Gestion de la sécurité/utilisateur : Autorisations du rôle

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique décrit l'accès à l'interface utilisateur à la disposition des utilisateurs attribués aux NetWitness Suite rôles intégrés. 

Dans NetWitness Suite, l'accès des utilisateurs à chaque module, dashlet et vue est restreint en fonction des autorisations attribuées décrites dans cette rubrique. Vous pouvez trouver ces autorisations de rôle dans les boîtes de dialogue Ajouter ou modifier les rôles, accessibles à partir de l’onglet Administrateur > Sécurité > Attribution de rôles.

Dans les boîtes de dialogue Ajouter ou modifier les rôles, les onglets de la section Autorisation représentent les différentes zones deNetWitness Suite et affichent les autorisations disponibles pour ces domaines. Par exemple, l’onglet Administration présente les autorisations disponibles dans la vue Administrateur.

Remarque : Dans les boîtes de dialogue Ajouter ou modifier un rôle, il n’existe aucun onglet de configuration correspondant à la vue Configuration. Pour attribuer des autorisations dans la vue Configuration, attribuez des autorisations pour les vues contenues dans la vue Configuration : Contenu Live (Live), Règles de l’incident (Incidents), Règles ESA (Alerting), Abonnements (Live) et Feeds personnalisés (Live).

Remarque : À gauche de l’onglet Administration se trouve un onglet marqué d’un astérisque (*). Cet onglet indique l’accès à la gestion des services back-end uniquement.

Les tableaux qui suivent présentent les autorisations par défaut attribuées à chaque NetWitness Suite rôle d’utilisateur :

  • Administrateurs
  • Opérateurs
  • Analystes
  • Administrateur de réponse
  • Responsables du SOC (Gest. SOC)
  • Analystes Malware (MA)
  • Responsables de la confidentialité des données (DPO)

Étant donné que le rôles d’Administrateurs possède toutes les autorisations par défaut, ils ne sont pas inclus dans les tableaux.

Format des autorisations de service des nouveaux services

Les autorisations de service inhérentes à certains nouveaux NetWitness Suite services sont divisées en trois parties, au format suivant :

<nom du service> <ressource>.<action>

Par exemple, pour l’autorisation investigate-server.metrics.read :

  • nom du service = investigate-server (serveur Rechercher)
  • ressource = metrics (statistiques)
  • action = read (lire)

Les utilisateurs alloués à cette autorisation peuvent lire les statistiques exposées par le service de serveur Rechercher.

Administration

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Administration : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                                                                                                                                                                                                           
AutorisationOpérateursAnalystesGest. SOCMADPO
Accéder au module AdministrationOuiOuiOuiOuiOui
Accéder à l'intégritéOuiOuiOuiOuiOui
Appliquer les mises à jour du systèmeOui    
Possibilité d'adhérer à Live Intelligence SharingOui    
Gérer les audits globauxOui   Oui
Gérer la politique d'intégritéOui    
Gérer les paramètres avancésOui    
Gérer les auditsOui   Oui
Gérer les e-mailsOui    
Gérer les LLSOui    
Gérer les logsOui   Oui
Gérer les notificationsOui    
Gérer les plug-insOui    
Gérer les prédicatsOui    
Gérer la reconstructionOui    
Gérer la sécuritéOui   Oui
Gérer les servicesOui   Oui
Gérer les paramètres du systèmeOui    
Modifier les paramètres ESAOui    
Modifier les sources d'événementsOui    
Modifier les hôtesOui    
Modifier les servicesOui   Oui
Afficher les sources d'événementsOui Oui  
Afficher la politique d'intégritéOuiOuiOui  
Afficher le navigateur des statistiques d'intégritéOuiOuiOui Oui
Afficher les hôtesOui   Oui
Afficher les servicesOui   Oui

Serveur Administrateur

Le tableau suivant décrit les autorisations disponibles dans l’onglet Administrateur. Les Administrateurs disposent de toutes les ;autorisations ; en outre, il s’agit du seul rôle bénéficiant des autorisations par défaut.

                                       
AutorisationDescription
admin-server.configuration.manageAutorisation d’afficher et de modifier tous les paramètres de configuration de service
admin-server.health.readAutorisation de lire les notifications d’intégrité qu’expose le service
admin-server.logs.manageAutorisation de modifier la configuration des logs
admin-server.metrics.readAutorisation de lire les statistiques qu’expose le service
admin-server.process.manageAutorisation de démarrer et d’arrêter le service
admin-server.security.manageAutorisation de modifier les ressources liées à la sécurité (mots de passe, clés, etc.)
admin-server.security.readAutorisation de lire les ressources liées à la sécurité

Alerting

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Alerting : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                   
AutorisationOpérateursAnalystesGest. SOCMADPO
Accéder au module AlertingOuiOuiOui Oui
Gérer les règlesOui Oui Oui
Afficher les alertes OuiOui Oui
Afficher les règlesOui Oui Oui

Serveur de configuration

Le tableau suivant décrit les autorisations disponibles dans l’onglet Serveur de configuration : Les Administrateurs disposent de toutes les autorisations ; en outre, il s’agit du seul rôle bénéficiant des autorisations par défaut.

                                           
AutorisationDescription
config-server.*Toutes les autorisations (tous les éléments ci-dessous)
config-server.configuration.manageAutorisation d’afficher et de modifier tous les paramètres de configuration de service
config-server.health.readAutorisation de lire les notifications d’intégrité qu’expose le service
config-server.logs.manageAutorisation de modifier la configuration des logs
config-server.metrics.readAutorisation de lire les statistiques qu’expose le service
config-server.process.manageAutorisation de démarrer et d’arrêter le service
config-server.security.manageAutorisation de modifier les ressources liées à la sécurité (mots de passe, clés, etc.)
config-server.security.readAutorisation de lire les ressources liées à la sécurité

Tableau de bord

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Tableau de bord : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                                                                                                                           
AutorisationOpérateursAnalystesGest. SOCMADPO
Accès au dashlet - Dashlet Liste de périphériques AdministrateurOuiOuiOui Oui
Accès au dashlet - Dashlet Surveillance des périphériques AdministrateurOui   Oui
Accès au dashlet - Dashlet Actualité AdministrateurOuiOuiOui Oui
Accès au dashlet - Dashlet Variance d'alerte OuiOui Oui
Accès au dashlet - Dashlet Alertes récentes d'Alerting OuiOui Oui
Accès au dashlet - Dashlet Tâches liées à Investigation OuiOui Oui
Accès au dashlet - Dashlet Valeurs principales Investigation OuiOui Oui
Accès au dashlet - Dashlet Ressources proposées dans LiveOuiOuiOui Oui
Accès au dashlet - Dashlet Nouvelles ressources dans LiveOuiOuiOui Oui
Accès au dashlet - Dashlet Abonnements LiveOuiOuiOui Oui
Accès au dashlet - Dashlet Ressources mises à jour dans LiveOuiOuiOui Oui
Accès au dashlet - Dashlet Tâches Malware OuiOui Oui
Accès au dashlet - Dashlet Rapports récents de Reporting OuiOui Oui
Accès au dashlet - Dashlet Graphiques de Reporting OuiOui Oui
Accès au dashlet - Dashlet Alertes principales OuiOui Oui
Accès au dashlet - Dashlet RSA First Watch UnifiedOuiOuiOui Oui
Accès au dashlet - Dashlet Raccourcis UnifiedOuiOuiOui Oui

Serveur ESA analytics

Le tableau suivant décrit les autorisations disponibles dans l’onglet Serveur ESA analytics. Les Administrateurs et Opérateurs disposent de toutes les autorisations ; en outre, il s’agit des seuls rôles bénéficiant des autorisations par défaut.

                                                       
AutorisationDescription
esa-analytics-server.*Toutes les autorisations (tous les éléments ci-dessous)
esa-analytics-server.analytics.manageAutorisation d’afficher et de modifier l’analytique de l’ESA
esa-analytics-server.analytics.readAutorisation d’afficher l’analytique de l’ESA
esa-analytics-server.configuration.manageAutorisation d’afficher et de modifier tous les paramètres de configuration de service
esa-analytics-server.health.readAutorisation de lire les notifications d’intégrité qu’expose le service
esa-analytics-server.logs.manageAutorisation de modifier la configuration des logs
esa-analytics-server.metrics.readAutorisation de lire les statistiques qu’expose le service
esa-analytics-server.model.manageAutorisation d’afficher et de modifier les modèles ESA
esa-analytics-server.model.read Autorisation d’afficher les modèles ESA
esa-analytics-server.process.manageAutorisation de démarrer et d’arrêter le service
esa-analytics-server.security.readAutorisation de lire les ressources liées à la sécurité

Incidents

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Incidents : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                           
AutorisationOpérateursAnalystesGest. SOCMADPO
Accéder au module Incident OuiOuiOuiOui
Configurer l'intégration Incident Management  Oui Oui
Supprimer les alertes et incidents    Oui
Gérer les règles de gestion des alertes  Oui Oui
Afficher et gérer les incidents OuiOuiOuiOui

Rechercher

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Rechercher : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                                   
AutorisationOpérateursAnalystesGest. SOCMADPO
Accéder au module Investigation OuiOuiOuiOui
Recherche contextuelle OuiOuiOui 
Créer des incidents à partir d'Investigation OuiOuiOui 
Gérer la liste à partir d'Investigation OuiOuiOui 
Parcourir les événements OuiOuiOuiOui
Parcourir les valeurs OuiOuiOuiOui

Serveur Rechercher

Le tableau suivant décrit les autorisations disponibles dans l’onglet Serveur Rechercher :

                                           
AutorisationDescription
investigate-server.*Toutes les autorisations (tous les éléments ci-dessous)
investigate-server.configuration.manageAutorisation de modifier les propriétés de configuration du serveur
investigate-server.health.readAutorisation de lire les notifications d’intégrité qu’expose le service
investigate-server.logs.manageAutorisation de modifier la configuration des logs
investigate-server.metrics.readAutorisation de lire les statistiques qu’expose le service
investigate-server.process.manageAutorisation de démarrer et d’arrêter le service
investigate-server.security.manageAutorisation de modifier les ressources liées à la sécurité (mots de passe, clés, etc.)
investigate-server.security.readAutorisation de lire les ressources liées à la sécurité

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Rechercher : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                                                   
AutorisationOpérateursAnalystesGest. SOCMADPO
investigate-server.* OuiOuiOuiOui
investigate-server.configuration.manage     
investigate-server.health.read     
investigate-server.logs.manage     
investigate-server.metrics.read     
investigate-server.process.manage     
investigate-server.security.manage     
investigate-server.security.read     

Live

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Live : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                                                           
AutorisationOpérateursAnalystesGest. SOCMADPO
Live      
Accéder au module LiveOuiOuiOui Oui
Gérer les paramètres du système LiveOui    
Ressources      
Déployer les ressources LiveOui   Oui
Gérer les feeds LiveOui   Oui
Gérer les ressources LiveOui   Oui
Rechercher des ressources LiveOuiOuiOui Oui
Afficher les détails des ressources LiveOuiOuiOui Oui

Serveur d'orchestration

Le tableau suivant décrit les autorisations disponibles dans l’onglet Serveur d’orchestration. Les Administrateurs, les Opérateurs et les Responsables de la confidentialité des données disposent de toutes les autorisations ; en outre, il s’agit des seuls rôles bénéficiant des autorisations par défaut.

                                           
AutorisationDescription
Serveur d'orchestration* Toutes les autorisations (tous les éléments ci-dessous)
orchestration-server.configuration.manageAutorisation d’afficher et de modifier tous les paramètres de configuration de service
orchestration-server.health.readAutorisation de lire les notifications d’intégrité qu’expose le service
orchestration-server.logs.manageAutorisation de modifier la configuration des logs
orchestration-server.metrics.readAutorisation de lire les statistiques qu’expose le service
orchestration-server.process.manageAutorisation de démarrer et d’arrêter le service
orchestration-server.security.manageAutorisation de modifier les ressources liées à la sécurité (mots de passe, clés, etc.)
orchestration-server.security.readAutorisation de lire les ressources liées à la sécurité

Malware

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Malware : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                           
AutorisationOpérateursAnalystesGest. SOCMADPO
Télécharger le ou les fichiers de malware OuiOuiOuiOui
Lancer une analyse Malware Analysis OuiOuiOuiOui
Afficher les événements Malware Analysis OuiOuiOuiOui

Rapports

Le tableau suivant décrit les autorisations disponibles pour chaque rôle dans l’onglet Rapports : Les Administrateurs disposent de toutes les autorisations par défaut et ne sont pas répertoriés.

                                                                                                                                                                                                                                                                                                                                                                                   
AutorisationOpérateursAnalystesGest. SOCMADPO
Alerte      
Définir l'alerte RE OuiOui Oui
Exporter la définition d'alerte RE OuiOui Oui
Gérer les alertes RE OuiOui Oui
Afficher les alertes RE OuiOui Oui
Afficher les alertes RE planifiées OuiOui Oui
Graphique       
Définir le graphique OuiOui Oui
Supprimer le graphique OuiOui Oui
Exporter la définition de graphique OuiOui Oui
Gestions des graphiques OuiOui Oui
Afficher les graphiques OuiOui Oui
Liste       
Définir les listes OuiOui Oui
Supprimer la liste OuiOui Oui
Exporter la liste OuiOui Oui
Gérer les listes OuiOui Oui
Rapport      
Définir le rapport OuiOui Oui
Supprimer le rapport OuiOui Oui
Exporter le rapport OuiOui Oui
Gérer les rapports OuiOui Oui
Afficher les rapports OuiOui Oui
Rapports      
Accéder à la configuration OuiOui Oui
Accéder au module Reporter OuiOui Oui
Accéder à la recherche Reporter OuiOui Oui
Accéder à la vue OuiOui Oui
Règle      
Ajouter la définition d'alerte à partir de la règle OuiOui Oui
Définir la règle OuiOui Oui
Supprimer la règle OuiOui Oui
Exporter la règle OuiOui Oui
Gérer les règles OuiOui Oui
Afficher l'utilisation de la règle OuiOui Oui
Planning      
Définir le planning OuiOui Oui
Supprimer le planning OuiOui Oui
Afficher les plannings OuiOui Oui
Warehouse Analytics      
Définir les tâches OuiOui