このトピックでは、ユーザーがSecurity Analyticsでマルウェア解析を実施するために必要なロールと権限について説明します。解析タスクを実行できないか、ビューを表示できない場合、ロールや権限が不足している可能性があります。
必要なロールと権限
RSA Security Analyticsでは、ビューや機能へのアクセスを許可する手段として、システム レベルの権限と個々のサービス レベルの権限の両方を使用します。
システム レベルでは、特定のビューや機能にアクセスを許可するシステム ロールを[Administration]>[システム]ビューでユーザーに割り当てる必要があります。Security Analytics 10.5のデフォルトのMalware_Analystsロールには、下に示すすべての権限が割り当てられています。必要に応じて、管理者は、次の権限を組み合わせてカスタム ロールを作成できます。
- Investigationモジュールへのアクセス(必須)
- Investigation:イベントのナビゲート
- Investigation:値のナビゲート
- Incidentモジュールへのアクセス
- インシデントの表示と管理
- マルウェア イベントの表示(イベントを表示する場合)
- ファイルのダウンロード(Malware Analysisサービスからファイルをダウンロードする場合)
- マルウェア スキャンの開始(1回限りのサービス スキャンまたは1回限りのファイル アップロードを開始する場合)
- ダッシュレット権限(利便性の向上):ダッシュレット - Investigate 上位の値 ダッシュレット、ダッシュレット - Investigate サービス リスト ダッシュレット、ダッシュレット - Investigate ジョブ ダッシュレット、ダッシュレット - Investage ショートカット ダッシュレット。
注:Security Analytics 10.4からSecurity Analytics 10.5にアップグレードする場合、Security Analytics 10.4のデフォルトのMalwareAnalystsロールは、名前がMalware_Analystsに変更されますが、割り当てられている権限は変更されません。
Security Analytics 10.3以前からアップグレードする場合、Malware Analystロールには、これらの権限のサブセットが含まれています。Malware Analystロールが存在する場合は、デフォルトの名前がMalwareAnalystsに変更され、新しい権限が追加されます。Malware Analystロールが存在しない場合は、新しいMalwareAnalystsロールが作成されます。
カスタム ロールとしてたとえば、ファイルのダウンロード権限を持たないJunior Malware Analystというロールを作成することができます。
特定のサービスに対して、マルウェア アナリストをAnalystsロールのメンバーに追加するか、Analystグループに割り当てられるsdk.metaとsdk.contentという2つのデフォルト権限を持つグループに追加する必要があります。この2つの権限を持つユーザーは、サービスで解析を行う目的で、特定のアプリケーションの使用、クエリーの実行、コンテンツの表示を実行できます。
