Administración de usuarios/seguridad: Cómo funciona el control de acceso basado en funciones

Document created by RSA Information Design and Development on May 2, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

En este tema se explica el control de acceso basado en funciones (RBAC) cuando hay una conexión de confianza entre el servidor de NetWitness Server y un servicio principal.

En RSA NetWitness® Platform, las funciones determinan lo que pueden hacer los usuarios. Una función tiene permisos asignados y se debe asignar una función a cada usuario. El usuario tiene entonces permiso para hacer lo que la función le permite.

Funciones preconfiguradas

Para simplificar el proceso de creación de funciones y asignación de permisos, existen funciones preconfiguradas en NetWitness Platform. También puede agregar funciones personalizadas para su organización.

En la siguiente tabla se indica cada función preconfigurada y sus permisos asignados. La función Administradores tiene asignados todos los permisos. Un subconjunto de permisos está asignado a cada una de las otras funciones.

                                           
FunciónPermiso
AdministradoresAcceso completo al sistema. El perfil Administradores del sistema cuenta con todos los permisos de forma predeterminada.
Respond_AdministratorAcceda a todos los permisos de Respond. El perfil Administrador de Respond se centra en la configuración del sistema de Respond.
Data_Privacy_OfficersEl perfil Encargado de la privacidad de datos (DPO) es similar al de los Administradores, pero tiene un enfoque adicional en opciones de configuración que administran el ocultamiento y la visualización de datos confidenciales dentro del sistema (consulte la Guía de administración de la privacidad de datos). Los usuarios a los cuales se asigna la función DPO pueden ver qué claves de metadatos están marcadas para ocultamiento y también ven claves de metadatos y valores ocultos creados para las claves de metadatos marcadas.
SOC_ManagersEl mismo acceso que poseen los analistas, además del permiso adicional para manejar incidentes. El perfil Administradores del SOC es idéntico al de los Analistas, pero tiene los permisos necesarios para configurar Respond.
OperadoresAcceso a configuraciones, pero no a metadatos ni a contenido de sesiones. El perfil Operadores del sistema se centra en la configuración del sistema, pero no en Investigation, ESA, Alerting, Reporting ni Respond.
Malware_AnalystsAcceso a investigaciones y eventos de malware. El único acceso que se otorga al perfil Analistas de malware es al módulo Malware Analysis.
AnalistasAcceso a metadatos y contenido de sesiones, pero no a configuraciones. El perfil Analistas del centro de operaciones de seguridad (SOC) se centra en Investigation, ESA, Alerting, Reporting y Respond, pero no en la configuración del sistema.
UEBA_Analysts

Acceso al servicio RSA NetWitness UEBA en Investigate > vista Usuarios. NetWitness UEBA es una solución de analítica avanzada para descubrir, investigar y monitorear comportamientos riesgosos en todas las entidades del ambiente de red.

Nota: No es necesario configurar permisos específicos para esta función. Solamente se debe asignar esta función a un usuario y ese usuario tendrá acceso a NetWitness UEBA.

Conexiones de confianza entre el servidor y un servicio

En una conexión de confianza, un servicio confía explícitamente en el servidor de NetWitness Server para administrar y autenticar usuarios. Esto disminuye la administración en cada servicio, ya que los usuarios autenticados no se deben definir localmente en cada servicio principal.

Como indica la siguiente tabla, se realizan todas las tareas de administración de usuarios en el servidor.

                                   
TareaUbicación
Agregar un usuarioServidor
Mantener nombres de usuarioServidor
Mantener contraseñasServidor
Autenticar usuarios de NetWitness Platform internosServidor
(Opcional) Autenticar usuarios externos con:
- Active Directory
- PAM

Servidor
Servidor
Instalar y configurar PAMServidor

 

Los beneficios de una conexión de confianza y de la administración de usuarios centralizada son:

  • Todas las tareas de administración de usuarios se realizan una vez, solo en el servidor de NetWitness Server.
  • Puede controlar el acceso a los servicios, pero no tiene que configurar y autenticar usuarios en los servicios.
  • Los usuarios ingresan contraseñas una vez en el inicio de sesión de NetWitness Platform y el servidor los autentica.
  • Los usuarios, que el servidor ya autenticó, acceden a cada servicio principal en ADMINISTRAR > Servicios sin ingresar una contraseña.

Cómo se establecen conexiones de confianza

Cuando instala 11.x o realiza una actualización a esta versión, las conexiones de confianza se establecen de manera predeterminada con dos configuraciones:

  • SSL está activado.
  • El servicio principal está conectado a un puerto SSL cifrado.

Nombres de función comunes en el servidor y los servicios

Las conexiones de confianza dependen de los nombres de función comunes en el servidor y los servicios. En una instalación nueva, NetWitness Platform instala las cinco funciones preconfiguradas en el servidor y cada servicio principal.

Preconfigured Roles diagram

Si agrega una función personalizada, como JuniorAnalysts, debe agregarla a cada servicio, como ArchiverA y BrokerB. Los nombres de función distinguen mayúsculas de minúsculas, no pueden incluir espacios y deben ser idénticos. Por ejemplo, JuniorAnalyst (singular) y JuniorAnalysts (plural) no coinciden con los requisitos de nombres de función comunes.

Flujo de trabajo de punto a punto para la configuración de usuarios y acceso a servicios 

Este flujo de trabajo muestra cómo funciona el control de acceso basado en funciones cuando hay una conexión de confianza entre NetWitness Server y el BrokerB de servicio.

End-to-end workflow diagram

  1. En NetWitness Server, cree una cuenta para un nuevo usuario:
    Nombre: Chris Jones
    Nombre de usuario: CAJ
    Contraseña: practice123
  2. Determine si desea asignar una función preconfigurada o personalizada a Chris Jones:
  • Función preconfigurada
  1. Mantenga o modifique los permisos predeterminados asignados a la función Analistas, que incluye permisos como acceso a los módulos Alerting, Investigation y Malware,  
  2. Asigne la función Analistas a Chris Jones.
  • Función personalizada
  1. Cree la función personalizada, como JuniorAnalysts.
  2. Asigne permisos a la función JuniorAnalysts.
  3. Asigne la función JuniorAnalysts a Chris Jones.
  4. Agregue la función JuniorAnalysts al servicio, como BrokerB.
  1. El usuario, Chris Jones, inicia sesión en NetWitness Server:
    Nombre de usuario: CAJ
    Contraseña: practice123
  2. El servidor autentifica a Chris. 
  3. La conexión de confianza permite que el usuario autenticado, Chris, acceda a BrokerB sin ingresar otra contraseña.

Para obtener descripciones y procedimientos más detallados, consulte Administrar usuarios con funciones y permisos.

Tema relacionado

You are here
Table of Contents > Cómo funciona el control de acceso basado en funciones

Attachments

    Outcomes