セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン
セットアップアシスタントで 脆弱性対応 ペルソナロールをグループまたはユーザーにアサインします。
始める前に
アップグレードのお客様は、Vulnerability Response アプリケーションの既存のロールを引き続き使用できます。脆弱性対応 の以前のバージョンで使用できる sn_vul.vulnerability_read と sn_vul.vulnerability_write の権限でアサインされたユーザーとグループおよび修復オーナーロールのアクセス権は変更されていません。
ただし、脆弱性対応 アプリケーションでユーザーとグループが実行して確認できる内容をタスクレベルでより細かく制御する場合は、ペルソナロールと詳細ロールを使用することをお勧めします。
セットアップアシスタントを使用して sn_vul.vulnerability_admin ペルソナロールをまだアサインしていない場合は、以下の手順に従ってアサインしてください。脆弱性管理者は、このペルソナロールがアサインされると、最初のセクションの後にセットアップアシスタントタスクを完了して 脆弱性対応 アプリケーションでルールとサードパーティ統合を管理する権限を持つことになります。
ペルソナロールと詳細ロールの概要については、「脆弱性対応 のペルソナと詳細なロール」を参照してください。
アップグレードのお客様は、次の表を参考にしてください。
| v10.3 より前 | v10.3 以降 |
|---|---|
| sn_vul.admin をアサインした場合 | sn_vul.vulnerability_admin - 脆弱性管理者をユーザーまたはグループにアサインすることをお勧めします。 このロールを持つユーザーは、Vulnerability Response (VR) アプリケーションとそのレコードに完全にアクセスできます。また、すべての VR アプリケーションとルールを構成したり、サードパーティ統合をインストールしたりできます。 |
| ユーザーとグループに sn_vulnerability_write をアサインした場合。 | sn_vul.vulnerability_analyst - 脆弱性アナリストをユーザーとグループにアサインすることをお勧めします。 このロールを持つユーザーやグループは、VI 修復のすべてのレコードを表示および更新できます。 |
| sn_vul.remediation_owner をアサインした場合 | sn_vul.remediation_owner - 修復オーナーをユーザーとグループにアサインすることをお勧めします。 このロールを持つユーザーやグループは、自分または所属するグループにアサインされた脆弱性を修正できます。このロールを持つグループまたはユーザーは、自分または所属するグループにアサインされたレコードを表示および更新します。 |
| 一致しない構成アイテム (CI) の管理に sn_vul.admin をアサインした場合 | sn_vul.ci - CI マネージャーをユーザーとグループにアサインすることをお勧めします。 このロールを持つユーザーやグループは、Configuration Management Database (CMDB) にない不一致構成アイテム (CI) を管理できます。また、検出されたアイテムを更新できます。 |
| 保留および例外の承認のために sn_vul.admin をアサインした場合。 | ユーザーとグループに、sn_vul.exception_approver - 例外承認者をアサインすることをお勧めします。 このロールを持つユーザーとグループは、修復タスクと脆弱性一致アイテムの例外、保留、およびクローズを承認できます。 v20.0 以降、このロールの詳細ロール sn_vul.read_all が削除され、すべての脆弱性一致アイテムと修復タスクではなく、自分と自分のグループに割り当てられた脆弱性一致アイテムと修復タスクにアクセスできるようになりました。 |
| sn_vul.vulnerability_read をアサインして脆弱性管理を可視化した場合。 | タスクごとにアプリケーションの特定領域への読み取りアクセス権をアサインすることをお勧めします。 たとえば、sn_vul.read_all をアサインして、ユーザーがすべての VR レコードを表示できるようにします。修復タスクルールを表示するための読み取りアクセス権を付与するには、sn_vul.read_group_rules をアサインします。このロールを持つユーザーやグループはレコードを更新できません。 |
ペルソナロールを持つユーザーまたはグループがデフォルトで継承する詳細ロールを表示するには、次に移動します . 目的のロールを見つけてクリックし、レコードを開きます。[含まれるロール] タブには、ペルソナロールのすべての詳細ロールと継承されたロールが一覧表示されます。
セットアップアシスタントでロールをアサインする前に、必要なすべてのユーザーとグループが作成されていることを確認するようお勧めします。または、セットアップアシスタント内から新しいユーザーとグループを追加するには、次の図に示すフォームの [ユーザー管理モジュール] リンクをクリックします。
次の例では、脆弱性対応 アプリケーションへのアクセスを制限するために、脆弱性管理者ペルソナをユーザーにアサインする方法を示しています。通常は、sn_vul.vulnerability_admin 以外のペルソナロールをグループにアサインすることをお勧めします。
必要なロール:管理者
手順
-
[Vulnerability Response ユーザーおよびグループ] をクリックします。
[システム管理 Vulnerability Response ユーザーおよびグループ] ページが表示されます。
-
[ユーザーへのロールのアサイン] を選択した状態で、リストから既存のユーザーを選択します。
ユーザーまたはグループに 1 つのペルソナロールのみをアサインできます。
フォームの右側でユーザーまたはグループを選択すると、デフォルトのペルソナである修復オーナー [sn_vul.remediation_owner] がデフォルトでアサインされ、変更するまでリストに表示されたままになります。
注:脆弱性対応 の新しいバージョンにアップグレードし、アップグレード前に sn_vul.vulnerability_read または sn_vul.vulnerability_write ロールをユーザーやグループに事前にアサインしていた場合は、次の図に示すように、そのロールが新しいペルソナロールとともに表示されます。アップグレードのお客様は、Vulnerability Response アプリケーションの既存のロールを使用し続けることができます。v10.3 より前に sn_vul.vulnerability_read および sn_vul.vulnerability_write 権限によりアサインされたユーザーとグループおよび修復オーナーのアクセス権は変更されていません。
sn_vul.vulnerability_read または sn_vul.vulnerability_write ロールが現在アサインされている既存のユーザーまたはグループの場合、これらのロールはペルソナロールとともにリストに表示されます。ペルソナロールをアサインすると、以前のロールは使用できなくなります。たとえば、次の図に示す書き込み [sn_vul.vulnerability_write] ロールは、ペルソナロールのいずれかをアサインすると、そのユーザーまたはグループにはオプションとして表示されなくなります。
-
フォームの右側のリストから、[脆弱性管理者 [sn_vul.vulnerability_admin]] を選択します。
ユーザーまたはグループにペルソナが正常にアサインされたことを示すメッセージが表示されます。
図 : 1. グループにアサインされた修復オーナーペルソナと、ユーザーにアサインされた脆弱性管理者ペルソナ
次のタスク
システム管理者として、セットアップアシスタントで 脆弱性対応 の構成を続行します。最初のセクションが完了したら、脆弱性管理者ペルソナロールがアサインされたユーザーに、セットアップアシスタントでタスクを実行させることができます。詳細ロール管理の詳細と例については、「脆弱性対応 のペルソナと詳細ロールの管理」を参照してください。