Konfigurieren von Respond: Schritt 2. Zuweisen von Respond-Anzeigeberechtigungen

Document created by RSA Information Design and Development on May 14, 2018
Version 1Show Document
  • View in full screen mode
 

Fügen Sie Benutzer mit den erforderlichen Berechtigungen zum Untersuchen der zugewiesenen Incidents und Warnmeldungen in NetWitness Respond hinzu. Benutzer mit Zugriff auf die Ansicht „Reagieren“ benötigen Berechtigungen für Incidents und den Respond-Server-.

Die folgenden vorkonfigurierten Rollen haben Berechtigungen in der Ansicht „Reagieren“:

  • Analysten: SOC-Analysten (Security Operation Center) haben Zugriff auf Warnmeldungen, NetWitness Respond, Ermittlungen und Reporting, aber nicht auf Systemkonfigurationen.
  • Malware-Analysten: Malware-Analysten haben Zugriff auf Ermittlungen und Schadsoftwareereignisse.
  • Operatoren: Operatoren haben Zugriff auf Konfigurationen, jedoch nicht auf Ermittlungen, ESA, Warnmeldungen, Reporting und NetWitness Respond.
  • SOC-Manager: SOC-Manager haben den gleichen Zugriff wie Analysten sowie zusätzliche Berechtigung für das Verarbeiten von Incidents und die Konfigutaion von NetWitness Respond.
  • Data Privacy Officers: Die Rolle des DPO (Data Privacy Officer, Datenschutzbeauftragter) ist ähnlich der des Administrators, mit zusätzlichem Fokus auf Konfigurationsoptionen, die Verschleierung und die Anzeige sensibler Daten innerhalb des Systems managen. Unter Datenschutzmanagement finden Sie weitere Informationen.
  • Respond-Administrator: Der Respond-Administrator hat vollen Zugriff auf NetWitness Respond.
  • Administratoren: Ein Administrator hat kompletten Systemzugriff auf NetWitness Suite und verfügt standardmäßig über alle Berechtigungen.

Die NetWitness Respond-Standardberechtigungen werden in den folgenden Tabellen angezeigt. Sie müssen beide Benutzerberechtigungen auf den Registerkarten Incidents und Respond-Server zuweisen, die den Registerkartennamen der Berechtigungen in der Ansicht „ADMIN > Sicherheit“ im Dialogfeld „Rollen hinzufügen“ oder „Rollen bearbeiten“ entsprechen. Sie möchten eventuell weitere Benutzerberechtigungen für Warnmeldungen, Context Hub, Investigate, Investigate-Server und Berichte hinzufügen.

Respond-Server

                                                                                                                                                                                                

Berechtigungen

Analysten

SOC-
Manager

DPO

Respond-
Admin

Operatoren

 

MA

 

respond-server.alert.delete

 

 

Ja*

Ja*

 

 

respond-server.alert.manageJaJaJa*Ja* Ja
respond-server.alert.readJaJaJa*Ja*

 

Ja

respond-server.alertrule.manage

 

Ja

Ja*

Ja*

  
respond-server.alertrule.read JaJa*Ja*

 

 

respond-server.configuration.manage

 

 

Ja*

Ja*

  
respond-server.health.read  Ja*Ja*

 

 

respond-server.incident.delete  Ja*Ja*  

respond-server.incident.manage

Ja

Ja

Ja*

Ja*

 

Ja

respond-server.incident.readJaJaJa*Ja* Ja

respond-server.journal.manage

Ja

Ja

Ja*

Ja*

 

Ja

respond-server.journal.readJaJaJa*Ja* Ja

respond-server.logs.manage

 

 

Ja*

Ja*

 

 

respond-server.metrics.read  Ja*Ja*  
respond-server.process.manage  Ja*Ja*

 

 

respond-server.remediation.manageJaJaJa*Ja* Ja

respond-server.remediation.read

Ja

Ja

Ja*

Ja*

 

Ja

respond-server.security.manage  Ja*Ja*  

respond-server.security.read

 

 

Ja*

Ja*

 

 

* Data Privacy Officer und Respond-Administratoren haben die Berechtigung respond-server.* , die alle Berechtigungen für Respond-Server enthält.

Incidents

                                                                  

Berechtigungen

Analysten

SOC-
Manager

DPO

Respond-
Admin

Operatoren

 

MA

 

Auf Incident-Modul zugreifen

JaJaJaJa

 

Ja

Konfigurieren der Incident-Managementintegration

 

Ja

JaJa  

Löschen von Warnmeldungen und Incidents

  

Ja

Ja

 

 

Managen der Regeln für die Warnmeldungsverarbeitung

 

Ja

JaJa  

Anzeigen und Managen von Incidents

JaJa

Ja

Ja

 

Ja

Der Respond-Administrator hat alle Berechtigungen für Respond-Server und Incidents.

Achtung: Es ist sehr wichtig, dass Sie entsprechenden Benutzerberechtigungen über BEIDE Registerkarten, für den Respond-Server und die Incidents, zuweisen.

Die folgende Abbildung zeigt Respond-Serverberechtigungen für die Standardrolle Respond-Administrator. Die Rolle des Respond-Administrators enthält alle Berechtigungen für NetWitness Respond.

Bearbeiten des Rollendialogs für die Rolle des Respond-Administrators

Die folgende Abbildung zeigt die Incidents-Berechtigungen für die Standardrolle des Analysten:

Bearbeiten des Rollendialogs für die Rolle des Analysten

Weitere Informationen finden Sie in den Abschnitten „Rollenberechtigungen“ und „Managen von Benutzern mit Rollen und Berechtigungen“ im Handbuch Systemsicherheit und Benutzerverwaltung.

You are here
Table of Contents > Konfigurieren von NetWitness Respond > Schritt 2. Zuweisen von Respond-Anzeigeberechtigungen

Attachments

    Outcomes