Benutzerzugriff, Rollen und Berechtigungen

Online bearbeiten

Für den Zugriff auf und die Ausführung von Tasks benötigen Benutzer bestimmte Rollen und Berechtigungen. Machen Sie sich mit den verschiedenen verfügbaren Rollen, Berechtigungen und den zugehörigen Tasks vertraut, die Benutzer mit den Rollen und Berechtigungen ausführen können. Diese Rollen helfen Ihnen, Benutzer so einzurichten, dass sie mit Routineoperationen beginnen können.

Fügen Sie in Ihrem Unternehmen z. B. folgende Benutzer hinzu:

IT- oder Systemadministratoren
Führungskräfte aus der Sicherheitsbranche
Sicherheitsanalysten

Die Unterschiede zwischen den Jobfunktionen der Benutzer werden durch die unterschiedlichen Rollen und Berechtigungen dargestellt, die ihnen zugewiesen werden, wenn Sie einem Konto hinzugefügt werden.

Neue Benutzer werden einem Konto von einem Systemadministrator oder Kontoadministrator hinzugefügt und ihnen wird die entsprechende Rolle für jede Anwendung oder jeden Service zugewiesen.

Administratoren mit Benutzerverwaltungsberechtigungen können den Benutzerzugriff für einige Anwendungen oder Services bei Bedarf entfernen. Diese Zugriffsentfernung verhindert, dass Benutzer Komponenten sehen oder auf Komponenten zugreifen können, für die sie nicht berechtigt sind.

Verwaltung

Die folgenden Verwaltungsrollen werden unterstützt.

Tabelle 1. Verwaltungsrollen und -berechtigungen
Verwaltungsrolle	Berechtigung
Kontokonfiguration	In einem Standardaccount kann der Administrator die Accounteinstellungen (Name, Beschreibung oder Identitätsprovider) des Accounts ändern oder ein Organisationsprofil festlegen. Der Benutzer kann nur die Einstellungen eines Kontos einsehen.
Benutzermanagement	Der Administrator kann den Zugriff für alle anderen Benutzer in einem Konto hinzufügen, anzeigen oder entfernen. Der Admin kann die Rollen für alle anderen Benutzer bearbeiten, mit Ausnahme der Kontoverwaltungsrolle. Sie müssen ein Administrator für das Systemverwaltungskonto sein, um die Kontoverwaltungsrolle bearbeiten zu können.
Datenquellen	Ein Administrator kann Datenquellen für ein Konto anzeigen, verbinden und konfigurieren. Sie können auch Connected Assets and Risk -Datenquellen erstellen, aktualisieren und entfernen. Ein Benutzer kann nur die Universal Data Insights -Datenquellen verwenden, auf die er Zugriff hat. Sie können auch Connected Assets and Risk -Datenquellen anzeigen, aber zum Anzeigen von Connected Assets and Risk -Daten muss ein Benutzer auch über die erforderlichen Asset Management-Berechtigungen verfügen. Weitere Informationen finden Sie unter Asset Management.

Anwendung und Dienstleistungen

Anwendungs-und Servicerollen werden auf Anwendungs-oder Serviceebene definiert und durchgesetzt. Die zugehörigen Berechtigungen variieren je nach Anwendung oder Service.

Die folgenden Standardbenutzerrollen werden unterstützt:

Administrator: In der Regel wird diese Rolle jemandem in der Jobfunktion Sicherheitsoperationen zugewiesen - Benutzern, die für die Einrichtung von Integrationen zwischen Systemen und anderen Konfigurationen zuständig sind, oder Benutzern, die eine Aufsichtsfunktion haben.
Benutzer: Diese Rolle wird normalerweise einem Sicherheitsanalytiker, einem Mitarbeiter oder einem Responder zugewiesen, der eine Anwendung oder Lösung zum Schutz Ihres Unternehmens verwendet.
Anzeigeberechtigter: Diese Rolle wird normalerweise einer Person in einem Aufgabenbereich eines Prüfers zugeordnet. Diese Benutzer haben Lesezugriff auf alle Daten, können jedoch keine Daten erstellen, bearbeiten und löschen.

Ein Benutzer kann in verschiedenen Anwendungen, für die er berechtigt ist, unterschiedlichen Rollen zugeordnet werden. John z. B. ist für die Anwendungen App 1 und App 2 berechtigt. Sie können John in App 1 als Administrator und in App 2 als Benutzer zuordnen.

In der folgenden Tabelle sind die Anwendungsrollen und -berechtigungen zusammengefasst.

Tabelle 2. Anwendungsrollen und -berechtigungen
Anwendung oder Service	Berechtigung
Asset-Management	Ein Administrator kann Connected Assets and Risk -Daten erstellen, ändern und entfernen. Ein Benutzer kann Connected Assets and Risk -Daten aus allen Connected Assets and Risk -Datenquellen anzeigen.
Fallmanagement	Standardmäßig wird allen Benutzern die Rolle Benutzer für IBM® Security Case Managementzugewiesen. Mit der Rolle Benutzer können Benutzer nur Fälle anzeigen, denen sie explizit zugewiesen wurden. Bei der Standardfallerstellung werden Benutzern keine Fälle zugewiesen, sodass ein Administrator den Benutzern Fälle zuweisen muss. Wählen Sie die Rolle Administrator für Benutzer aus, die alle Fälle anzeigen und verwalten müssen. Mit der Rolle Administrator können Sie alle Fälle anzeigen, bearbeiten, zuweisen und löschen. Sie können die QuickInfo anzeigen, um eine vollständige Liste der Berechtigungen anzuzeigen, die der Rolle Administrator zugeordnet sind.
Datenexplorer	Wählen Sie die Benutzerrolle für den Zugriff auf IBM Security Data Explorer aus.
Detection and Response Center	Wählen Sie die Benutzerrolle für den Zugriff auf IBM Detection and Response Center aus.
Edge Gateway	Wählen Sie eine Option aus, wenn Sie Berechtigungen für IBM Security Edge Gatewayzuweisen möchten. Die QuickInfos für `Admin` und `User` enthalten Informationen zu den Berechtigungen, die den einzelnen Rollen zugeordnet sind.
Aufnahme und Datenerfassung	Wählen Sie eine Option aus, um Berechtigungen für Datenquellen für Aufnahmezuzuweisen. Die Administratorrolle kann Aufnahmedatenquellenerstellen, bearbeiten und löschen. Die Benutzerrolle kann Aufnahmedatenquellenerstellen und bearbeiten. Die Rolle "Anzeigeberechtigter" kann Datenquellen für das Einpflegenanzeigen. Die Data Collector -Administratorrolle kann eine Data Collectorerstellen, bearbeiten und löschen. Benutzer benötigen die Rolle 'Administrator', 'Benutzer', 'Anzeigeberechtigter' oder 'Datenkollektoradministrator' für Aufnahme und Datenerfassung , um die Dashboards Sicherheitsanalyst-Bedrohungsanalyse und Sicherheitsadministrator-Datenaufnahme anzuzeigen. Benutzer benötigen außerdem eine dieser Rollen, um die folgenden Homepage-Widgets anzuzeigen: Aktuelle Datenquellen Prozentsatz geparste Ereignisse Gesamtzahl eingepflegte Ereignisse Gesamtzahl der aufgenommenen Gigabyte Schwerwiegendste Ereignisse im Zeitverlauf Schwerwiegendste Ereignisse im Zeitverlauf nach Quellen-IP Weitere Informationen finden Sie unter Datenquellen für Aufnahme hinzufügen.
Nur SOAR: Orchestrierung & Automatisierung	Für den Zugriff auf SOAR-Anpassungseinstellungen und Administratoreinstellungen für die Verwaltung von Benutzern, Gruppen und Rollen benötigen Sie Administratorzugriff (und eine zugewiesene SOAR-Rolle, die Verwaltungs-und Anpassungsberechtigungenenthält).
QRadar Proxy	Administratoren verwenden QRadar Proxy , um Verbindungseinstellungen einzugeben, einschließlich eines Hintergrundservice-Tokens, das die Kommunikation zwischen QRadar Proxy und QRadar®ermöglicht. Anschließend können alle Benutzer ihre eigenen Berechtigungsnachweise eingeben, damit sie die IBM QRadar User Behavior Analytics -App weiterleiten oder über die QRadar SIEM-Dashboard-Widgets und IBM Detection and Response Centerauf QRadar -Inhalte zugreifen können. Die Proxy-Funktion für QRadar -Apps wird nicht unterstützt, wenn eine Verbindung zu QRadar on Cloudhergestellt wird. Benutzer benötigen entweder Benutzer-oder Administratorzugriff für QRadar Proxy , um die QRadar SIEM Analytics-und QRadar SIEM Monitoring-Dashboards anzuzeigen.
Nur SIEM und Log Insights: Referenzdaten	Standardmäßig wird allen Benutzern die Benutzerrolle für Referenzdaten zugewiesen. Benutzer mit der Benutzerrolle können die Objektgruppe, auf die sie Zugriff haben, anzeigen, erstellen, bearbeiten oder löschen. Wählen Sie für Benutzer, die alle Objektgruppen anzeigen und verwalten müssen, die Rolle 'Administrator' aus. Mit der Rolle "Administrator" können Sie alle Objektgruppen anzeigen, bearbeiten und löschen.
Threat Hunt	Wählen Sie die Benutzerrolle aus, um auf die Funktion zur Bedrohungssuche zuzugreifen.
Threat Intelligence Insights	Wählen Sie die Rolle "Admin" aus, um Berechtigungen für die Verwaltung von Benutzerkonten und den Zugriff auf zusätzliche Berichte über IBM X-Force® Exchangezuzuweisen. Sowohl Benutzer-als auch Administratorrollen können auf die Anwendung IBM Security Threat Intelligence Insights zugreifen, Bedrohungsberichte anzeigen, Bedrohungen erstellen und gemeinsam nutzen und einen Bin ich betroffen -Scan ausführen. Die Kontokonfigurationsberechtigung, die in der Tabelle Verwaltungsrollen und -berechtigungen beschrieben wird, ist erforderlich, damit das Profil der Organisation zum Anpassen des Bedrohungsdatenfeeds des Kontoseingerichtet werden kann. Die Datenquellenberechtigung, die in der Tabelle Verwaltungsrollen und Berechtigungen beschrieben ist, ist erforderlich, um externe Threat Intelligence Insights-Datenquellen zu konfigurieren oder eine oder mehrere Datenquellen zu verbinden. Um einen Scan Bin ich betroffen in der Anwendung 'Threat Intelligence Insights' auszuführen, müssen Sie eine oder mehrere Datenquellen verbinden. Zum Anzeigen des IBM Threat Intelligence Insights -Dashboards benötigen Benutzer-oder Administratorzugriff für IBM Threat Intelligence Insights .
Threat Investigator	Weitere Informationen zu IBM Security Threat Investigatorfinden Sie unter Rollen und Berechtigungen für Threat Investigator.
Analyse des Benutzerverhaltens	Nachdem ein Administrator QRadar Proxy für die Verbindung zu QRadarkonfiguriert hat, können Benutzer ihre eigenen Berechtigungsnachweise eingeben, damit sie die IBM QRadar User Behavior Analytics -App weiterleiten können. Weitere Informationen zur App finden Sie unter QRadar User Behavior Analytics. Benutzer benötigen entweder Benutzer-oder Administratorzugriff für QRadar Proxy und Benutzerzugriff für User Behavior Analytics , um das Dashboard 'User Behaviour Analytics' anzuzeigen.