, le serveur de procédure d’enquête et les rapports.

Serveur de réponse

                                                                                                                                                                                                

Autorisations

Analystes

Responsables
de SOC

DPO

Administrateur
de réponse

Opérateurs

 

MA

 

respond-server.alert.delete

 

 

Oui*

Oui*

 

 

respond-server.alert.manageOuiOuiOui*Oui* Oui
respond-server.alert.readOuiOuiOui*Oui*

 

Oui

respond-server.alertrule.manage

 

Oui

Oui*

Oui*

  
respond-server.alertrule.read OuiOui*Oui*

 

 

respond-server.configuration.manage

 

 

Oui*

Oui*

  
respond-server.health.read  Oui*Oui*

 

 

respond-server.incident.delete  Oui*Oui*  

respond-server.incident.manage

Oui

Oui

Oui*

Oui*

 

Oui

respond-server.incident.readOuiOuiOui*Oui* Oui

respond-server.journal.manage

Oui

Oui

Oui*

Oui*

 

Oui

respond-server.journal.readOuiOuiOui*Oui* Oui

respond-server.logs.manage

 

 

Oui*

Oui*

 

 

respond-server.metrics.read  Oui*Oui*  
respond-server.process.manage  Oui*Oui*

 

 

respond-server.remediation.manageOuiOuiOui*Oui* Oui

respond-server.remediation.read

Oui

Oui

Oui*

Oui*

 

Oui

respond-server.security.manage  Oui*Oui*  

respond-server.security.read

 

 

Oui*

Oui*

 

 

*Les responsables de la confidentialité des données et les administrateurs de réponse ont l’autorisation respond-server.*Elle leur accorde toutes les autorisations sur le serveur de réponse.

Incidents

                                                                  

Autorisations

Analystes

Responsables
de SOC

DPO

Administrateur
de réponse

Opérateurs

 

MA

 

Accéder au module Incident

OuiOuiOuiOui

 

Oui

Configurer l'intégration Incident Management

 

Oui

OuiOui  

Supprimer les alertes et incidents

  

Oui

Oui

 

 

Gérer les règles de gestion des alertes

 

Oui

OuiOui  

Afficher et gérer les incidents

OuiOui

Oui

Oui

 

Oui

L’administrateur de réponse dispose de toutes les autorisations sur le serveur de réponse et les incidents.

Attention : Il importe que vous attribuiez des autorisations utilisateur équivalentes À LA FOIS dans l’onglet Serveur de réponse et dans l’onglet Incidents.

La figure suivante présente les autorisations sur le serveur de réponse pour le rôle Administrateur de réponse. Le rôle Administrateur de réponse contient toutes les autorisations NetWitness Respond.

Boîte de dialogue Modifier un rôle pour le rôle Administrateur de réponse

La figure suivante présente les autorisations Incidents pour le rôle Analystes par défaut :

Boîte de dialogue Modifier un rôle pour le rôle Analystes

Pour plus d'informations, reportez-vous à la rubrique Autorisations du rôle et Gérer les utilisateurs à l'aide de rôles et d'autorisations dans le Guide de la sécurité du système et de la gestion des utilisateurs.

You are here
Table of Contents > Configuration de NetWitness Respond > Étape 2.  Attribuer des autorisations sur la vue Répondre

Attachments

    Outcomes