コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

ロールベースのアクセス制御(RBAC)ユーザーガイド

管理者はロールベースのアクセス制御(RBAC)を使用すると、組織の従業員のロールに基づいて Chronicle の機能へのアクセス権を調整できます。

始める前に

RBAC は、次の大文字と小文字を区別しないデフォルト属性名から、SAML レスポンスからグループ情報を読み取ります。

  • group
  • idpgroup group
  • memberof

カスタム属性名を使用する場合は、RBAC の設定を変更できるように、まず Chronicle に属性名を指定する必要があります。

RBAC 設定を変更する

RBAC プロファイルと設定ページに移動するには、右上のアイコンをクリックしてプルダウン メニューを開き、[設定] を選択します。

設定

設定

プロファイル

[プロファイル] ページに、ユーザーのプロファイルの情報が表示されます。

プロファイル

プロファイル

ユーザーとグループ

[ユーザーとグループ] ページでは、管理者が RBAC を構成できます。

  1. 左側のナビゲーション パネルで [ユーザーとグループ] リンクをクリックします。ユーザーとグループの一覧は、[ユーザーとグループ] ページに列(USER/GROUP、TYPE、ASSIGNED ROLE)とともに表示されます。

    ユーザーとグループ

    ユーザーとグループ

  2. [新しく割り当て] をクリックして、[ロールを割り当て] ポップアップ ウィンドウを開きます。このウィンドウから、次のタスクを実行できます。

    • 1 人以上の新しいユーザーをロールに割り当てます。
    • ロールに 1 つ以上の新しいグループを割り当てます。

    使用可能なロールは、次の通りです。

    • デフォルト
    • ViewerWithNoDetectAccess
    • 閲覧者
    • 編集者
    • 管理者

    ユーザー ID またはグループ ID を追加し、[ロールを割り当て] プルダウン メニューから適切なロールを選択したら、[割り当て] をクリックします。

    ロールを割り当てるときは、次の点に注意してください。

    • ユーザーやグループを追加する場合は、それらが ID プロバイダ(IdP)に存在することを確認してください。ユーザーまたはグループを削除する場合は、管理者ロールを持つユーザーまたはグループを 1 つ以上保持していること、それが IdP 内に存在することを確認してください。そうしないと、管理者のアクセス権を失います。
    • ユーザーとグループの IdP ID では大文字と小文字が区別されます。
    • このダイアログを使用して、既存のユーザーまたはグループに割り当てられているロールを変更することはできません。ロールを変更してユーザーやグループを削除する方法については、次の手順をご覧ください。
    • Chronicle は、ユーザーとグループとロールの間のマッピングを管理します。
    • ユーザー ID やグループ ID に特殊文字が含まれる場合は、テキストソースによっては UTF-8 エンコードが使用される可能性があるという注意を使用します。[割り当て] をクリックした後は、新しい割り当てが正しく保存されたことを確認することをおすすめします。

    ロールの割り当て

    ユーザーとグループへのロールの割り当て

  3. 既存のユーザーまたはグループのロールを変更するには、[ロールの割り当て] 列のそのユーザーまたはグループに対応するプルダウン メニューから新しいロールを選択します。

    変革に関わる役割

    ユーザーまたはグループに割り当てられたロールの変更

  4. 新しいユーザーとグループに割り当てるデフォルトのロールは、右上の角のロールのプルダウン メニューから変更できます。

  5. ユーザーやグループを削除するには、ユーザーまたはグループの行の右端にカーソルを合わせたときに表示されるゴミ箱アイコンをクリックします。

    管理者であるユーザーとグループを削除し、残りの管理者が IDP 内にいない場合、管理者権限を失います。

    ユーザーまたはグループを削除する

    ユーザーまたはグループの削除

ロールと権限

ロール

ロールは、プロダクトの一連の権限に関連付けられています。ロールをユーザーに割り当てると、そのロールに関連付けられた権限がユーザーに付与されます。

Chronicle には、以下の事前定義ロールが含まれています。

  • 管理者 - 企業のロールベースのアクセス制御ポリシーを管理します。すべての Chronicle ページを編集、表示することもできます。
  • 編集者 - 検出エンジンのルールの作成や編集などを含めて、Chronicle ページを編集できます。
  • 閲覧者 - 任意の Chronicle のページを表示できますが、変更はできません。
  • ViewerWithNoDetectAccess - 検出結果を含まないすべての Chronicle ページ(主に [ルール] ページと [リファレンス リスト] ページ)を表示できます。

RBAC アプリケーションには次のものがあります。

  • 職責に基づいてロールを作成して割り当てる。
  • 借用先または組織に基づいてロールを作成して割り当てる。
  • 問題を調査するために、アナリストに一時的なロールを割り当てる。

権限

権限によって、次のものを含む、単一の制御されたアクションを Chronicle で実行するために必要な承認が提供されます(権限の完全なリストについては、ユーザー インターフェースをご覧ください)。

  • ルールを表示
  • ルールを変更する
  • フィードバックを編集する
  • 参照リストを編集する
  • RBAC 権限を表示する

ユーザーがアクションに対する権限を付与されていない場合、関連する機能は無効になります。たとえば、閲覧者のロールを持つユーザーは新しいルールを作成できない(ルールエディタで [新規] ボタンが無効になっている)ため、ルールを複製する([Duplicate] オプションが無効になっています)か、既存のルールを変更します。

ユーザーとグループが利用できるロールと権限を表示するには、次の操作を行います。

  1. 左側のナビゲーション パネルで [ロール] リンクをクリックします。

  2. [ロール] 列からロールを選択し、そのロールに付与されている権限を表示します。各ロールに関連付けられた権限は変更できません。

    ロール

    ロール

新しく追加されたユーザーとグループのデフォルトのロールは閲覧者です。他のロールのいずれか(編集者など)を選択すると、SET AS DEFAULT の制御が使用可能になります。これにより、そのロールをデフォルトに設定できます。