Resposta a vulnerabilidades personas e funções granulares

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Antes de corrigir vulnerabilidades com sucesso com a aplicação Resposta a vulnerabilidades, você deve atribuir personas e funções aos usuários e grupos no Assistente de configuração.

    Uma das primeiras etapas de configuração necessárias para a aplicação Resposta a vulnerabilidades é atribuir funções a usuários e grupos. As funções definem o que usuários e grupos podem ver e fazer em Resposta a vulnerabilidades, Performance Analytics para Resposta a vulnerabilidadese em todas as integrações de terceiros com Resposta a vulnerabilidades.

    Você atribui funções de persona a usuários e grupos existentes no Assistente de configuração. Consulte Atribua as funções de persona Resposta a vulnerabilidades usando o Assistente de configuração.

    Nota:

    Se você for um cliente de upgrade, poderá continuar usando suas funções existentes para a aplicação Resposta a vulnerabilidades. O acesso de usuários e grupos atribuídos com as permissões sn_vul.vulnerability_read e sn_vul.vulnerability_write e o proprietário de correção anteriores à v10.3 não foram alterados.

    No entanto, para obter mais controle sobre o que usuários e grupos podem fazer e ver na aplicação Resposta a vulnerabilidades no nível da tarefa, talvez você prefira usar funções granulares. Para obter mais informações, consulte Gerenciar persona e funções granulares para Resposta a vulnerabilidades.

    Se você já atribuiu funções usando o Assistente de configuração e deseja gerenciar atribuições de função granulares para todos os usuários e grupos do módulo Administração de usuários, consulte Gerenciar persona e funções granulares para Resposta a vulnerabilidades para obter mais informações.

    Funções de persona e funções granulares iniciando

    Termos-chave.

    Função
    As funções definem o que usuários e grupos podem ver e fazer na aplicação Resposta a vulnerabilidades.
    Grupo
    Um conjunto de usuários que compartilham determinadas funções e uma finalidade comum.
    Função de persona
    Uma função pré-configurada na aplicação que é composta por várias funções granulares. As funções de persona em Assistente de configuração, Administrador de vulnerabilidade, Analista de vulnerabilidade, Proprietário de correção, Gerenciador de itens de configuração e Gerenciador de exceções foram projetadas para corresponder a cargos comuns para gerentes, analistas e proprietários de serviço em uma organização de TI ou grupo de correção de vulnerabilidades.
    Funções herdadas
    Um termo que descreve as funções que os usuários adquirem automaticamente quando outras funções são atribuídas a eles. Por exemplo, todos os usuários ou grupos atribuídos com a função de persona sn_vul.remediation_owner também herdam as funções granulares sn_vul.read_assigned,sn_vul.write_assigned.
    Lista de controle de acesso (ACL)
    As listas de controle de acesso restringem o acesso aos dados exigindo que os usuários passem por um conjunto de requisitos antes que possam interagir com eles.

    A partir da Resposta a vulnerabilidades v16.5, para proteger os relatórios contra exposição, defina as ACLs All report_view como active=true. Esta ACL garante que os dados protegidos estejam disponíveis somente para usuários autorizados.

    Você atribui grupos e usuários a funções de persona no Assistente de configuração.
    Nota:
    No Assistente de configuração, a função de administrador do sistema (admin) é necessária para as tarefas na primeira seção, atribuindo funções e instalando integrações. Depois de atribuir funções de persona no Assistente de configuração e instalar integrações, você pode preferir atribuir um usuário ou grupo com a função sn_vul.vulnerability_admin para concluir todas as tarefas restantes no Assistente de configuração e gerenciar a aplicação Resposta a vulnerabilidades.

    A tabela a seguir lista as funções de persona Resposta a vulnerabilidades instaladas com a aplicação.

    Funções de persona para Resposta a vulnerabilidades Descrição
    Atribua sn_vul.vulnerability_admin - Administrador de vulnerabilidade a usuários ou grupos. Usuários com esta função têm acesso completo à aplicação Resposta a vulnerabilidades (VR) e seus registros. Usuários com esta função configuram todas as aplicações e regras de VR e instalam integrações de terceiros.
    Atribua sn_vul.vulnerability_analyst - Analista de vulnerabilidade a usuários e grupos. Usuários e grupos com esta função exibem e atualizam todos os registros para correção de VI.
    Atribua sn_vul.remediation_owner - Proprietário da correção a usuários e grupos. Usuários e grupos com esta função corrigem vulnerabilidades atribuídas a eles ou a um grupo ao qual pertencem. Grupos ou usuários com esta função exibem e atualizam os registros atribuídos a eles ou a um grupo ao qual pertencem.

    Atribua sn_vul.ci_manager a usuários e grupos.

    		 Usuários e grupos com esta função gerenciam a reclassificação de itens de configuração (ICs) incompatíveis que não são encontrados no Configuration Management Database (CMDB).
    Atribua acesso de leitura a áreas específicas na aplicação por tarefa. Por exemplo, atribua sn_vul.read_all para que um usuário possa exibir todos os registros de VR. Para acesso de leitura para exibir regras de tarefa de correção, atribua sn_vul.read_group_rules. Usuários e grupos com esta função não atualizam registros.

    Funções granulares e funções de persona

    Uma maneira de pensar nas funções de persona é considerar como suas descrições podem estar relacionadas a descrições de trabalho para vários cargos de TI ou de correção de vulnerabilidades em sua organização. A figura a seguir ilustra uma possível descrição de trabalho para um especialista em correção de TI e como as tarefas associadas a esse trabalho se relacionam com as tarefas de uma função de persona de proprietário de correção na aplicação Resposta a vulnerabilidades.

    Figura 1. Descrições de trabalho e uma função de persona
    Trabalhos na empresa em comparação com personas na Resposta a vulnerabilidades.

    A descrição do trabalho e a função de persona do responsável pela correção podem ser definidas como uma série de tarefas de correção. Na imagem anterior, uma descrição de trabalho e uma função de persona em blocos verdes estão sobre as tarefas que os descrevem. Neste exemplo, alguns dos requisitos de trabalho típicos de um especialista em um grupo de correção correspondem diretamente às tarefas que compõem a persona do responsável pela correção em Resposta a vulnerabilidades: revisar e atualizar registros, rastrear o status de correção de vulnerabilidades, priorizar itens para correção, e aplique correções e patches com a TI.

    Às vezes, no entanto, os trabalhos em sua organização podem não corresponder diretamente às tarefas que compõem uma das cinco funções de persona na aplicação Resposta a vulnerabilidades. Por vários motivos, como proteger dados confidenciais ou cumprir regulamentações, você deve limitar o acesso amplo que algumas das funções de persona fornecem aos usuários e grupos. Ou, inversamente, você deve fornecer aos usuários e grupos mais acesso para que eles possam realizar seus trabalhos. Usando funções granulares, você pode personalizar facilmente funções e controlar o acesso de usuários e grupos a Resposta a vulnerabilidades, Performance Analytics para Resposta a vulnerabilidadese integrações de terceiros.

    As funções granulares definem as tarefas

    Os nomes das funções granulares em Resposta a vulnerabilidades geralmente descrevem o que os usuários podem fazer e ver na aplicação Resposta a vulnerabilidades. Por exemplo, na imagem anterior, os usuários e grupos com a persona do responsável pela correção atribuída têm as funções granulares sn_vul.read_assigned e sn_vul.write_assigned. Essas funções granulares permitem que usuários ou grupos exibam e atualizem itens vulneráveis e registros de tarefas de correção atribuídos a eles. Para exibir descrições de funções granulares específicas, como um usuário com a função de administrador do sistema, navegue até Administração de usuários > Funções e localize a função desejada. As funções que são herdadas automaticamente quando uma função é atribuída são listadas. Além disso, quando uma função depende de outras atribuições de função, todas as funções necessárias também são listadas.

    Na imagem a seguir, as funções granulares da persona do responsável pela correção e da persona do analista de vulnerabilidade são ilustradas. Observe que a persona do responsável pela correção não inclui as permissões read_all e write_all da persona do analista de vulnerabilidades. As funções granulares, read_all e write_all, são necessárias para que usuários e grupos possam ler e editar todos os registros de item vulnerável e tarefa de correção. Para personalizar essas funções, basta adicionar ou remover funções granulares para expandir ou limitar o acesso.

    Figura 2. Funções granulares e as personas do responsável pela correção e do analista de vulnerabilidades
    As funções granulares que você pode adicionar ou remover das personas do responsável pela correção e do analista de vulnerabilidades. Por exemplo, as funções ler tudo e gravar tudo para o analista de vulnerabilidade.

    Se você quiser que seus usuários e grupos tenham mais acesso do que as funções de persona permitem, você poderá adicionar funções mais granulares a usuários e grupos. Por outro lado, se você quiser limitar o acesso de usuários e grupos específicos no nível da tarefa, poderá remover funções granulares.

    Nota:
    Para atribuir e editar funções granulares no módulo Administração de usuários, a função de administrador do sistema é necessária.

    Funções granulares no módulo Administração de usuários

    Para obter um exemplo de como gerenciar funções granulares para um usuário ou grupo, consulte Gerenciar persona e funções granulares para Resposta a vulnerabilidades.

    Para atribuir funções de persona, consulte Atribua as funções de persona Resposta a vulnerabilidades usando o Assistente de configuração.