セキュリティエクスポージャー管理ワークスペース のペルソナと詳細なロール
セキュリティエクスポージャー管理ワークスペース プラグインを使用して脆弱性を正常に修正する前に、セットアップアシスタントでユーザーとグループにペルソナとロールをアサインする必要があります。
セキュリティエクスポージャー管理ワークスペース プラグインに必要な最初の構成手順の 1 つは、ユーザーとグループにロールを割り当てることです。ロールは、セキュリティエクスポージャー管理ワークスペース、脆弱性対応のパフォーマンスアナリティクス、および セキュリティエクスポージャー管理ワークスペース とのすべてのサードパーティ統合において、ユーザーとグループが表示および実行できる内容を規定します。
セットアップアシスタントでペルソナロールを既存のユーザーとグループにアサインします。「セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン」を参照してください。
アップグレードのお客様は、脆弱性対応 アプリケーションの既存のロールを引き続き使用できます。v10.3 より前に sn_vul.vulnerability_read および sn_vul.vulnerability_write 権限によりアサインされたユーザーとグループおよび修復オーナーのアクセス権は変更されていません。
ただし、ユーザーやグループが セキュリティエクスポージャー管理ワークスペース プラグインで実行および表示できる内容をタスクレベルでより詳細に制御する場合は、詳細なロールを使用することをお勧めします。詳細については、「脆弱性対応 のペルソナと詳細ロールの管理」を参照してください。
セットアップアシスタントを使用して既にロールをアサインしており、ユーザー管理モジュールからすべてのユーザーおよびグループに対して詳細なロールのアサインを管理する場合は、「脆弱性対応 のペルソナと詳細ロールの管理」を参照してください。
ペルソナロールと詳細なロールの開始
主要な用語
- ロール
- ロールは、ユーザーとグループが セキュリティエクスポージャー管理ワークスペース プラグインで表示および実行できる内容を定義します。
- グループ
- 特定のロールと共通の目的を共有する一連のユーザー。
- ペルソナロール
- 複数の詳細なロールで構成される、アプリケーション内の事前設定されたロール。セットアップアシスタント、脆弱性アドミン、脆弱性アナリスト、修復オーナー、構成アイテムマネージャー、および例外マネージャーのペルソナロールは、IT 組織または脆弱性修復グループのマネージャー、アナリスト、およびサービスオーナーの一般的な役職に対応するように設計されています。
- 継承されたロール
- ユーザーが他のロールをアサインされたときに自動的に獲得するロールを説明する用語。たとえば、sn_vul.remediation_owner ペルソナロールがアサインされているユーザーまたはグループは、sn_vul.read_assigned、sn_vul.write_assigned という詳細なロールも継承します。
- アクセス制御リスト (ACL)
- アクセス制御リストは、ユーザーがデータを操作する前に、まず要件のセットをユーザーに要求することで、データへのアクセスを制限します。
脆弱性対応 v16.5 以降、レポートが公開されないように保護するには、すべての report_view ACL を active=true に設定します。この ACL によって、保護されたデータは許可されたユーザーのみが使用可能になります。
次の表に、アプリケーションとともにインストールされる 脆弱性対応 ペルソナロールを示します。
| 脆弱性対応 のペルソナロール | 説明 |
|---|---|
| sn_vul.vulnerability_admin - 脆弱性アドミンをユーザーまたはグループにアサイン。 | このロールを持つユーザーは、脆弱性対応 (VR) アプリケーションとそのレコードに完全にアクセスできます。また、すべての VR アプリケーションとルールを構成したり、サードパーティ統合をインストールしたりできます。 |
| sn_vul.vulnerability_analyst - 脆弱性アナリストをユーザーやグループにアサイン。 | このロールを持つユーザーやグループは、VI 修復のすべてのレコードを表示および更新できます。 |
| sn_vul.remediation_owner - 修復オーナーをユーザーやグループにアサイン。 | このロールを持つユーザーやグループは、自分または所属するグループにアサインされた脆弱性を修正できます。このロールを持つグループまたはユーザーは、自分または所属するグループにアサインされたレコードを表示および更新します。 |
|
sn_vul.ci_manager をユーザーやグループにアサイン。 |
このロールを持つユーザーやグループは、構成管理データベース (CMDB) にない不一致構成アイテム (CI) の再分類を管理できます。 |
| タスクごとにアプリケーションの特定領域への読み取りアクセス権をアサイン。 | たとえば、sn_vul.read_all をアサインして、ユーザーがすべての VR レコードを表示できるようにします。修復タスクルールを表示するための読み取りアクセス権を付与するには、sn_vul.read_group_rules をアサインします。このロールを持つユーザーやグループはレコードを更新できません。 |
詳細なロールとペルソナロール
ペルソナロールの考え方の 1 つは、その説明が組織内のさまざまな IT または脆弱性修復の職務の説明にどのように関連するかを検討することです。次の図は、IT の修復スペシャリストの考えられる職務の説明と、この職務に関連付けられたタスクが 脆弱性対応 アプリケーションの修復オーナーペルソナロールのタスクにどのように関連しているかを示しています。
職務の説明と修復オーナーのペルソナロールは、どちらも一連の修復タスクとして定義できます。前の画像では、職務の説明と緑色ブロック内のペルソナロールが、それらを説明するタスクの上にあります。この例では、修復グループのスペシャリストの一般的な職務要件の一部は、脆弱性対応 の修復オーナーペルソナを構成するタスク (レコードのレビューと更新、脆弱性の修復ステータスの追跡、修復アイテムの優先順位付け、IT による修正とパッチの適用) に直接対応しています。
ただし、組織内の職務が、脆弱性対応 アプリケーションの 5 つのペルソナロールのいずれかを構成するタスクに直接対応していない場合があります。機密データの保護や規制への準拠などのさまざまな理由から、一部のペルソナロールがユーザーやグループに提供する幅広いアクセスを制限する必要があります。または、逆に、ユーザーやグループが職務を遂行できるように、より多くのアクセス権を付与する必要があります。詳細なロールを使用すると、ロールを簡単にカスタマイズし、脆弱性対応、脆弱性対応のパフォーマンスアナリティクス、およびサードパーティの統合に対するユーザーやグループのアクセスを制御できます。
詳細なロールでタスクを定義
脆弱性対応 における詳細なロールの名前は、通常、ユーザーが 脆弱性対応 アプリケーションで実行および表示できる内容を示しています。たとえば前の画像で、修復オーナーのペルソナがアサインされているユーザーやグループには、sn_vul.read_assigned および sn_vul.write_assigned という詳細なロールが設定されています。これらの詳細なロールにより、ユーザーやグループは、アサインされた脆弱性一致アイテムと修復タスクレコードを表示および更新できます。特定の詳細ロールの説明を表示するには、システムアドミンロールを持つユーザーとして、次の場所に移動します をクリックし、必要なロールを見つけます。ロールがアサインされたときに自動的に継承されるロールが一覧表示されます。また、ロールが他のロールのアサインに依存している場合は、必要なロールも一覧表示されます。
次の画像は、修復オーナーのペルソナと脆弱性アナリストのペルソナの両方について、詳細なロールを示しています。修復オーナーのペルソナには、脆弱性アナリストのペルソナの read_all 権限と write_all 権限が含まれていないことに注意してください。ユーザーやグループがすべての脆弱性一致アイテムと修復タスクレコードを読み取り、編集するには、詳細なロール read_all と write_all が必要です。これらのロールをカスタマイズするには、詳細なロールを追加または削除してアクセスを拡大または制限します。
ペルソナロールで許可されている数よりも多くのアクセス権をユーザーやグループに付与する場合は、詳細なロールをさらにユーザーやグループに追加できます。逆に、タスクレベルで特定のユーザーやグループのアクセスを制限する場合は、詳細なロールを削除できます。
ユーザー管理モジュールの詳細なロール
ユーザーまたはグループの詳細なロールを管理する方法の例については、「脆弱性対応 のペルソナと詳細ロールの管理」を参照してください。
ペルソナロールをアサインするには、「セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン」を参照してください。