Reporting : Présentation du Reporting

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode

Le reporting est une collecte de données résultant de la surveillance du trafic réseau, qui peut être utilisée pour une analyse approfondie. Dans NetWitness Suite, vous pouvez exécuter un rapport pour les services de base des bases de données de NetWitness Suite afin d’identifier les activités réseau. Par exemple, si vous voulez identifier les meilleurs pays source et les meilleurs pays de destination, ou les principales tendances de risques et de menaces qui aident à surveiller les modifications apportées aux catégories normales ou contrôler les utilisateurs et les services qui peuvent potentiellement avoir des activités malveillantes, etc..

Les fonctions de reporting sont généralement constituées de : rapports et graphiques. Vous pouvez générer un rapport lié aux données du log et des paquets collectées et personnaliser les rapports et les graphiques pour améliorer l'aspect visuel. Vous pouvez créer des rapports en temps réel pour l'historique des données. Vous pouvez créer des graphiques et des dashlets, qui peuvent également être ajoutés en temps réel aux dashlets graphiques.

Reporting Engine

Le module Reporting repose sur le Reporting Engine pour fournir des données aux rapports, alertes et graphiques. Par conséquent, vous devez configurer le Reporting Engine en tant que service pour NetWitness Suite avant de pouvoir générer les rapports. Vous devez également spécifier la source de données dans le Reporting Engine à partir de laquelle les données sont extraites.

Les données pour lesquelles vous pouvez générer un rapport ou une alerte dépendent de la configuration de Reporting Engine et des sources de données que vous spécifiez dans le cadre de la définition de la règle.

Remarque : Vérifiez que vous avez accès aux composants du Reporting.

Remarque : Vérifiez que vous avez accès aux sources de données requises. Seuls les utilisateurs privilégiés ayant accès aux informations sensibles sont autorisés à exploiter certaines sources de données. Pour gérer le contrôle d'accès aux sources de données, consultez la rubrique « Ajouter un rôle et attribuer des autorisations pour Warehouse Analytics » dans le Guide Warehouse Analytics. Cependant, pour les rapports, les alertes et les graphiques existants, si le rôle de l'utilisateur ou les autorisations sont modifiés pour les sources de données, alors ils ne seront pas applicables, sauf si vous mettez à jour les autorisations manuellement.

Remarque : Reporting est accessible en fonction de l'accès basé sur les rôles, défini pour l'utilisateur.

Rapport

Un rapport est une combinaison de règles et d'autres objets de formatage, par exemple des en-têtes, des remarques au format HTML, qui décrivent et identifient des données concernant un domaine d'intérêt spécifique. Les rapports sont définis et gérés dans la page Élaborer le rapport et leur exécution peut être planifiée ponctuellement ou en temps voulu. Lorsqu'un rapport est exécuté, les résultats sont stockés de manière centralisée et peuvent être envoyés automatiquement par e-mail, SFTP, URL et NFS aux utilisateurs, consultés via l'interface Web NetWitness Suite et téléchargés sous forme de fichiers PDF et CSV.

Un rapport se compose des éléments suivants :

                            
PropertyDescriptionExemple 
Nom du rapport

Remarque : Pour le champ Nom, l'icône permettant d'étendre la taille de la colonne ne s'affiche pas à la fin du champ de colonne. Vous devez placer le pointeur de la souris un peu à gauche pour voir apparaître l'icône qui permet d'étendre la colonne.

Sert à identifier le rapport en vue de le planifier à une date ultérieure.Rapport1
Text

Champs de texte prédéfinis utilisés dans un rapport pour rendre le rapport plus explicite pour l'utilisateur.

En-tête1, Commentaire
d’association

Règles (requêtes) utilisées pour créer un rapport.

select user.dst

where ip.src = 10.10.10.1

Remarque : Dans l'interface utilisateur Reporting, la date ou l'heure affichée correspond toujours au profil de fuseau horaire sélectionné par l'utilisateur.

Règle

Une règle est le membre basique et essentiel du bloc de construction Reporting. Vous devez créer une règle qui peut être utilisée dans un Rapport, un Graphique ou une Alerte.

Une règle représente une requête unique qui détecte et récapitule les informations requises dans une collecte de données réseau.

La syntaxe de règle est fortement similaire à celle du Standard Query Language (SQL) où vous pouvez utiliser la clause select, la clause where, les options de tri et de groupe et les limites pour l'ensemble de résultats. Une règle se compose des éléments suivants :

                                              
PropertyDescriptionExemple 
NameNom de la règle.Activité de compte du système Windows
SélectionnerListe de types de métadonnées renvoyés dans l'ensemble de résultats. La liste de types de métadonnées est fournie dans la bibliothèque de métadonnées. La bibliothèque de métadonnées dans le Générateur de règles est continuellement synchronisée avec la configuration d'index de l'hôte NetWitness Suite auquel NetWitness Suite est connecté. Le nombre de types de métadonnées que cette propriété peut représenter dépend de la façon dont la règle doit être triée. Si la propriété Trier par est « Aucun » ou non agrégée, une règle peut avoir plusieurs champs de sélection et, par exemple, inclure les paramètres ip.src, ip.dst, taille et heure dans le résultat de la règle pour chaque correspondance. Si une règle doit être triée, par nombre de sessions, taille de session ou taille de paquet, il ne peut y avoir qu'un seul champ sur lequel effectuer la sélection. 
Clause qui fournit la requête de base pour la règle.alert='cleartext_ftp_passwords'
Then (actions de règle)Série de fonctions qui manipule l'ensemble de résultats original afin de rendre le résultat d'un rapport plus explicite ou d'ajouter de nouvelles fonctionnalités autres que l'interrogation et l'affichage des données. lookup_and_add ('username','ip.src',10);

Trier par

Détermine la façon dont les données sont triées dans l'ensemble de résultats. Les différentes possibilités sont :

  • Total
  • Valeur
  • Nom de colonne

Total

LimiteDésigne la taille maximale d'un ensemble de résultats pour la règle donnée. Les utilisateurs doivent noter que si un ensemble de résultats est trié par nombre ou taille, la limite représente les N valeurs supérieures (ou inférieures) à renvoyer. Si l'ensemble de résultats n'est pas trié, les premières valeurs N sont renvoyées.20

Remarque : Dans l'interface utilisateur, la date ou l'heure qui s'affiche dépend du fuseau horaire sélectionné par l'utilisateur.

Types de règles

Il existe différents types de règles dans Reporting. Les types de règles correspondent à la source des données d'une règle de rapport. Les types de règles sont les suivants :

                     
Type de règleDescription
Base de données NetWitness Database (Base de données NetWitness)La base de données NetWitness extrait les métadonnées d'un Reporting Engine configuré pour utiliser un Concentrator, un Broker et un Archiver comme sources de données et fournit les métadonnées pour les règles.
Base de données Warehouse (Warehouse DB)La base de données Warehouse, appelée aussi RSA NetWitness Warehouse, stocke de gros volumes de données. La base de données Warehouse est conçue de façon à pouvoir récupérer de gros volumes de données facilement et efficacement. La base de données Warehouse extrait aussi les métadonnées du Reporting Engine.
Base de données Répondre (Respond DB)La base de données Répondre génère des rapports sur les alertes et les incidents. La base de données Répondre contient des alertes et des incidents générés à partir de différents services et vous pouvez créer un rapport sur les incidents et les alertes.

Remarque : Dans l'interface utilisateur, la date ou l'heure qui s'affiche dépend du fuseau horaire sélectionné par l'utilisateur.

Liste

Une liste est une variable qui se réfère à une série de valeurs séparées par une virgule (CSV).  Vous pouvez insérer une liste dans une règle ou l'utiliser comme argument pour une action de règle. Les listes peuvent servir d'espaces réservés pour d'autres valeurs, que vous pouvez indiquer et mettre à jour si nécessaire.

Vous pouvez créer, gérer et afficher des listes qui peuvent servir à définir des règles pour le Reporting et l’Alerting.

Les listes ne peuvent pas être vides et contenir des valeurs en double ou vides.

Remarque : Si vous définissez un rapport avec une règle qui contient lookup_and_add dans la clause Then et que vous dirigez le résultat du rapport dans une liste, le résultat n'est pas intégré dans la liste.
Par exemple, si vous créez une règle avec ip.src dans la clause select et lookup_and_add ('ip.dst','ip.src', 10) dans la clause Then, le rapport affiche le résultat, mais si vous avez redirigé le résultat dans une liste, cette liste est vide.

Graphique

Un graphique est une représentation sous forme de tableau ou une grille de données. Il comprend les éléments suivants :

                       
PropriétéDescriptionExemple 
Nom du graphiqueIdentifie le graphique.Graphique1
Base de règleIdentifie le chemin d'accès de la règle choisi dans la hiérarchie des dossiers. 

Toute règle de base de données NetWitness Suite dans le système Reporting Engine qui n'est pas triée par Aucun peut être utilisée pour créer instantanément un graphique. Dans NetWitness Suite, le début du graphique peut être ajusté dans le panneau même de définition du graphique. Chaque fois qu'un graphique est exécuté, il stocke ses résultats de données localement dans le Reporting Engine afin d'être consulté dans la vue Tableau de bord ou Graphique sans impact sur les performances.

Remarque : Dans l'interface utilisateur de Reporting, le résultat du champ où la date et l'heure sont affichées dépend toujours du profil de fuseau horaire sélectionné par l'utilisateur.

Remarque : Le Reporting Engine (RE) vérifie automatiquement l’espace disque disponible avant d’exécuter une règle, un rapport, un graphique et une alerte. Si l’espace de disque RE (en pourcentage) est inférieur au seuil de l’espace disque minimal (la valeur par défaut est 5), le RE arrête l’exécution en cours et un message d’erreur « Espace disque disponible pour la base de Reporting Engine < 5 %, veuillez nettoyer l’espace afin de poursuivre » s’affiche. En outre, vous pouvez également configurer le seuil d’espace disque minimal en utilisant le chemin d’accès suivant : RE>Explore>com.rsa.soc.re>Configuration>CommonConfig>minDiskSpaceThreshold.

Directives de reporting

Cette rubrique affiche les instructions recommandées par RSA pour améliorer la durée d'exécution de vos entités de reporting telles que les règles, les rapports, les alertes, les graphiques et les listes. Des instructions sont fournies pour les rubriques suivantes :

  • Règles NWDB
  • Configuration du délai d'expiration des règles NWDB
  • Action de la règle LookupAndAdd
  • Rapports de valeur de liste

Règles NWDB

Si les entités de reporting (rapports, alertes ou graphiques) contiennent des règles NWDB (dans la plupart des cas où la requête contient Group By), le processus mettra beaucoup de temps à s'exécuter, et dans ce cas, vous pourrez effectuer les opérations suivantes : 

  1. Affiner la clause Where : 
    Vous pouvez limiter le nombre de sessions analysées en utilisant ou affinant la clause Where (en particulier lorsque vous utilisez l'option Grouper par). Par exemple, envisageons la règle suivante.
    Clause where normale


    Si vous utilisez une clause Where comme mentionnée ci-dessus, le nombre de sessions agrégées sera énorme. Pour éviter cela, vous pouvez filtrer uniquement les sessions requises en spécifiant la liste des adresses IP ou en créant une liste (liste des adresses IP) qui contient les adresses IP pertinentes.
    Clause where filtrée  
  2. Utilisation des clés méta indexées dans la clause Where :
    Pour savoir si la métadonnée est indexée ou non, placez la souris sur la clé méta. Si la valeur est du type INDEX_VALUE, alors la métadonnée est indexée. La valeur est du type INDEX_KEY ou INDEX_NONE si la métadonnée n'est pas indexée. 
    Voici un aperçu d'une clé méta qui est indexée.
    Clé méta indexée
     
  3. Configurer l'option Timeout :
    Si la requête met beaucoup de temps à s'exécuter et échoue en raison d'un problème d'expiration du délai, configurez le délai d'attente pour les exécutions de la règle NWDB. Pour plus d'informations, reportez-vous à la rubrique Configuration du délai d'expiration des règles NWDB qui figure ci-après.  
  4. Planifier les requêtes pour qu'elles s'exécutent à des moments différents :
    Si plusieurs agrégats de requête sont exécutés simultanément et que la temporisation se déclenche, vous pouvez planifier les requêtes pour qu'elles s'exécutent à des moments différents, sans trop de chevauchement. 

Configuration du délai d'expiration des règles NWDB

Remarque : Il est conseillé de vérifier les statistiques du Reporting Engine et des sources de données NWDB avant de modifier la configuration. Pour plus d'informations, reportez-vous aux rubriques « Contrôler les détails d'un service » pour Reporting Engine, et « Contrôler les statistiques du système » dans le Guide de maintenance du système.   

Si l'exécution de la règle NWDB échoue en raison du délai d'expiration, les erreurs suivantes peuvent s'afficher sur la page Afficher un rapport : 

  • Erreur liée à l'expiration du délai d'exécution du Reporting Engine
    • « Data source ‘10.31.x.x Concentrator' did not respond within the configured time 30 minutes for the ‘/sdk/values' request. » 
    • Erreur liée à l'expiration du délai d'exécution d'une source de données NWDB
      • « Error occurred while fetching data from source '10.31.x.x Concentrator'. {Timeout message from NWDB} »
      Dans ce cas, procédez comme suit :
      • Expiration du délai d'exécution du Reporting Engine 
        En cas d'expiration du délai d'exécution du Reporting Engine, vous pouvez définir un délai d'une durée plus longue de sorte que les requêtes longues puissent être exécutées. Pour plus d’informations sur la configuration des options NWDB Queries Time Out et NWDB Info Queries Time Out pour le Reporting Engine, reportez-vous à la rubrique « Étape 2. Configurer les paramètres du Reporting Engine » dans le Guide de Configuration de Reporting Engine. RSA vous recommande de définir l'option NWDB Query Time Out sur zéro minute (pas de délai) et l'option NWDB Info Queries Time Out sur 60 minutes.
      • Délai d'expiration NWDB
        En cas d'expiration du délai NWDB, vous pouvez configurer les paramètres query.level.timeout et max.concurrent.queries pour la source de données NWDB basée sur les recommandations du Guide d’optimisation de base de données principale en vue d'affiner les requêtes.
        La figure suivante présente un exemple de la vue Explorer qui vous permet de définir les paramètres de la source de données NWDB.
        Définition des paramètres pour la source de données NWDB
      • Planifier des rapports à des heures différentes
        Si les périphériques de base NWDB sont lourdement sollicités, vous pouvez planifier l'exécution des rapports à des moments différents, sans chevauchement. 
      • Fractionner le rapport
        Si votre rapport contient de nombreuses règles, fractionnez le rapport en plusieurs rapports contenant chacun un ensemble logique de règles. Si vous avez plusieurs règles, toutes les règles vont commencer à s'exécuter en même temps, sur la base de threads disponibles, donc vous pouvez regrouper les règles de manière logique dans des rapports distincts.

Action de la règle LookupAndAdd

Si une règle composée d'une ou de plusieurs actions de règle lookup_and_add prend beaucoup de temps à exécuter le rapport, c'est parce que chaque action de règle déclenche plusieurs requêtes de recherche sur la source de données NWDB, ce qui implique un temps d'exécution plus long.

Pour améliorer le temps d'exécution des rapports, vous pouvez effectuer les opérations suivantes :  

  • Affiner la clause Where comme suit :
    • Règle contenant l'action de règle lookup_and_add
    • Action de règle lookup_and_add
  • Définir des limites
    Vous devez définir des limites appropriées pour la règle et les actions de la règle. Si la limite est élevée, cela se traduira par le déclenchement de nombreuses requêtes, et donc le rapport prendra beaucoup de temps à s'exécuter. 
  • Définir le paramètre booléen aggregate

    Si vous ne souhaitez pas de valeur d'agrégat, comme sum(meta), count(meta), etc. pour les valeurs de recherche, définissez le paramètre booléen aggregate sur false dans l'action de la règle lookup_and_add. Pour plus d'informations, reportez-vous à la rubrique Syntaxe des règles NWDB dans Syntaxe de la règle .

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    Envisageons la règle contenant l'action de la règle lookup_and_add :

    Règle contenant l'action de la règle lookup and add : 

    Le résultat s'affiche :

    Règle contenant le résultat d'action de la règle lookup and add 

  • Chaque action de la règle lookup_and_add déclenche par défaut deux requêtes de recherche simultanées sur la source de données. RSA recommande de conserver la configuration par défaut, mais si vous souhaitez augmenter la valeur, vérifiez que la valeur du paramètre Max # of Concurrent LookupAndAdd Queries dans Reporting Engine est inférieure à la valeur Max Concurrent Queries dans la configuration de la source de données NWDB.
    Si la source de données NWDB est partagée entre d'autres services, alors vous pourrez conserver une faible valeur pour le paramètre Max # of Concurrent LookupAndAdd Queries dans Reporting Engine, car le fait de l'augmenter pourrait avoir un impact sur les requêtes issues d'autres services. Pour plus d'informations, consultez la rubrique « Onglet général du Reporting Engine » dans le Guide de configuration de Reporting Engine
  • Si vous êtes intéressé(e) uniquement par les valeurs uniques au lieu des valeurs agrégées précises, alors définissez le Session Threshold à une valeur non nulle pour la règle NWDB. Pour plus d’informations, voir la rubrique Création d’une règle à l’aide de la source de données NetWitness dans Configurer une règle. Plus la valeur est haute, plus l’exécution de la règle est longue. Si la valeur est définie sur zéro, il faudra plus de temps, mais elle fournira des agrégats précis. 
    Envisagez une règle avec l'action de règle lookup_and_add et un seuil de session sur 10.
    Règle avec l'action de règle lookup_and_add et un seuil de session sur 10

    Le résultat s'affiche :
    règle avec l'action de règle lookup_and_add et un résultat de seuil de session sur 10.

Rapports de listes de valeurs

Utiliser une liste affinée :

Dans le cas des rapports de listes de valeurs (pour n'importe quel type de source de données), les rapports individuels seront générés pour chaque valeur de la liste. Par conséquent, plus la liste contient de valeurs, plus les rapports prendront du temps à s'exécuter. De ce fait, vous devez utiliser une liste affinée pour produire ces rapports. 

Contrôler l'accès à Reporting

Le module Reporting vous offre la possibilité de configurer un contrôle d'accès à tous les composants du module. Dans NetWitness Suite, vous pouvez définir différents rôles et spécifier le contrôle d'accès pour chacun des rôles du module de sécurité du système. Vous pouvez définir le contrôle d'accès à fournir pour le module Reporting pour chaque rôle. Pour plus d'informations, reportez-vous à « Étape 1 : Passer en revue les rôles préconfigurés NetWitness Suite » et « Étape 2 : (Facultatif) Ajouter un rôle et attribuer des autorisations » dans le Guide de la sécurité du système et de la gestion des utilisateurs.

Dans le module Rapports, vous pouvez modifier les autorisations des rôles ou accéder aux objets Reporting suivants :

Voici un exemple de la hiérarchie des groupes d'objets, des objets et des dépendants. Il s'agit d'une illustration de la hiérarchie des groupes de rapports et des rapports.

Hiérarchie des groupes de rapports et des rapports

Hiérarchie des groupes de rapports et des rapports

Autorisation pour les groupes d'objets

  • Vous devez avoir l'autorisation Lecture et écriture pour définir les autorisations pour les groupes d'objets, les objets ou les dépendants. Les dépendants avec l'autorisation « Aucun accès » sont grisés et les dépendants avec l'autorisation « Lecture seule » sont signalés par une icône.
  • Lorsque vous définissez l'autorisation pour le groupe d'objets, les objets et les dépendants du groupe d'objets, n'attribuez pas l'autorisation automatiquement. Vous devez sélectionner le paramètre « Appliquer ces autorisations aux sous-groupes et <Objets> dans ce groupe » pour effectuer l'opération. Par exemple, si vous ne souhaitez pas que les rôles Opérateurs accèdent aux rapports du Groupe de rapports A, vous devez alors appliquer l'autorisation Aucun accès au groupe A pour le rôle Opérateur. Ensuite, vous devez sélectionner l'option « Appliquer ces autorisations aux sous-groupes et rapports dans ce groupe ».
  • Lorsque vous définissez les autorisations pour le groupe d'objets et sélectionnez l'option « Appliquer ces autorisations aux sous-groupes et <Objets> dans ce groupe », les dépendants comme les règles ou les plannings en tant qu'objets n'héritent pas des autorisations automatiquement. Vous devez utiliser l'option « Appliquer l'autorisation de lecture seule aux <Objets> » pour appliquer l'autorisation aux règles.
  • Lorsque vous définissez des autorisations pour les objets, vous devez vous assurer que les objets de la hiérarchie ont toujours une autorisation qui est inférieure ou égale à celle au-dessus dans la hiérarchie pour que l'autorisation soit appliquée. Par exemple, les rapports contenus dans un groupe de rapports ont l'autorisation Lecture et écriture. Vous appliquez une autorisation Lecture seule ou Aucun accès au niveau du groupe de rapports et vous sélectionnez l'option « Appliquer ces autorisations aux sous-groupes et rapports dans ce groupe », alors l'autorisation sur les règles restera inchangée. 
  • Les autorisations sont mises en cascade du haut vers le bas dans la hiérarchie et non vice-versa. Par exemple, si vous appliquez une autorisation à une règle, elle ne changera pas l'autorisation du rapport qui contient la règle. 

Autorisation pour les objets ou les dépendants

  • Vous devez avoir l'autorisation Lecture et écriture pour définir les autorisations pour les objets ou les dépendants.
  • Vous pouvez spécifier l'autorisation pour plusieurs objets à la fois au lieu de définir l'autorisation pour chaque objet.
  • Lorsque vous définissez l'autorisation pour l'objet et les dépendants de l'objet, n'attribuez pas l'autorisation automatiquement. Vous devez sélectionner l'option « Appliquer l'autorisation de lecture seule aux <Objets> » pour exécuter l'opération.

Lorsque vous appliquez l'autorisation aux dépendants, elle est appliquée sur la base de l'autorisation existante pour le rôle. Prenons par exemple un analyste et un opérateur avec les autorisations suivantes pour les différents dépendants (l'objet du Rapport A a la Règle AA, la Règle AB et la Règle AC comme dépendants). 

                               
Objet ou Dépendant Analyste Opérateur
Rapport ALecture et écritureAucun accès
           Règle AALecture et écritureAucun accès
           Règle ABLecture et écritureLecture et écriture
           Règle ACLecture seuleAucun accès

Si l'analyste applique une autorisation de lecture et écriture pour le rôle Opérateur et sélectionne l'option « Appliquer l'autorisation de lecture seule aux <Objets> », les autorisations seront définies pour les différents dépendants comme suit : 

Modifiez les autorisations.

  • Niveau du groupe : Définissez les autorisations au niveau du groupe d'objets et pour tous les objets et entités du Groupe. Par exemple, si vous avez 80 rapports dans le groupe Rapports administrateurs rapports et que vous souhaitez que seul l'administrateur ajoute ou modifie ces rapports, vous pouvez définir l'autorisation pour tous les autres rôles au niveau du groupe en lecture seule, et sélectionnez la possibilité de l'appliquer à tous les rapports et les sous-groupes au sein du groupe de rapports. 
  • Objets multiples : Sélectionnez plusieurs objets et spécifiez l'accès à tous les objets sélectionnés. Par exemple, si vous avez 10 rapports dans le sous-groupe Trafic réseau avec des informations sensibles que vous ne souhaitez pas laisser accessibles, sélectionnez les 10 rapports, puis définissez l'autorisation « Aucun accès » pour tous les rôles.
  • Objet unique : Sélectionnez uniquement l'objet et spécifiez l'autorisation. Par exemple, sélectionnez le rapport Trafic réseau et spécifiez l'autorisation de lecture-écriture pour le rôle Analyste de sécurité, ou sélectionnez l'alerte en cas d'échec de la connexion et spécifiez l'autorisation de lecture-écriture pour le rôle Analyste de sécurité.
                               
Objet ou DépendantOpérateur (avant l'application de l'autorisation)Opérateur (après l'application de l'autorisation)
Rapport AAucun accèsLecture et écriture
           Règle AAAucun accèsLecture seule
           Règle ABLecture et écritureLecture et écriture
           Règle ACAucun accèsLecture seule

Rôles et autorisations pour le module de reporting

Bien que NetWitness Suite inclue cinq rôles préconfigurés, vous pouvez ajouter des rôles personnalisés. Par exemple, parallèlement au rôle préconfiguré Analystes, vous pouvez ajouter les rôles personnalisés AnalystesEurope et AnalystesAsia.

                               
RôleAutorisation
AdministrateursAccès complet au système
OpérateursAccès aux configurations mais pas aux données
AnalystesAccès aux données mais pas aux configurations
SOC_Managers (Responsables de SOC)Même accès que les Analystes avec des autorisations supplémentaires pour gérer les incidents
Malware_Analysts (Analystes du malware)Accès aux événements de malware uniquement

En fonction du rôle d'utilisateur, vous pouvez définir les autorisations d'accès suivante pour accéder aux composants du module Reporting (Règles, Rapports, Graphiques, Alertes et Listes) :

  • Créer
  • Supprimer
  • Exporter
  • Manage 
  • Afficher 

Remarque : Vous devez activer toutes les autorisations pour qu'un rôle d'utilisateur puisse définir, supprimer, gérer et consulter chacun des modules Reporting. Vous devez également disposer des autorisations appropriées pour que la source de données soit répertoriée tout en définissant les rapports, graphiques ou alertes. Pour plus d'informations, reportez-vous à la rubrique « Configurer les autorisations d'accès aux sources de données » dans le Guide de configuration de Reporting Engine.

Pour obtenir une liste détaillée des autorisations et savoir comment ajouter un rôle et attribuer des autorisations, reportez-vous à la rubrique « Autorisations de rôle » et « Étape 2. (Facultatif) Ajouter un rôle et attribuer des autorisations » dans le Guide de la sécurité du système et de la gestion des utilisateurs

You are here
Table of Contents > Présentation du reporting

Attachments

    Outcomes