Gestión de roles y permisos
Conceptos básicos
Roles
Un rol es una configuración específica de permisos que se aplica a una o más cuentas de usuario. Una cuenta de usuario estará autorizada a ver o modificar determinados recursos de la consola, dependiendo de rol que tenga asignado.
Una cuenta de usuario solo puede tener un único rol asignado, aunque un mismo rol puede estar asignado a una o más cuentas de usuario.
Un rol está formado por los siguientes elementos:
-
Nombre del rol: designado en el momento de la creación del rol, su objetivo es meramente identificativo.
-
Visibilidad: restringe el acceso a determinados equipos de la red.
-
Juego de permisos: determina las acciones concretas que las cuentas de usuario pueden ejecutar sobre los equipos que pertenecen a los grupos definidos con accesibles.
¿Por qué son necesarios los roles?
En un SOC de tamaño pequeño, todos los técnicos van a acceder a la consola con el rol Control total sin ningún tipo de límite; sin embargo, en MSSPs / MDRs medianos o grandes con un parque informático amplio para administrar y multitud de clientes, es muy posible que sea necesario organizar o segmentar el acceso a los equipos, aplicando dos criterios:
Según la cantidad de equipos a administrar
Los MSSPs / MDRs con un parque de equipos a analizar de tamaño grande pueden necesitar dividirlo por clientes y asignarlos a analistas para repartir el trabajo y mejorar los tiempos de respuesta. Un analista concreto solo podrá investigar los equipos pertenecientes a ese grupo de clientes.
Otra opción puede contemplar la prioridad del cliente, agrupándolos según su importancia y asignándolos a equipos de trabajo de diferente dimensionamiento o habilidades.
Según los conocimientos o perfil del técnico
Los MSSPs / MDRs se dividen en capas, normalmente 3, que facilitan la distribución del trabajo de análisis para evitar los cuellos de botella. Dependiendo de las habilidades de cada analista, éste pertenecerá a un nivel u otro, y por lo tanto tendrá acceso a ciertos recursos de la consola de análisis y no a otros, siempre acorde a sus tareas y responsabilidades.
Estos dos criterios descritos se pueden solapar, dando lugar a una matriz de configuraciones flexible y fácil de establecer y mantener, que permite delimitar perfectamente las funciones de la consola para cada analista, dependiendo de la cuenta de usuario con la que acceden al sistema.
El rol Control total
Una licencia de uso de Cytomic Orion incluye un rol de Control total predefinido. A este rol pertenece la cuenta de usuario creada por defecto, y con ella es posible realizar absolutamente todas las acciones disponibles en la consola.
El rol Control total no se puede borrar, modificar ni visualizar, y cualquier cuenta de usuario puede pertenecer a este rol previa asignación en la consola de análisis.
Permiso
Un permiso regula el acceso a una sección concreta de la consola de administración. Existen varios permisos que establecen el acceso a otros tantos aspectos de la consola de Cytomic Orion. Una configuración particular de todos los permisos disponibles forma un rol, que puede ser asignado a una o más cuentas de usuario.
Visibilidad
Cada cuenta de usuario puede configurar la seguridad de un subconjunto de equipos determinado por su visibilidad, de entre todos los equipos integrados en la consola de Cytomic Orion.
Crear y configurar roles
En el menú superior Configuración haz clic en el panel izquierdo Usuarios y haz clic en la pestaña Roles para realizar todas las acciones necesarias relativas a la creación y modificación de roles:
Crear un rol
-
En el menú superior Configuración haz clic en el panel de la izquierda Usuarios. y en la pestaña Roles. Se abrirá una ventana con el listado de roles creados.
-
Haz clic en el botón Añadir. Se abrirá la ventana Añadir rol.
-
En el campo Nombre escribe el nombre del rol y en el campo Descripción una descripción opcional.
-
Activa o desactiva los permisos.
-
Haz clic en el botón Añadir.
Limitaciones en la creación de usuarios y roles
Para evitar una situación de escalado de permisos, los usuarios con el permiso Gestión de usuarios, permisos y clientesactivo tienen las siguientes limitaciones a la hora de crear roles o asignarlos a otros usuarios ya creados:
-
Una cuenta de usuario solo puede crear roles nuevos con los mismos permisos o menos de los que tiene asignada.
-
Una cuenta de usuario sólo puede editar los permisos que tenga activos en los roles ya existentes. El resto permanecerán desactivados.
-
Una cuenta de usuario no puede asignar un rol a un usuario si ese rol tiene más permisos asignados que la cuenta de usuario.
-
Una cuenta de usuario no puede copiar un rol si ese rol tiene más permisos asignados que la cuenta de usuario.
Borrar un rol
-
En el menú superior Configuración haz clic en el panel de la izquierda Usuarios.
-
Haz clic en la pestaña Roles. Se mostrará el listado de roles creados.
-
Haz clic sobre el icono
de un rol para borrarlo. Si al borrar un rol éste ya tiene cuentas de usuario asignadas, se cancela el proceso de borrado.
Copiar un rol
-
En el menú superior Configuración haz clic en el panel de la izquierda Usuarios.
-
Haz clic en la pestaña Roles. Se mostrará el listado de roles creados.
-
Haz clic sobre el icono
de un rol para copiarlo. Se abrirá la ventana Copiar rol con la configuración del rol copiado.
-
Modifica la configuración del rol copiado y haz clic en el botón Guardar.
Modificar un rol
-
En el menú superior Configuración haz clic en el panel de la izquierda Usuarios.
-
Haz clic en la pestaña Roles. Se mostrará el listado de roles creados.
-
Haz clic en el rol a editar. Se abrirá la ventana Editar rol.
-
Modifica la configuración del rol y haz clic en el botón Guardar.