Réponse aux vulnérabilités Profils et rôles granulaires
Avant de pouvoir corriger avec succès les vulnérabilités avec l’application Réponse aux vulnérabilités , vous devez affecter des profils et des rôles à vos utilisateurs et groupes dans l’Assistant de configuration.
L’une des premières étapes de configuration requises pour l’application Réponse aux vulnérabilités consiste à affecter des rôles aux utilisateurs et aux groupes. Les rôles définissent ce que les utilisateurs et les groupes peuvent voir et faire dans Réponse aux vulnérabilités, Analyse des performances pour Réponse aux vulnérabilités, et toutes les intégrations tierces avec Réponse aux vulnérabilités.
Vous affectez des rôles de profil à des utilisateurs et à des groupes existants dans l’Assistant de configuration. Consultez Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration.
Si vous êtes un client de mise à niveau, vous pouvez continuer à utiliser vos rôles existants pour l’application Réponse aux vulnérabilités . L’accès des utilisateurs et des groupes affectés aux autorisations sn_vul.vulnerability_read et sn_vul.vulnerability_write et au propriétaire de rattrapage antérieurs à la version 10.3 n’a pas changé.
Toutefois, pour plus de contrôle sur ce que les utilisateurs et les groupes peuvent faire et voir dans l’application Réponse aux vulnérabilités au niveau des tâches, vous pouvez préférer utiliser des rôles granulaires. Pour plus d'informations, consultez Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.
Si vous avez déjà attribué des rôles à l’aide de l’Assistant de configuration et que vous souhaitez gérer les affectations de rôles granulaires pour tous les utilisateurs et groupes à partir du module Administration des utilisateurs, reportez-vous à la section Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités pour plus d’informations.
Rôles de profil et rôles granulaires commençant
Termes clés.
- Rôle
- Les rôles définissent ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités .
- Groupe
- Un ensemble d’utilisateurs qui partagent certains rôles et un objectif commun.
- Rôle de profil
- Un rôle préconfiguré dans l’application qui est composé de plusieurs rôles granulaires. Les rôles de profil dans Assistant de configuration, Administrateur de vulnérabilité, Analyste de vulnérabilité, Propriétaire du rattrapage, Gestionnaire d’éléments de configuration et Gestionnaire d’exceptions sont conçus pour correspondre aux titres de poste courants pour les gestionnaires, les analystes et les propriétaires de services d’une organisation informatique ou d’un groupe de rattrapage de vulnérabilité.
- Rôles hérités
- Terme décrivant les rôles que les utilisateurs acquièrent automatiquement lorsqu’ils se voient attribuer d’autres rôles. Par exemple, tous les utilisateurs ou groupes affectés au rôle de profil sn_vul.remediation_owner héritent également des rôles granulaires sn_vul.read_assigned,sn_vul.write_assigned.
- Liste de contrôles d’accès (ACL)
- Les listes de contrôle d’accès restreignent l’accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d’exigences avant de pouvoir interagir avec ces données.
À partir de la Réponse aux vulnérabilités version 16.5, pour protéger les rapports contre l’exposition, définissez toutes les report_view ACL sur active=true. Cette ACL garantit que les données protégées ne sont disponibles que pour les utilisateurs autorisés.
La table suivante répertorie les Réponse aux vulnérabilités rôles de profil installés avec l’application.
| Rôles de profil pour Réponse aux vulnérabilités | Description |
|---|---|
| Affecter sn_vul.vulnerability_admin : administrateur de vulnérabilité à des utilisateurs ou des groupes. | Les utilisateurs disposant de ce rôle ont un accès complet à l’application Vulnerability Response (VR) et à ses enregistrements. Les utilisateurs ayant ce rôle configurent toutes les applications et règles de VR et installent des intégrations tierces. |
| Affecter sn_vul.vulnerability_analyst : analyste de vulnérabilité aux utilisateurs et aux groupes. | Les utilisateurs et les groupes dotés de ce rôle affichent et mettent à jour tous les enregistrements pour le rattrapage des VI. |
| Affecter sn_vul.remediation_owner : propriétaire du rattrapage aux utilisateurs et aux groupes. | Les utilisateurs et les groupes dotés de ce rôle corrigent les vulnérabilités qui leur sont affectées ou qui sont affectées à un groupe auquel ils appartiennent. Les groupes ou utilisateurs disposant de ce rôle affichent et mettent à jour les enregistrements qui leur sont affectés ou qui sont affectés à un groupe auquel ils appartiennent. |
Affectez sn_vul.ci_manager aux utilisateurs et aux groupes. |
Les utilisateurs et les groupes dotés de ce rôle gèrent la reclassification des éléments de configuration (CI) sans correspondance qui sont introuvables dans la CMDB (Base de données de gestion des configurations). |
| Affecter l’accès en lecture à des zones spécifiques de l’application par tâche. | Par exemple, affectez sn_vul.read_all afin qu’un utilisateur puisse afficher tous les enregistrements VR. Pour un accès en lecture à l’affichage des règles de tâche de rattrapage, affectez sn_vul.read_group_rules. Les utilisateurs et groupes ayant ce rôle ne mettent pas à jour les enregistrements. |
Rôles granulaires et rôles de profil
Une façon d’envisager les rôles de persona est d’examiner comment leurs descriptions peuvent être liées aux descriptions de poste pour divers postes informatiques ou de rattrapage de vulnérabilités dans votre organisation. La figure suivante illustre une description de poste possible pour un spécialiste du rattrapage dans le domaine informatique, et la façon dont les tâches associées à ce poste sont liées aux tâches d’un rôle de profil de propriétaire de rattrapage dans l’application Réponse aux vulnérabilités .
La description de poste et le rôle de profil du propriétaire de rattrapage peuvent être définis comme une série de tâches de rattrapage. Dans l’image précédente, une description de poste et un rôle de profil dans des blocs verts se trouvent au-dessus des tâches qui les décrivent. Dans cet exemple, certaines des exigences d’emploi typiques d’un spécialiste dans un groupe de rattrapage correspondent directement aux tâches qui constituent le profil du propriétaire de rattrapage dans Réponse aux vulnérabilités: Examiner et mettre à jour les enregistrements, suivre l’état de rattrapage des vulnérabilités, classer les éléments de correction par ordre de priorité et appliquer des correctifs et des correctifs avec le service informatique.
Parfois, cependant, les tâches de votre organisation peuvent ne pas correspondre directement aux tâches qui composent l’un des cinq rôles de profil dans l’application Réponse aux vulnérabilités . Pour diverses raisons, telles que la protection des données sensibles ou le respect des réglementations, vous devez limiter l’accès large que certains des rôles de profil fournissent à vos utilisateurs et groupes. Ou, à l’inverse, vous devez fournir aux utilisateurs et aux groupes davantage d’accès pour qu’ils puissent effectuer leur travail. À l’aide de rôles granulaires, vous pouvez facilement personnaliser les rôles et contrôler l’accès des utilisateurs et des groupes aux Réponse aux vulnérabilitésAnalyse des performances pour Réponse aux vulnérabilitésintégrations tierces.
Les rôles granulaires définissent les tâches
Les noms des rôles granulaires décrivent Réponse aux vulnérabilités généralement ce que les utilisateurs peuvent faire et voir dans l’application Réponse aux vulnérabilités . Par exemple, dans l’image précédente, les utilisateurs et les groupes auxquels le profil de propriétaire de rattrapage est affecté ont les rôles granulaires sn_vul.read_assigned et sn_vul.write_assigned. Ces rôles granulaires permettent aux utilisateurs ou aux groupes d’afficher et de mettre à jour les éléments vulnérables et les enregistrements de tâches de rattrapage qui leur sont affectés. Pour afficher les descriptions des rôles granulaires spécifiques, en tant qu’utilisateur disposant du rôle d’administrateur système, accédez à et localisez le rôle que vous souhaitez. Les rôles qui sont automatiquement hérités lorsqu’un rôle est affecté sont répertoriés. En outre, lorsqu’un rôle dépend d’autres affectations de rôles, tous les rôles requis sont également répertoriés.
L’image suivante illustre les rôles granulaires du rôle de profil de propriétaire de la résolution et du rôle d’analyste de vulnérabilité. Notez que le profil du propriétaire de la résolution n’inclut pas les autorisations read_all et write_all du profil d’analyste de vulnérabilité. Les rôles granulaires, read_all et write_all, sont requis pour que les utilisateurs et les groupes puissent lire et modifier tous les enregistrements d’éléments vulnérables et de tâches de rattrapage. Pour personnaliser ces rôles, il vous suffit d’ajouter ou de supprimer des rôles granulaires pour étendre ou limiter l’accès.
Si vous souhaitez que vos utilisateurs et groupes aient plus d’accès que ne le permettent les rôles de profil, vous pouvez ajouter des rôles plus granulaires aux utilisateurs et aux groupes. À l’inverse, si vous souhaitez limiter l’accès à des utilisateurs et à des groupes spécifiques au niveau de la tâche, vous pouvez supprimer les rôles granulaires.
Rôles granulaires dans le module Administration utilisateurs
Pour obtenir un exemple de gestion des rôles granulaires pour un utilisateur ou un groupe, reportez-vous à la section Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.
Pour attribuer des rôles de profil, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration.