Gestion de la sécurité/utilisateur : Mode de fonctionnement du contrôle d'accès basé sur un rôle

Document created by RSA Information Design and Development on Apr 26, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

Cette rubrique explique le fonctionnement du contrôle d'accès basé sur un rôle lorsqu'une connexion approuvée est établie entre NetWitness Server et un service Core.

Dans RSA NetWitness® Platform, les rôles déterminent ce que les utilisateurs sont autorisés à faire. Un rôle dispose d'autorisations et il convient d'attribuer un rôle à chaque utilisateur. Les autorisations de l'utilisateur dépendent alors de son rôle.

Rôles préconfigurés

Pour simplifier le processus de création des rôles et l'attribution des autorisations, il existe des rôles préconfigurés dans NetWitness Platform. Vous pouvez également ajouter des rôles personnalisés pour votre organisation.

Le tableau suivant répertorie chaque rôle préconfiguré et les autorisations qui lui sont attribuées. Toutes les autorisations sont attribuées au rôle Administrateurs. Un sous-ensemble d'autorisations est attribué à chacun des autres rôles.

                                           
RôleAutorisation
AdministrateursAccès complet au système Le profil Administrateurs système se voit accorder toutes les autorisations par défaut.
Administrateur de réponseAccès à toutes les autorisations Répondre La typologie d’utilisateurs Administrateur de réponse est axée sur la configuration système de Respond.
Responsables de la protection des données personnellesLa typologie d'utilisateurs Responsable de la protection des données personnelles (DPO) est semblable à celle des Administrateurs, mais davantage axée sur les options de configuration qui gèrent l’obscurcissement et la visualisation des données sensibles au sein du système (voir le Guide de gestion de la protection des données personnelles). Les utilisateurs qui se voient attribuer le rôle de DPO peuvent identifier les métaclés marquées pour l’obscurcissement. Ils voient également les métaclés obscurcies et les valeurs créées pour les métaclés marquées.
Responsables de SOCMême accès que les Analystes avec des autorisations supplémentaires pour gérer les incidents Le profil Responsables de SOC est identique à celui des Analystes, mais dispose des autorisations nécessaires pour configurer Répondre.
OpérateursAccès aux configurations, mais pas au contenu méta ni de session. La typologie d'utilisateurs Opérateurs système est axée sur la configuration système, mais pas sur la procédure d'enquête, l’ESA, l’alerte, la création de rapports et la réponse.
Analystes de malwareAccès aux investigations et aux événements de malware. Le seul accès accordé à la typologie d'utilisateurs Analystes du malware est celui du module Malware Analysis.
AnalystesAccès au contenu méta et de session, mais pas aux configurations. La typologie d'utilisateurs Analystes du centre des opérations de sécurité (SOC) est axée sur la procédure d'enquête, l’alerte ESA, la création de rapports et la réponse, mais pas sur la configuration système.
Analystes UEBA

Accès au service UEBA RSA NetWitness dans la vue Enquêter > Utilisateurs. NetWitness UEBA est une solution analytique avancée pour découvrir, enquêter sur les comportements à risque et les surveiller sur toutes les entités de votre environnement réseau.

Remarque : Vous n'avez pas besoin de configurer des autorisations spécifiques pour ce rôle. Il vous suffit d'attribuer ce rôle à un utilisateur, et cet utilisateur aura accès à NetWitness UEBA.

Connexions approuvées entre le serveur et le service

Dans une connexion approuvée, un service fait explicitement confiance à NetWitness Server pour gérer et authentifier les utilisateurs. Cela réduit l'administration sur chaque service puisque les utilisateurs authentifiés n'ont pas à être définis localement dans chaque service Core.

Comme le montre le tableau ci-dessous, vous effectuez toutes les tâches de gestion des utilisateurs sur le serveur.

                                   
TâcheEmplacement
Ajouter un utilisateurServeur
Gérer les noms d'utilisateurServeur
Gérer les mots de passeServeur
Authentifier les utilisateurs NetWitness Platform internesServeur
(Facultatif) Authentifier les utilisateurs externes avec :
- Active Directory
- PAM

Serveur
Serveur
Installer et configurer PAMServeur

 

Les avantages d'une connexion approuvée et de la gestion centralisée des utilisateurs sont les suivants :

  • Vous effectuez toutes les tâches d'administration des utilisateurs en même temps, uniquement sur NetWitness Server.
  • Vous contrôlez l'accès aux services, mais vous n'avez pas besoin de configurer ni d'authentifier les utilisateurs sur les services.
  • Les utilisateurs saisissent leur mot de passe une seule fois au moment de la connexion à NetWitness Platform et sont authentifiés par le serveur.
  • Les utilisateurs, déjà authentifiés par le serveur, accèdent à chaque service Core dans ADMIN > Services sans saisir de mot de passe.

Établissement des connexions approuvées

Lorsque vous installez la version 11.x ou que vous procédez à la mise à niveau vers cette version, des connexions fiables sont établies par défaut avec deux paramètres :

  • SSL est activé.
  • Le service Core est connecté à un port SSL chiffré.

Noms de rôles courants sur le serveur et les services

Les connexions approuvées reposent sur des noms de rôles courants sur le serveur et le service. Lors d'une installation, NetWitness Platform installe les cinq rôles préconfigurés sur le serveur et sur chaque service Core.

Preconfigured Roles diagram

Si vous ajoutez un rôle personnalisé tel que le rôle Analystes_juniors, vous devez l'ajouter à chaque service comme ArchiverA et BrokerB. Les noms de rôles sont sensibles à la casse, ne peuvent pas contenir d'espace et doivent être identiques. Par exemple, Analyste_junior (singulier) et Analystes_juniors (pluriel) ne répondent pas aux exigences des noms de rôles courants.

Workflow de bout en bout pour la configuration d'utilisateurs et l'accès à un service 

Ce workflow montre comment fonctionne le contrôle d'accès basé sur un rôle lorsqu'une connexion approuvée est établie entre NetWitness Server et le service BrokerB.

End-to-end workflow diagram

  1. Sur NetWitness Server, créez un compte pour un nouvel utilisateur :
    Nom : Chris Jones
    Nom d’utilisateur : CAJ
    Mot de passe : practice123
  2. Déterminez si vous souhaitez attribuer un rôle préconfiguré ou personnalisé à Chris Jones :
  • Rôles préconfigurés
  1. Conservez ou modifiez les autorisations par défaut attribuées au rôle Analystes qui comprend des autorisations telles que l'accès aux modules Alerting, Investigation et Malware.  
  2. Attribuez le rôle Analystes à Chris Jones.
  • Rôle personnalisé
  1. Créez le rôle personnalisé, par exemple Analystes_juniors.
  2. Attribuez les autorisations au rôle Analystes_juniors.
  3. Attribuez le rôle Analystes_juniors à Chris Jones.
  4. Ajoutez le rôle Analystes_juniors au service, par exemple BrokerB.
  1. L'utilisateur, Chris Jones, se connecte à NetWitness Server:
    Nom d’utilisateur : CAJ
    Mot de passe : practice123
  2. Le serveur authentifie Chris Jones. 
  3. La connexion approuvée autorise l'utilisateur authentifié, Chris Jones, à accéder à BrokerB sans saisir d'autre mot de passe.

Pour obtenir des descriptions et des procédures plus détaillées, reportez-vous à la rubrique Gérer les utilisateurs à l'aide de rôles et d'autorisations.

Rubrique connexe

You are here
Table of Contents > Mode de fonctionnement du contrôle d'accès basé sur un rôle

Attachments

    Outcomes