Vulnerability Response Personae und granulare Rollen

Einer der ersten Konfigurationsschritte, die für die Anwendung Vulnerability Response erforderlich sind, ist das Zuweisen von Rollen zu Benutzern und Gruppen. Rollen definieren, was Benutzer und Gruppen in Vulnerability Response, Performance Analytics for Vulnerability Responseund allen Drittanbieterintegrationen mit Vulnerability Responsesehen und tun können.

Persona-Rollen weisen Sie vorhandenen Anwendern und Gruppen im Setup-Assistenten zu. Weitere Informationen finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu.

Hinweis:

Als Upgrade-Kunde können Sie Ihre vorhandenen Rollen für die Anwendung Vulnerability Response weiterhin verwenden. Der Zugriff für Anwender und Gruppen, denen vor v10.3 die Berechtigungen „sn_vul.vulnerability_read“ und „sn_vul.vulnerability_write“ und der Nachbesserungsbesitzer zugewiesen wurden, hat sich nicht geändert.

Um jedoch mehr Kontrolle darüber zu haben, was Benutzer und Gruppen in der Anwendung Vulnerability Response auf Aufgabenebene tun und sehen können, bevorzugen Sie möglicherweise die Verwendung von granularen Rollen. Weitere Informationen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

Wenn Sie bereits Rollen mit dem Setup-Assistenten zugewiesen haben und granulare Rollenzuweisungen für alle Benutzer und Gruppen im Modul Benutzeradministration verwalten möchten, finden Sie weitere Informationen unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

Persona-Rollen und granulare Rollen beginnen

Schlüsselbegriffe.

Rolle: Mit Rollen wird festgelegt, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können.
Gruppe: Eine Gruppe von Benutzern, die bestimmte Rollen und einen gemeinsamen Zweck teilen.
Persona-Rolle: Eine vorkonfigurierte Rolle in der -Anwendung, die aus mehreren granularen Rollen besteht. Die Persona-Rollen in Setup-Assistent, Schwachstellenadministrator, Schwachstellenanalyst, Korrekturbesitzer, Konfigurationselement-Manager und Ausnahmemanager entsprechen allgemeinen Berufsbezeichnungen für Manager, Analysten und Serviceverantwortliche in einer IT-Organisation oder einer Schwachstellenkorrekturgruppe.
Geerbte Rollen: Ein Begriff, der Rollen beschreibt, die Benutzer automatisch erwerben, wenn ihnen andere Rollen zugewiesen werden. Beispielsweise erben alle Benutzer oder Gruppen, denen die Persona-Rolle sn_vul.remediation_owner zugewiesen ist, auch die granularen Rollen sn_vul.read_assigned,sn_vul.write_assigned.
Zugriffssteuerungsliste (ACL): Zugriffssteuerungslisten schränken den Zugriff auf Daten ein, indem sie von Anwendern die Erfüllung einer Reihe von Anforderungen verlangen, bevor sie mit der Interaktion beginnen können.
Um zu verhindern, dass Berichte verfügbar gemacht werden, legen Sie ab Vulnerability Response v16.5 die Option Alle report_view-ACLs auf active=truefest. Diese ACL stellt sicher, dass die geschützten Daten nur für autorisierte Anwender verfügbar sind.

Im Setup-Assistenten weisen Sie Gruppen und Anwender Persona-Rollen zu.

Hinweis:

Im Setup-Assistenten ist die Systemadministratorrolle (admin) für die Aufgaben im ersten Abschnitt erforderlich: Zuweisen von Rollen und Installieren von Integrationen. Nachdem Sie im Setup-Assistenten Persona-Rollen zugewiesen und Integrationen installiert haben, können Sie einen Benutzer oder eine Gruppe mit der Rolle sn_vul.vulnerability_admin zuweisen, um verbleibende Aufgaben im Setup-Assistenten abzuschließen und die Anwendung Vulnerability Response zu verwalten.

In der folgenden Tabelle sind die mit der Anwendung installierten Persona-Rollen Vulnerability Response aufgelistet.


Persona-Rollen für Vulnerability Response	Beschreibung
Zuweisen von sn_vul.vulnerability_admin: Schwachstellen-Administrator zu Anwendern oder Gruppen.	Benutzer mit dieser Rolle haben vollständigen Zugriff auf die Anwendung Vulnerability Response (VR) und ihre Datensätze. Benutzer mit dieser Rolle können alle VR-Anwendungen und Regeln konfigurieren und Drittanbieterintegrationen installieren.
Weisen Sie „sn_vul.vulnerability_analyst - Schwachstellenanalyst“ Anwendern und Gruppen zu.	Anwender und Gruppen mit dieser Rolle können alle Datensätze für die VI-Korrektur anzeigen und aktualisieren.
Zuweisen von sn_vul.remediation_owner: Korrekturbesitzer zu Anwendern und Gruppen.	Benutzer und Gruppen mit dieser Rolle beheben Schwachstellen, die ihnen oder einer Gruppe, der sie angehören, zugewiesen werden. Gruppen oder Anwender mit dieser Rolle können die ihnen oder einer Gruppe, der sie angehören, zugewiesenen Datensätze anzeigen und aktualisieren.
Weisen Sie sn_vul.ci_manager Benutzern und Gruppen zu.	Benutzer und Gruppen mit dieser Rolle verwalten die erneute Klassifizierung von nicht abgeglichenen Konfigurationselementen (Configurations Items, CI), die nicht in der Configuration Management Database (CMDB) gefunden wurden.
Weisen Sie Lesezugriff auf bestimmte Bereiche in der Anwendung nach Aufgabe zu.	Weisen Sie beispielsweise sn_vul.read_all zu, damit ein Benutzer alle VR-Datensätze anzeigen kann. Für Lesezugriff zum Anzeigen von Regeln für Korrekturaufgaben weisen Sie „sn_vul.read_group_rules“ zu. Anwender und Gruppen mit dieser Rolle aktualisieren keine Datensätze.

Granulare Rollen und Persona-Rollen

Eine Möglichkeit, sich über Persona-Rollen Gedanken zu machen, besteht darin, zu überlegen, inwiefern sich ihre Beschreibungen auf Stellenbeschreibungen für verschiedene IT- oder Schwachstellenkorrektur-Positionen in Ihrer Organisation beziehen können. Die folgende Abbildung zeigt eine mögliche Stellenbeschreibung für einen Fehlerkorrekturspezialisten in der IT und wie sich die mit dieser Stelle verknüpften Aufgaben auf die Aufgaben einer Persona-Rolle für Korrekturbesitzer in der Anwendung Vulnerability Response beziehen.

Aufträge im Unternehmen im Vergleich zu Personas in Vulnerability Response. — Abbildung : 1. Stellenbeschreibungen und eine Persona-Rolle

Sowohl die Stellenbeschreibung als auch die Persona-Rolle des Korrekturbesitzers können als eine Reihe von Korrekturaufgaben definiert werden. In der obigen Abbildung befinden sich eine Stellenbeschreibung und eine Persona-Rolle in grünen Blöcken über den Aufgaben, die sie beschreiben. In diesem Beispiel entsprechen einige der typischen Stellenanforderungen für einen Spezialisten in einer Korrekturgruppe direkt den Aufgaben, aus denen die Persona des Korrekturverantwortlichen in Vulnerability Responsebesteht: Datensätze überprüfen und aktualisieren, Korrekturstatus von Schwachstellen verfolgen, Elemente für die Korrektur priorisieren, und wenden mit der IT Korrekturen und Patches an.

Manchmal entsprechen die Aufträge in Ihrer Organisation jedoch möglicherweise nicht direkt den Aufgaben, aus denen eine der fünf Persona-Rollen in der Anwendung Vulnerability Response besteht. Aus verschiedenen Gründen, z. B. zum Schutz vertraulicher Daten oder zur Einhaltung von Vorschriften, müssen Sie den umfassenden Zugriff einschränken, den einige Persona-Rollen Ihren Benutzern und Gruppen gewähren. Umgekehrt müssen Sie Benutzern und Gruppen mehr Zugriff gewähren, damit sie ihre Aufgaben ausführen können. Mithilfe granularer Rollen können Sie Rollen einfach anpassen und den Zugriff steuern, den Benutzer und Gruppen auf Vulnerability Response, Performance Analytics for Vulnerability Responseund Integrationen von Drittanbietern haben.

Die granularen Rollen definieren die Aufgaben

Die Namen der granularen Rollen in Vulnerability Response beschreiben normalerweise, was Benutzer in der Anwendung Vulnerability Response tun und sehen können. Beispiel: In der vorherigen Abbildung verfügen Benutzer und Gruppen mit zugewiesener Persona des Korrekturbesitzers über die granularen Rollen sn_vul.read_assigned und sn_vul.write_assigned. Mit diesen granularen Rollen können Benutzer oder Gruppen angreifbare Elemente und ihnen zugewiesene Korrekturaufgabendatensätze anzeigen und aktualisieren. Um Beschreibungen bestimmter granularer Rollen anzuzeigen, navigieren Sie als Benutzer mit der Systemadministratorrolle zu Anwenderadministration > Rollen und suchen Sie die gewünschte Rolle. Rollen, die automatisch geerbt werden, wenn eine Rolle zugewiesen wird, werden aufgelistet. Wenn eine Rolle von anderen Rollenzuweisungen abhängt, werden außerdem alle erforderlichen Rollen aufgelistet.

In der folgenden Abbildung sind die granularen Rollen der Persona des Verantwortlichen für die Korrektur und des Schwachstellenanalysten dargestellt. Beachten Sie, dass die Persona des Korrekturbesitzers die Berechtigungen „read_all“ und „write_all“ der Persona des Schwachstellenanalysten nicht enthält. Die granularen Rollen „read_all“ und „write_all“ sind erforderlich, damit Benutzer und Gruppen alle Datensätze für angreifbare Elemente und Korrekturaufgaben lesen und bearbeiten können. Um diese Rollen anzupassen, fügen Sie einfach granulare Rollen hinzu, oder entfernen Sie sie, um den Zugriff zu erweitern oder einzuschränken.

Die granularen Rollen, die Sie für die Personae des Korrekturbesitzers und des Schwachstellenanalysten hinzufügen oder entfernen können. Zum Beispiel die Rollen „Alle lesen“ und „Alle schreiben“ für den Schwachstellenanalysten. — Abbildung : 2. Granulare Rollen und Personas für Korrekturverantwortlichen und Schwachstellenanalysten

Wenn Sie möchten, dass Ihre Benutzer und Gruppen mehr Zugriff haben, als die Persona-Rollen zulassen, können Sie den Benutzern und Gruppen granulare Rollen hinzufügen. Umgekehrt können Sie granulare Rollen entfernen, wenn Sie den Zugriff für bestimmte Benutzer und Gruppen auf Aufgabenebene einschränken möchten.

Hinweis:

Zum Zuweisen und Bearbeiten granularer Rollen im Benutzeradministrationsmodul ist die Systemadministratorrolle erforderlich.

Granulare Rollen im Benutzeradministrationsmodul

Ein Beispiel für die Verwaltung granularer Rollen für einen Benutzer oder eine Gruppe finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

Informationen zum Zuweisen von Persona-Rollen finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu.