Resposta a vulnerabilidades personas e funções granulares
Antes que você possa corrigir vulnerabilidades com sucesso com o. Resposta a vulnerabilidades, Você deve atribuir personas e funções aos usuários e grupos no Assistente de configuração.
Uma das primeiras etapas de configuração necessárias para Resposta a vulnerabilidades a aplicação é atribuir funções a usuários e grupos. As funções definem o que usuários e grupos podem ver e fazer no Resposta a vulnerabilidades, Performance Analytics para Resposta a vulnerabilidades e todas as integrações de terceiros com Resposta a vulnerabilidades.
Você atribui funções de persona a usuários e grupos existentes no Assistente de configuração. Consulte Atribua o. Resposta a vulnerabilidades Funções de persona usando o Assistente de configuração.
Se você for um cliente de upgrade, poderá continuar usando suas funções existentes para Resposta a vulnerabilidades aplicação. O acesso para usuários e grupos atribuídos com as permissões sn_vul.vulnerability_read e sn_vul.vulnerability_write e o proprietário da correção anteriores à 10.3 não foi alterado.
No entanto, para obter mais controle sobre o que usuários e grupos podem fazer e ver no Resposta a vulnerabilidades no nível da tarefa, você pode preferir usar funções granulares. Para obter mais informações, consulte Gerencie funções granulares e de persona para Resposta a vulnerabilidades.
Se você já atribuiu funções usando o Assistente de configuração e deseja gerenciar atribuições de função granulares para todos os usuários e grupos do módulo Administração de usuários, consulte Gerencie funções granulares e de persona para Resposta a vulnerabilidades para obter mais informações.
Funções de persona e funções granulares iniciando
Principais termos.
- Função
- As funções definem o que usuários e grupos podem ver e fazer no Resposta a vulnerabilidades aplicação.
- Grupo
- Um conjunto de usuários que compartilham determinadas funções e uma finalidade comum.
- Função de persona
- Uma função pré-configurada na aplicação que é composta por várias funções granulares. As funções de persona em Assistente de configuração, Administrador de vulnerabilidades, Analista de vulnerabilidades, Proprietário da correção, Gerenciador de item de configuração, e o Exception Manager são projetados para corresponder a cargos comuns para gerentes, analistas e responsáveis pelo serviço em uma organização de TI ou grupo de correção de vulnerabilidades.
- Funções herdadas
- Um termo que descreve as funções que os usuários adquirem automaticamente quando são atribuídas a outras funções. Por exemplo, todos os usuários ou grupos atribuídos com a função de persona sn_vul.remediation_owner também herdam as funções granulares sn_vul.read_assigned,sn_vul.write_assigned.
- ACL (Access Control List, lista de controle de acesso)
- As listas de controle de acesso restringem o acesso aos dados exigindo que os usuários passem por um conjunto de requisitos antes que possam interagir com eles.
A partir de Resposta a vulnerabilidades v16.5, para proteger os relatórios contra a exposição, defina Todas as ACLs report_view . active=true. Esta ACL garante que os dados protegidos estejam disponíveis somente para usuários autorizados.
As tabelas a seguir são listadas Resposta a vulnerabilidades funções de persona instaladas com a aplicação .
| Funções de persona para Resposta a vulnerabilidades | Descrição |
|---|---|
| Atribua sn_vul.vulnerability_admin - Administrador de vulnerabilidades a usuários ou grupos. | Usuários com esta função têm acesso total à aplicação Resposta a vulnerabilidades (VR) e seus registros. Os usuários com esta função configuram todos os aplicativos e regras de VR e instalam integrações de terceiros. |
| Atribua sn_vul.vulnerability_analyst - Analista de vulnerabilidades a usuários e grupos. | Usuários e grupos com esta função exibem e atualizam todos os registros para correção de VI. |
| Atribuir sn_vul.remediation_owner - Proprietário da correção para usuários e grupos. | Usuários e grupos com esta função corrigem vulnerabilidades atribuídas a eles ou a um grupo ao qual pertencem. Os grupos ou usuários com esta função exibem e atualizam os registros atribuídos a eles ou a um grupo ao qual pertencem. |
Atribua sn_vul.ci_manager a usuários e grupos. |
Usuários e grupos com esta função gerenciam a reclassificação de itens de configuração (ICs) incompatíveis que não são encontrados no Configuration Management Database (CMDB). |
| Atribua acesso de leitura a áreas específicas na aplicação por tarefa. | Por exemplo, atribua sn_vul.read_all para que um usuário possa exibir todos os registros de VR. Para acesso de leitura para exibir regras de tarefa de correção, atribua sn_vul.read_group_rules. Usuários e grupos com esta função não atualizam registros. |
Funções granulares e funções de persona
Uma maneira de pensar sobre as funções de persona é considerar como suas descrições podem estar relacionadas às descrições de trabalho para várias posições de correção de vulnerabilidades ou de TI em sua organização. A figura a seguir ilustra uma possível descrição do trabalho para um especialista em correção em TI e como as tarefas associadas a este trabalho se relacionam com as tarefas de uma função de persona do responsável pela correção no Resposta a vulnerabilidades aplicação.
A descrição do trabalho e a função da persona do responsável pela correção podem ser definidas como uma série de tarefas de correção. Na imagem anterior, uma descrição de trabalho e uma função de persona em blocos verdes ficam acima das tarefas que as descrevem. Alguns dos requisitos de trabalho típicos para um especialista em um grupo de correção correspondem diretamente às tarefas que compõem a persona do responsável pela correção em Resposta a vulnerabilidades: Revise e atualize registros, rastreie o status de correção de vulnerabilidades, priorize itens para correção e aplique correções e patches com ELES.
No entanto, às vezes, os trabalhos em sua organização podem não corresponder diretamente às tarefas que compõem uma das cinco funções de persona no Resposta a vulnerabilidades aplicação. Por vários motivos, como proteger dados confidenciais ou cumprir regulamentações, você deve limitar o amplo acesso que algumas das funções de persona fornecem aos usuários e grupos. Ou, por outro lado, você precisa fornecer mais acesso aos usuários e grupos para que eles possam executar seus trabalhos. Usando funções granulares, você pode personalizar facilmente funções e controlar o acesso que usuários e grupos têm Resposta a vulnerabilidades, Performance Analytics para Resposta a vulnerabilidades e integrações de terceiros.
As funções granulares definem as tarefas
Os nomes das funções granulares em Resposta a vulnerabilidades geralmente descreva o que os usuários podem fazer e ver no Resposta a vulnerabilidades aplicação. Por exemplo, na imagem anterior, usuários e grupos com a persona de responsável pela correção atribuída têm as funções granulares sn_vul.read_assigned e sn_vul.write_assigned. Essas funções granulares permitem que usuários ou grupos exibam e atualizem itens vulneráveis e registros de tarefa de correção atribuídos a eles. Para exibir descrições de funções granulares específicas, como um usuário com a função de administrador do sistema, navegue até e localize a função desejada. As funções que são herdadas automaticamente quando uma função é atribuída são listadas. Além disso, quando uma função depende de outras atribuições de função, todas as funções necessárias também são listadas.
Na imagem a seguir, as funções granulares da persona do responsável pela correção e da persona do analista de vulnerabilidades são ilustradas. Observe que a persona do responsável pela correção não inclui as permissões read_all e write_all da persona do analista de vulnerabilidades. As funções granulares, read_all e write_all, são necessárias para que os usuários e grupos possam ler e editar todos os registros de item vulnerável e de tarefa de correção. Para personalizar essas funções, basta adicionar ou remover funções granulares para expandir ou limitar o acesso.
Se você quiser que seus usuários e grupos tenham mais acesso do que as funções de persona permitem, adicione funções mais granulares a usuários e grupos. Por outro lado, se você quiser limitar o acesso de usuários e grupos específicos no nível da tarefa, poderá remover funções granulares.
Funções granulares com acesso de script
| Função | Tabela | Aplicação |
|---|---|---|
| sn_vul.manage_auto_close_stale_vi | sn_vul_cmn_auto_close_rule | Resposta a vulnerabilidades |
| sn_vul.app_manage_auto_close_rule | Resposta a vulnerabilidades | |
| sn_vul_container.manage_auto_close_stale_vi | Resposta a vulnerabilidades do contêiner | |
| sn_vul_container.manage_assignment_rules | sn_vul_assignment_rule | Resposta a vulnerabilidades do contêiner |
| sn_vul.app_manage_assignment_rules | Resposta a vulnerabilidades de aplicações | |
| sn_vul.manage_assignment_rules | Resposta a vulnerabilidades | |
| sn_vul_agile.write | sn_vul_agile_tool | Resposta a vulnerabilidades |
| sn_vul_int_fw.configure_integrations | sn_vul_int_fw_integration | Resposta a vulnerabilidades |
Funções granulares no módulo Administração de usuários
Para obter um exemplo de como gerenciar funções granulares para um usuário ou grupo, consulte Gerencie funções granulares e de persona para Resposta a vulnerabilidades.
Para atribuir funções de persona, consulte Atribua o. Resposta a vulnerabilidades Funções de persona usando o Assistente de configuração.