Vulnerability Response personas e funções granulares

  • Versão de lançamento: Washingtondc
  • Atualizado 6 de fev. de 2024
  • 6 min. de leitura

    • Antes de corrigir vulnerabilidades com sucesso com a aplicação Vulnerability Response, você deve atribuir personas e funções aos usuários e grupos no Assistente de configuração.

    Uma das primeiras etapas de configuração necessárias para a aplicação Vulnerability Response é atribuir funções a usuários e grupos. As funções definem o que os usuários e grupos podem ver e fazer em Vulnerability Response, Performance Analytics para Vulnerability Responsee todas as integrações de terceiros com Vulnerability Response.

    Você atribui funções de persona a usuários e grupos existentes no Assistente de configuração. Consulte Atribua as funções de persona Vulnerability Response usando o Assistente de configuração.

    Nota:

    Se você for um cliente de atualização, poderá continuar usando suas funções existentes para a aplicação Vulnerability Response. O acesso para usuários e grupos atribuídos com as permissões sn_vul.vulnerability_read e sn_vul.vulnerability_write e o proprietário de correção antes da v10.3 não foi alterado.

    No entanto, para obter mais controle sobre o que usuários e grupos podem fazer e ver na aplicação Vulnerability Response no nível da tarefa, talvez você prefira usar funções granulares. Para obter mais informações, consulte Gerenciar persona e funções granulares para Vulnerability Response.

    Se você já atribuiu funções usando o Assistente de configuração e deseja gerenciar atribuições de função granulares para todos os usuários e grupos do módulo Administração de usuários, consulte Gerenciar persona e funções granulares para Vulnerability Response para obter mais informações.

    Funções de persona e funções granulares iniciando

    Termos-chave.

    Função
    As funções definem o que os usuários e grupos podem ver e fazer na aplicação Vulnerability Response.
    Grupo
    Um conjunto de usuários que compartilham determinadas funções e uma finalidade comum.
    Função de persona
    Uma função pré-configurada na aplicação que é composta por várias funções granulares. As funções de persona em Assistente de configuração, Administrador de vulnerabilidades, Analista de vulnerabilidades, Proprietário de correção, Gerenciador de itens de configuração e Gerenciador de exceções foram projetadas para corresponder a cargos comuns para gerentes, analistas e responsáveis pelo serviço em uma organização de TI ou grupo de correção de vulnerabilidades.
    Funções herdadas
    Um termo que descreve as funções que os usuários adquirem automaticamente quando outras funções são atribuídas a eles. Por exemplo, todos os usuários ou grupos atribuídos com a função de persona sn_vul.remediation_owner também herdam as funções granulares sn_vul.read_assigned, sn_vul.write_assigned.
    Lista de controle de acesso (ACL)
    As listas de controle de acesso restringem o acesso aos dados, exigindo que os usuários passem por um conjunto de requisitos antes que possam interagir com eles.

    A partir de Vulnerability Response v16.5, para proteger os relatórios contra exposição, defina as ACLs All report_view como active=true. Essa ACL garante que os dados protegidos estejam disponíveis somente para usuários autorizados.

    Você atribui grupos e usuários a funções de persona no Assistente de configuração.
    Nota:
    No Assistente de configuração, a função de administrador do sistema (admin) é necessária para as tarefas na primeira seção, atribuindo funções e instalando integrações. Depois de atribuir funções de persona no Assistente de configuração e instalar integrações, talvez você prefira atribuir um usuário ou grupo com a função sn_vul.vulnerability_admin para concluir todas as tarefas restantes no Assistente de configuração e gerenciar a aplicação Vulnerability Response.

    A tabela a seguir lista Vulnerability Response funções de persona instaladas com a aplicação.

    Funções de persona para Vulnerability Response Descrição
    Atribua sn_vul.vulnerability_admin - Vulnerability Admin a usuários ou grupos. Usuários com esta função têm acesso completo à aplicação Vulnerability Response (VR) e seus registros. Usuários com esta função configuram todas as aplicações e regras de VR e instalam integrações de terceiros.
    Atribua sn_vul.vulnerability_analyst - Analista de vulnerabilidade a usuários e grupos. Usuários e grupos com esta função exibem e atualizam todos os registros para correção de IV.
    Atribua sn_vul.remediation_owner - Proprietário da correção a usuários e grupos. Usuários e grupos com esta função corrigem vulnerabilidades atribuídas a eles ou a um grupo ao qual pertencem. Grupos ou usuários com esta função exibem e atualizam os registros atribuídos a eles ou a um grupo ao qual pertencem.

    Atribua sn_vul.ci_manager a usuários e grupos.

    		 Usuários e grupos com esta função gerenciam a reclassificação de itens de configuração (ICs) incompatíveis que não são encontrados no Configuration Management Database (CMDB).
    Atribua acesso de leitura a áreas específicas na aplicação por tarefa. Por exemplo, atribua sn_vul.read_all para que um usuário possa exibir todos os registros de VR. Para obter acesso de leitura para exibir regras de tarefa de correção, atribua sn_vul.read_group_rules. Usuários e grupos com esta função não atualizam registros.

    Funções granulares e funções de persona

    Uma maneira de pensar sobre as funções de persona é considerar como suas descrições podem se relacionar às descrições de trabalho de várias posições de TI ou de correção de vulnerabilidades em sua organização. A figura a seguir ilustra uma possível descrição de trabalho para um especialista de correção em TI e como as tarefas associadas a este trabalho se relacionam com as tarefas de uma função de persona de proprietário de correção na aplicação Vulnerability Response.

    Figura 1. Descrições do trabalho e uma função de persona
    Trabalhos na empresa em comparação com personas no Vulnerability Response.

    A descrição do trabalho e a função de persona do proprietário de correção podem ser definidas como uma série de tarefas de correção. Na imagem anterior, uma descrição do trabalho e uma função de persona em blocos verdes estão sobre as tarefas que os descrevem. Neste exemplo, alguns dos requisitos de trabalho típicos de um especialista em um grupo de correção correspondem diretamente às tarefas que compõem a persona do proprietário de correção em Vulnerability Response: revisar e atualizar registros, rastrear o status de correção de vulnerabilidades, priorizar itens para correção, e aplique correções e patches com a TI.

    Às vezes, no entanto, os trabalhos em sua organização podem não corresponder diretamente às tarefas que compõem uma das cinco funções de persona na aplicação Vulnerability Response. Por vários motivos, como a proteção de dados confidenciais ou a conformidade com as regulamentações, você deve limitar o acesso amplo que algumas das funções de persona fornecem aos usuários e grupos. Ou, inversamente, você deve fornecer aos usuários e grupos mais acesso para que eles possam realizar seus trabalhos. Usando funções granulares, você pode personalizar facilmente as funções e controlar o acesso de usuários e grupos a Vulnerability Response, Performance Analytics para Vulnerability Responsee integrações de terceiros.

    As funções granulares definem as tarefas

    Os nomes das funções granulares em Vulnerability Response geralmente descrevem o que os usuários podem fazer e ver na aplicação Vulnerability Response. Por exemplo, na imagem anterior, os usuários e grupos com a persona do proprietário de correção atribuída têm as funções granulares sn_vul.read_assigned e sn_vul.write_assigned. Essas funções granulares permitem que usuários ou grupos exibam e atualizem itens vulneráveis e registros de tarefa de correção que são atribuídos a eles. Para exibir descrições de funções granulares específicas, como um usuário com a função de administrador do sistema, navegue até Administração de usuários > Funções e localize a função desejada. As funções que são herdadas automaticamente quando uma função é atribuída são listadas. Além disso, quando uma função depende de outras atribuições de função, todas as funções necessárias também são listadas.

    Na imagem a seguir, as funções granulares da função de persona do proprietário de correção e da persona de analista de vulnerabilidade são ilustradas. Observe que a persona do proprietário de correção não inclui as permissões read_all e write_all da persona do analista de vulnerabilidade. As funções granulares, read_all e write_all, são necessárias para que os usuários e grupos possam ler e editar todos os registros de tarefa de correção e item vulnerável. Para personalizar essas funções, basta adicionar ou remover funções granulares para expandir ou limitar o acesso.

    Figura 2. Funções granulares e as personas do responsável pela correção e do analista de vulnerabilidade
    As funções granulares que você pode adicionar ou remover para o proprietário de correção e as personas do analista de vulnerabilidade. Por exemplo, as funções de leitura e gravação de todas para o analista de vulnerabilidade.

    Se você quiser que seus usuários e grupos tenham mais acesso do que as funções de persona permitem, você pode adicionar funções mais granulares a usuários e grupos. Por outro lado, se você quiser limitar o acesso de usuários e grupos específicos no nível da tarefa, poderá remover funções granulares.

    Nota:
    Para atribuir e editar funções granulares no módulo Administração de usuários, a função de administrador do sistema é necessária.

    Funções granulares no módulo Administração de usuários

    Para obter um exemplo de como gerenciar funções granulares para um usuário ou grupo, consulte Gerenciar persona e funções granulares para Vulnerability Response.

    Para atribuir funções de persona, consulte Atribua as funções de persona Vulnerability Response usando o Assistente de configuração.