Vulnerability Response Personas und granulare Rollen

Einer der ersten erforderlichen Konfigurationsschritte für die Anwendung Vulnerability Response besteht in der Zuweisung von Rollen zu Benutzern und Gruppen. Rollen definieren, was Benutzer und Gruppen in Vulnerability Response, Performance Analytics for Vulnerability Responseund allen Drittanbieterintegrationen mit Vulnerability Responsesehen und tun können.

Sie weisen vorhandenen Benutzern und Gruppen im Setup-Assistenten Persona-Rollen zu. Weitere Informationen finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu.

Hinweis:

Wenn Sie Upgrade-Kunde sind, können Sie Ihre vorhandenen Rollen für die Anwendung Vulnerability Response weiterhin verwenden. Der Zugriff für Benutzer und Gruppen, denen die Berechtigungen sn_vul.vulnerability_read und sn_vul.vulnerability_write zugewiesen wurden, und der Korrekturbesitzer vor v10.3 hat sich nicht geändert.

Um jedoch mehr Kontrolle darüber zu haben, was Benutzer und Gruppen in der Anwendung Vulnerability Response auf Aufgabenebene tun und anzeigen können, bevorzugen Sie möglicherweise die Verwendung granularer Rollen. Weitere Informationen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

Wenn Sie Rollen bereits mit dem Setup-Assistenten zugewiesen haben und granulare Rollenzuweisungen für alle Benutzer und Gruppen aus dem Modul „Benutzeradministration“ verwalten möchten, finden Sie weitere Informationen unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

Persona-Rollen und granulare Rollen beginnen

Wichtige Begriffe.

Rolle: Rollen definieren, was Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können.
Gruppe: Eine Gruppe von Benutzern, die bestimmte Rollen gemeinsam nutzen und ein gemeinsames Ziel verfolgen.
Persona-Rolle: Eine vorkonfigurierte Rolle in der Anwendung, die aus mehreren granularen Rollen besteht. Die Persona-Rollen „Setup-Assistent“, „Schwachstellenadministrator“, „Schwachstellenanalyst“, „Korrekturbesitzer“, „Konfigurationselement-Manager“ und „Ausnahmemanager“ sind so konzipiert, dass sie den gängigen Berufsbezeichnungen für Manager, Analysten und Serviceverantwortliche in einer IT-Organisation oder Schwachstellenkorrekturgruppe entsprechen.
Geerbte Rollen: Ein Begriff, der Rollen beschreibt, die Benutzer automatisch erwerben, wenn ihnen andere Rollen zugewiesen werden. Beispielsweise erben alle Benutzer oder Gruppen, denen die Persona-Rolle „sn_vul.remediation_owner“ zugewiesen ist, auch die granularen Rollen „sn_vul.read_assigned“, „sn_vul.write_assigned“.
Zugriffskontrollliste (ACL): Zugriffskontrolllisten schränken den Zugriff auf Daten ein, indem Benutzer eine Reihe von Anforderungen erfüllen müssen, bevor sie mit ihnen interagieren können.
Um Berichte ab Vulnerability Response v16.5 vor der Offenlegung zu schützen, legen Sie Alle report_view-ACLs auf active=truefest. Diese ACL stellt sicher, dass die geschützten Daten nur für autorisierte Benutzer verfügbar sind.

Sie weisen Gruppen und Benutzern im Setup-Assistenten Persona-Rollen zu.

Hinweis:

Im Setup-Assistenten ist die Systemadministratorrolle (admin) für die Aufgaben im ersten Abschnitt erforderlich: Zuweisen von Rollen und Installieren von Integrationen. Nachdem Sie Persona-Rollen im Setup-Assistenten zugewiesen und Integrationen installiert haben, ziehen Sie es möglicherweise vor, einem Benutzer oder einer Gruppe die Rolle „sn_vul.vulnerability_admin“ zuzuweisen, um verbleibende Aufgaben im Setup-Assistenten abzuschließen und die Anwendung Vulnerability Response zu verwalten.

In der folgenden Tabelle sind Vulnerability Response Persona-Rollen aufgelistet, die mit der Anwendung installiert wurden.


Persona-Rollen für Vulnerability Response	Beschreibung
Weisen Sie Benutzern oder Gruppen sn_vul.vulnerability_admin – Schwachstellenadministrator zu.	Benutzer mit dieser Rolle haben vollständigen Zugriff auf die Anwendung Vulnerability Response (VR) und ihre Datensätze. Benutzer mit dieser Rolle konfigurieren alle VR-Anwendungen und -Regeln und installieren Integrationen von Drittanbietern.
Weisen Sie Benutzern und Gruppen sn_vul.vulnerability_analyst – Schwachstellenanalyst zu.	Benutzer und Gruppen mit dieser Rolle können alle Datensätze für die VI-Korrektur anzeigen und aktualisieren.
Weisen Sie Benutzern und Gruppen sn_vul.remediation_owner – Korrekturbesitzer zu.	Benutzer und Gruppen mit dieser Rolle beheben Schwachstellen, die ihnen oder einer Gruppe zugewiesen sind, der sie angehören. Gruppen oder Benutzer mit dieser Rolle können die Datensätze anzeigen und aktualisieren, die ihnen oder einer Gruppe zugewiesen sind, der sie angehören.
Weisen Sie Benutzern und Gruppen sn_vul.ci_manager zu.	Benutzer und Gruppen mit dieser Rolle verwalten die Neuklassifizierung von nicht abgeglichenen Konfigurationselementen (CIs), die nicht in der Configuration Management Database (CMDB) gefunden wurden.
Weisen Sie Lesezugriff auf bestimmte Bereiche in der Anwendung nach Aufgabe zu.	Weisen Sie beispielsweise sn_vul.read_all zu, damit ein Benutzer alle VR-Datensätze anzeigen kann. Weisen Sie für Lesezugriff zum Anzeigen von Korrekturaufgabenregeln sn_vul.read_group_rules zu. Benutzer und Gruppen mit dieser Rolle aktualisieren keine Datensätze.

Granulare Rollen und Persona-Rollen

Eine Möglichkeit, über Persona-Rollen zu denken, besteht darin, zu überlegen, wie sich ihre Beschreibungen auf Stellenbeschreibungen für verschiedene IT- oder Schwachstellenkorrektur-Positionen in Ihrer Organisation beziehen können. Die folgende Abbildung zeigt eine mögliche Stellenbeschreibung für einen Fehlerkorrekturspezialisten in der IT und wie sich die Aufgaben, die dieser Aufgabe zugeordnet sind, auf die Aufgaben einer Persona-Rolle des Korrekturbesitzers in der Anwendung Vulnerability Response beziehen.

Stellen im Unternehmen im Vergleich zu Personas in Vulnerability Response. — Abbildung : 1. Stellenbeschreibungen und eine Persona-Rolle

Sowohl die Stellenbeschreibung als auch die Persona-Rolle des Korrekturbesitzers können als eine Reihe von Korrekturaufgaben definiert werden. In der vorherigen Abbildung befinden sich eine Stellenbeschreibung und eine Persona-Rolle in grünen Blöcken über den Aufgaben, die sie beschreiben. In diesem Beispiel entsprechen einige der typischen Jobanforderungen für einen Spezialisten in einer Korrekturgruppe direkt den Aufgaben, aus denen die Persona des Korrekturverantwortlichen in Vulnerability Responsebesteht: Datensätze überprüfen und aktualisieren, den Korrekturstatus von Schwachstellen nachverfolgen, Elemente für die Korrektur priorisieren, und Korrekturen und Patches mit der IT anwenden.

Manchmal entsprechen die Stellen in Ihrer Organisation jedoch nicht direkt den Aufgaben, aus denen eine der fünf Persona-Rollen in der Anwendung Vulnerability Response besteht. Aus verschiedenen Gründen, z. B. zum Schutz vertraulicher Daten oder zur Einhaltung von Vorschriften, müssen Sie den weitreichenden Zugriff beschränken, den einige der Persona-Rollen Ihren Benutzern und Gruppen gewähren. Oder umgekehrt müssen Sie Benutzern und Gruppen mehr Zugriff gewähren, damit sie ihre Aufgaben ausführen können. Mit granularen Rollen können Sie Rollen einfach anpassen und den Zugriff steuern, den Benutzer und Gruppen auf Vulnerability Response, Performance Analytics for Vulnerability Responseund Integrationen von Drittanbietern haben.

Die granularen Rollen definieren die Aufgaben

Die Namen für die granularen Rollen in Vulnerability Response beschreiben normalerweise, was Benutzer in der Anwendung Vulnerability Response tun und sehen können. In der vorherigen Abbildung haben Benutzer und Gruppen mit der zugewiesenen Persona „Korrekturbesitzer“ beispielsweise die granularen Rollen „sn_vul.read_assigned“ und „sn_vul.write_assigned“. Mit diesen granularen Rollen können Benutzer oder Gruppen angreifbare Elemente und Korrekturaufgabendatensätze, die ihnen zugewiesen sind, anzeigen und aktualisieren. Um Beschreibungen bestimmter granularer Rollen anzuzeigen, navigieren Sie als Benutzer mit der Systemadministratorrolle zu Benutzeradministration > Rollen und suchen Sie die gewünschte Rolle. Rollen, die automatisch geerbt werden, wenn eine Rolle zugewiesen wird, werden aufgelistet. Wenn eine Rolle von anderen Rollenzuweisungen abhängt, werden auch alle erforderlichen Rollen aufgelistet.

In der folgenden Abbildung sind die granularen Rollen der Persona-Rolle des Korrekturbesitzers und der Persona des Schwachstellenanalysten dargestellt. Beachten Sie, dass die Persona des Korrekturbesitzers nicht die Berechtigungen „read_all“ und „write_all“ der Persona des Schwachstellenanalysten enthält. Die granularen Rollen read_all und write_all sind erforderlich, bevor Benutzer und Gruppen alle Datensätze für angreifbare Elemente und Korrekturaufgaben lesen und bearbeiten können. Um diese Rollen anzupassen, fügen Sie einfach granulare Rollen hinzu oder entfernen sie, um den Zugriff zu erweitern oder einzuschränken.

Die granularen Rollen, die Sie für die Personas „Korrekturbesitzer“ und „Schwachstellenanalyst“ hinzufügen oder entfernen können. Zum Beispiel die Rollen „Alle lesen“ und „Alle schreiben“ für den Schwachstellenanalysten. — Abbildung : 2. Granulare Rollen und die Personas des Korrekturverantwortlichen und des Schwachstellenanalysten

Wenn Sie möchten, dass Ihre Benutzer und Gruppen mehr Zugriff haben, als die Persona-Rollen zulassen, können Sie Benutzern und Gruppen granulare Rollen hinzufügen. Umgekehrt können Sie granulare Rollen entfernen, wenn Sie den Zugriff für bestimmte Benutzer und Gruppen auf Aufgabenebene beschränken möchten.

Hinweis:

Zum Zuweisen und Bearbeiten von granularen Rollen im Benutzerverwaltungsmodul ist die Systemadministratorrolle erforderlich.

Granulare Rollen im Modul „Benutzeradministration“.

Ein Beispiel für die Verwaltung granularer Rollen für einen Benutzer oder eine Gruppe finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

Informationen zum Zuweisen von Persona-Rollen finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu.