Vulnerability Response Profils et rôles granulaires
Avant de pouvoir corriger avec succès les vulnérabilités avec l’application Vulnerability Response , vous devez affecter des profils et des rôles à vos utilisateurs et groupes dans l’Assistant de configuration.
L’une des premières étapes de configuration requises pour l’application Vulnerability Response consiste à affecter des rôles aux utilisateurs et aux groupes. Les rôles définissent ce que les utilisateurs et les groupes peuvent afficher et faire dans Vulnerability Response, Analyse des performances pour Vulnerability Response, et toutes les intégrations tierces avec Vulnerability Response.
Vous affectez des rôles de profil à des utilisateurs et groupes existants dans l’Assistant de configuration. Consultez Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration.
Si vous êtes un client effectuant une mise à niveau, vous pouvez continuer à utiliser vos rôles existants pour l’application Vulnerability Response . L’accès des utilisateurs et des groupes affectés avec les autorisations sn_vul.vulnerability_read et sn_vul.vulnerability_write et du propriétaire de rattrapage avant la version 10.3 n’a pas changé.
Toutefois, pour plus de contrôle sur ce que les utilisateurs et les groupes peuvent faire et voir dans l’application au niveau de la Vulnerability Response tâche, vous préférerez peut-être utiliser des rôles granulaires. Pour plus d'informations, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.
Si vous avez déjà affecté des rôles à l’aide de l’Assistant de configuration et que vous souhaitez gérer des affectations de rôles granulaires pour tous les utilisateurs et groupes à partir du module Administration utilisateurs, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response pour en savoir plus.
Rôles de profil et rôles granulaires à partir de
Termes clés.
- Rôle
- Les rôles définissent ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response .
- Groupe
- Un ensemble d’utilisateurs qui partagent certains rôles et un objectif commun.
- Rôle de profil
- Un rôle préconfiguré dans l’application qui est composé de plusieurs rôles granulaires. Les rôles de profil dans Assistant de configuration, Administrateur de vulnérabilité, Analyste de vulnérabilité, Propriétaire de rattrapage, Gestionnaire d’élément de configuration et Gestionnaire d’exceptions sont conçus pour correspondre à des titres de poste courants pour les gestionnaires, les analystes et les propriétaires de services au sein d’une organisation informatique ou d’un groupe de rattrapage de vulnérabilité.
- Rôles hérités
- Terme décrivant les rôles que les utilisateurs acquièrent automatiquement lorsqu’ils se voient affecter d’autres rôles. Par exemple, tous les utilisateurs ou groupes auxquels est affecté le rôle de profil sn_vul.remediation_owner héritent également des rôles granulaires sn_vul.read_assigned,sn_vul.write_attribued.
- Liste de contrôle d’accès (ACL)
- Les listes de contrôle d’accès restreignent l’accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d’exigences avant de pouvoir interagir avec ces données.
À partir de la Vulnerability Response version 16.5, pour protéger les rapports contre l’exposition, définissez les report_view ACL sur active=true. Cette ACL garantit que les données protégées ne sont disponibles que pour les utilisateurs autorisés.
La table suivante répertorie les Vulnerability Response rôles de profil installés avec l’application.
| Rôles de profil pour Vulnerability Response | Description |
|---|---|
| Affecter sn_vul.vulnerability_admin : administrateur de vulnérabilité à des utilisateurs ou à des groupes. | Les utilisateurs disposant de ce rôle ont un accès complet à l’application Vulnerability Response (VR) et à ses enregistrements. Les utilisateurs disposant de ce rôle configurent toutes les applications et règles de VR et installent des intégrations tierces. |
| Affecter sn_vul.vulnerability_analyst : analyste de vulnérabilité aux utilisateurs et aux groupes. | Les utilisateurs et les groupes ayant ce rôle affichent et mettent à jour tous les enregistrements pour le rattrapage des VI. |
| Affecter sn_vul.remediation_owner : propriétaire du rattrapage aux utilisateurs et aux groupes. | Les utilisateurs et les groupes dotés de ce rôle corrigent les vulnérabilités qui leur sont affectées ou qui sont affectées à un groupe auquel ils appartiennent. Les groupes ou utilisateurs disposant de ce rôle affichent et mettent à jour les enregistrements qui leur sont affectés ou qui sont affectés à un groupe auquel ils appartiennent. |
Affectez sn_vul.ci_manager aux utilisateurs et aux groupes. |
Les utilisateurs et les groupes disposant de ce rôle gèrent la reclassification des éléments de configuration (CI) sans correspondance qui ne se trouvent pas dans la Configuration Management Database (CMDB). |
| Affectez l’accès en lecture à des zones spécifiques de l’application par tâche. | Par exemple, affectez sn_vul.read_all afin qu’un utilisateur puisse voir tous les enregistrements VR. Pour un accès en lecture afin d’afficher les règles de tâche de rattrapage, affectez sn_vul.read_group_rules. Les utilisateurs et les groupes disposant de ce rôle ne mettent pas à jour les enregistrements. |
Rôles granulaires et rôles de profil
Une façon d’envisager les rôles de profil consiste à examiner comment leurs descriptions peuvent être liées aux descriptions de poste pour divers postes informatiques ou de résolution de vulnérabilités au sein de votre organisation. La figure suivante illustre une description de poste possible pour un spécialiste de la correction informatique et la façon dont les tâches associées à cette tâche sont liées aux tâches d’un rôle de profil de propriétaire de correction dans l’application Vulnerability Response .
La description de tâche et le rôle de profil du propriétaire de la correction peuvent être définis comme une série de tâches de correction. Dans l’image précédente, une description de poste et un rôle de profil dans des blocs verts se trouvent au-dessus des tâches qui les décrivent. Dans cet exemple, certaines des exigences d’emploi typiques d’un spécialiste dans un groupe de rattrapage correspondent directement aux tâches qui composent le profil du propriétaire de rattrapage dans Vulnerability Response: Examiner et mettre à jour les enregistrements, suivre l’état de correction des vulnérabilités, classer par ordre de priorité les éléments à corriger et appliquer des correctifs avec le service informatique.
Cependant, il arrive parfois que les tâches de votre organisation ne correspondent pas directement aux tâches qui composent l’un des cinq rôles de profil dans l’application Vulnerability Response . Pour diverses raisons, telles que la protection des données sensibles ou le respect des réglementations, vous devez limiter l’accès large que certains des rôles de profil fournissent à vos utilisateurs et groupes. Inversement, vous devez fournir aux utilisateurs et aux groupes davantage d’accès pour qu’ils puissent effectuer leur travail. À l’aide de rôles granulaires, vous pouvez facilement personnaliser les rôles et contrôler l’accès des utilisateurs et des groupes aux Vulnerability ResponseAnalyse des performances pour Vulnerability Responseintégrations tierces.
Les rôles granulaires définissent les tâches
Les noms des rôles granulaires décrivent Vulnerability Response généralement ce que les utilisateurs peuvent faire et voir dans l’application Vulnerability Response . Par exemple, dans l’image précédente, les utilisateurs et les groupes auxquels le profil du propriétaire de la correction est affecté disposent des rôles granulaires sn_vul.read_assigned et sn_vul.write_attribueded. Ces rôles granulaires permettent aux utilisateurs ou aux groupes d’afficher et de mettre à jour les éléments vulnérables et les enregistrements de tâches de rattrapage qui leur sont affectés. Pour afficher les descriptions des rôles granulaires spécifiques, en tant qu’utilisateur doté du rôle d’administrateur système, accédez à et localisez le rôle que vous souhaitez. Les rôles qui sont automatiquement hérités lorsqu’un rôle est affecté sont répertoriés. En outre, lorsqu’un rôle dépend d’autres affectations de rôles, tous les rôles requis sont également répertoriés.
L’image suivante illustre les rôles granulaires des rôles de profil de propriétaire de rattrapage et d’analyste de vulnérabilité. Notez que le profil du propriétaire de la correction n’inclut pas les autorisations read_all et write_all du profil d’analyste de vulnérabilité. Les rôles granulaires, read_all et write_all, sont requis pour que les utilisateurs et les groupes puissent lire et modifier tous les enregistrements d’éléments vulnérables et de tâches de rattrapage. Pour personnaliser ces rôles, il vous suffit d’ajouter ou de supprimer des rôles granulaires afin d’étendre ou de limiter l’accès.
Si vous souhaitez que vos utilisateurs et groupes aient plus d’accès que ne le permettent les rôles de profil, vous pouvez ajouter des rôles plus granulaires aux utilisateurs et aux groupes. Inversement, si vous souhaitez limiter l’accès à des utilisateurs et groupes spécifiques au niveau de la tâche, vous pouvez supprimer des rôles granulaires.
Rôles granulaires dans le module Administration utilisateurs
Pour obtenir un exemple de gestion des rôles granulaires pour un utilisateur ou un groupe, reportez-vous à Gérer les profils et les rôles granulaires pour Vulnerability Response.
Pour affecter des rôles de profil, reportez-vous à Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration.