Administración de usuarios/seguridad: Paso 3. Verificar atributos de consultas y sesiones por función

Document created by RSA Information Design and Development on May 2, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

En este tema se explican los atributos de consultas y sesiones y se proporcionan instrucciones para configurarlos para las funciones de usuario. También se describe cómo estos ajustes de función afectan las configuraciones de usuarios individuales y lo que sucede si un usuario es miembro de varias funciones.

Después de definir las funciones de usuario, es importante verificar los atributos de consultas y sesiones que se configuran para cada función. Puede ajustar esta configuración de acuerdo con los requisitos.

Atributos de consultas y sesiones

Los atributos de consulta y sesión determinan el manejo de las consultas que ejecuta un usuario. Estos atributos permiten controlar la información que los usuarios pueden recuperar. Estos atributos se aplican a todas las sesiones de usuarios asignados a una función.

De acuerdo con los requisitos, puede especificar los siguientes atributos de manejo de consultas para una función de usuario:

  • Tiempo de espera agotado de consulta de Core es una configuración opcional que se aplica a servicios de NetWitness Platform Core. Especifica la cantidad máxima de minutos que un usuario puede ejecutar una consulta. Si se configura este valor, debe ser cero (0) o mayor. Un valor de cero especifica que no hay un tiempo de espera. El valor predeterminado es 5 minutos.
  • Umbral de sesión de Core es una configuración obligatoria. Este valor debe ser cero (0) o mayor. El valor predeterminado es 100000. El límite que especifica aquí reemplaza el valor Máximo de exportación de sesiones definido en la configuración de la vista Investigate. Si el umbral es mayor de cero, una optimización de consulta extrapolará los conteos de sesiones totales que superen el umbral. Cuando el conteo de valores de metadatos que devuelve la consulta alcance el umbral, el sistema:
    • Detendrá su determinación del conteo de sesiones.
    • Mostrará el umbral y el porcentaje de tiempo de consulta utilizado para alcanzar el umbral.
  • Prefijo de consulta de Core es un filtro opcional que se aplica a las consultas que ejecuta el usuario. El prefijo restringe los resultados de consulta que ve el usuario. Por ejemplo, se antepone el prefijo de consulta 'service' = 80 a cualquier consulta que ejecute el usuario y este solo puede acceder a metadatos de sesiones HTTP.

Nota: En la versión 11.1 y superior, puede usar entidades de metadatos configuradas en un prefijo de consulta de Core. Para obtener información adicional sobre la configuración de entidades de metadatos, consulte la Guía de ajuste de la base de datos de Core.

La configuración de atributos de manejo de consultas que se aplica a un usuario depende de las membresías en las funciones del usuario. Es importante verificar la configuración de atributos de manejo de consultas para las funciones.

Cómo se aplica la configuración de atributos de manejo de consultas a usuarios individuales

Si un usuario es miembro de varias funciones, se aplica al usuario la siguiente lógica:

  • Tiempo de espera agotado de consulta: Se aplica al usuario el valor más permisivo (más alto) de todas las funciones asignadas.
  • Prefijo de consulta: Los prefijos de consulta de cada una de las funciones de usuario se unen mediante el operador Y.
  • Umbral de sesión: Se aplica al usuario el valor más alto de todas las funciones asignadas.

Establecer los atributos de manejo de consultas de una función de usuario

  1. Vaya a ADMINISTRAR > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Funciones. Si va a agregar una función, haga clic en Add icon. Si va a editar una función, seleccione la función y haga clic en Edit icon.
    Se muestran los cuadros de diálogo Agregar función o Editar función.
    Edit Role dialog
  3. Para configurar los atributos de la función, en la sección Atributos:
    • (Opcional) En el campo Tiempo de espera agotado de consulta de Core, escriba la cantidad máxima de minutos que un usuario puede ejecutar una consulta. Este tiempo de espera se aplica a las consultas que se ejecutan desde Investigate.
    • Escriba un Umbral de sesión de Core para que el sistema detenga su determinación del conteo de sesiones.
    • (Opcional) Escriba un Prefijo de consulta de Core para filtrar los resultados de consulta que ven los miembros de la función en las vistas Navegar, Eventos y Análisis de eventos de Investigate. Puede especificar una consulta que se antepone a todas las consultas que ejecutan los usuarios con una función específica. Por ejemplo, se antepone el prefijo de consulta 'service' = 80 a todas las consultas de los usuarios de esta función y estos solo pueden acceder a metadatos de sesiones HTTP. Si los usuarios intentan navegar a un evento que no es HTTP, la vista no se muestra.
  1. Haga clic en Guardar.
You are here
Table of Contents > Administrar usuarios con funciones y permisos > Paso 3. Verificar atributos de consultas y sesiones por función

Attachments

    Outcomes