この記事では、Cato管理画面へのアクセスを制御する管理者ロールの設定方法を説明します。 RBACについての詳細は、管理者とロールベースアクセス制御 (RBAC) とはをご覧ください。
Catoは、管理者に割り当てることができる事前定義された役割を数多く提供しています。 役割を編集するパネルで、各ページの権限を表示する役割の行をクリックできます。 ただし、事前定義された役割は変更または削除できません。
これらは事前定義された役割です:
- 編集者 - すべてのページの参照と編集権限
- 閲覧者 - すべてのページの閲覧のみ権限
- ネットワーク管理者 - 主に接続性とかつネットワークアクセス許可を扱う管理者。 権限には、ネットワークメニューの下にあるすべてのページおよびWANファイアウォールなどの関連ページの編集を含む。ただし、インターネットファイアウォールなどのセキュリティ機能には閲覧のみの権限がある。 アクセス機能に関する権限も閲覧のみです。
- セキュリティ管理者 - 主にセキュリティを扱う管理者。 権限には、例えば、セキュリティおよびアセットメニューにあるすべてのページの編集を含むが、ネットワークおよびアクセス機能については閲覧のみの権限です。
- アクセス管理者 - アクセスメニューの下にあるすべてのページの編集を許可され、他のすべてのページの権限はなしに設定されています
- 地域ビューア - すべてのサイトおよびSDPユーザー、また全てのイベントとアプリケーション分析に関する参照のみ権限
- アクセス制限付きビューア - すべてのサイトおよびSDPユーザーに参照のみ権限(イベントおよびアプリケーション分析へのアクセスはなし)
- ロジスティクス管理者 - ソケットおよびアクセサリーページの参照と編集権限
- AIセキュリティ機密 - ユーザーがAIセキュリティモジュールに入力した確認データを表示するアクセス権
組織の正確なニーズに合わせてカスタム役割を作成し、CMAのすべてのページに対する詳細な権限を定義できます。 ただし、ページ内の個々のタブと機能に対する個別の権限は設定できません。
デフォルトでは、新しいロールを作成するとすべての権限は閲覧のみに設定されます。 ロールの行をクリックしてロールを編集パネルで権限を修正できます。 ロールの行にあるマルーメニューからロールを削除できますが、現在管理者に割り当てられているカスタムロールを削除することはできません。
- 編集者ロールを持つ管理者のみがロールを作成または変更できます
- カスタムロールの変更を監査証跡 (モニタリング > 監査証跡) において監査できます。これにはロールの作成、変更、削除が含まれます
一部のページの権限は、他のページや機能に対する依存関係のある権限を自動的に設定します。 ロールを作成するときに適用される依存権限は次のとおりです:
- ナビゲーションメニュー内のページは、その下にあるページやセクションに対する権限を定義します。 例えば、サイトページ(ネットワーク>サイト)の権限は、サイトページからアクセスされるサイト構成ページに対する権限を決定します。
- エクスポート機能をサポートするページの場合、編集権限を付与すると、管理者はデータやポリシーをエクスポートできます。 例えば、インターネットファイアウォールページに対する編集権限を持つ役割では、管理者はルールをCSVファイルにエクスポートできます。
-
以下のページに対する閲覧または編集権限は、イベントページに対する閲覧のみ権限を付与します。 イベントの権限を編集に変更することはできますが、なしにはできません。
- サイト (ネットワーク > サイト)
- ユーザー (アクセス > ユーザー)
- アプリケーション分析 (ホーム > アプリケーション分析)
- 脅威ダッシュボード (セキュリティ > セキュリティ脅威)
- クラウドアプリダッシュボード (セキュリティ > クラウドアプリダッシュボード)
- MITRE ATT&CK® (セキュリティ > MITRE ATT&CK®)
管理者ページで、各管理者に1つ以上の役割を割り当てることができます。 管理者が同じページに対して異なる権限を含む複数の役割を割り当てられた場合、より大きい権限が適用されます。 例として、管理者がWANファイアウォールページに対して 編集 権限を持つ役割と、閲覧のみ権限を持つ別の役割を割り当てられた場合、管理者はWANファイアウォールポリシーを編集できます。
注: IdPを使用して管理者グループをインポートした場合は、この手順を使ってグループとして役割を定義することができます。
- 編集者役割を持つ管理者のみが役割を割り当てるまたは削除することができます
- 監査証跡(モニタリング > 監査証跡)で役割の変更を確認できます
Cato管理アプリケーション管理者が編集または閲覧する権限を持つサイト、SDPユーザー、および高機能グループを定義できます。 特定のサイトまたはユーザーに対して閲覧権限を持たない管理者は、そのエンティティに関する情報をCMAページで表示しません。
- 管理者がグループ(高度な設定ではない)に対して編集/表示権限を与えられた場合、そのグループ内のサイトの表示/編集能力を指します。 グループに非サイトアイテムが含まれている場合、それらは無視されます。
- 管理者が高度な設定グループの表示/編集権限を与えられた場合、グループ内のエンティティを表示できるか、メンバーを追加または削除することができます。
- 管理者は、すべてのユーザーグループに対する編集権限がある場合にのみ、新しいSDPユーザーを作成できます。
- 役割に基づいて権限を割り当てられた管理者には、役割とエンティティの間にANDの関係があります。 例えば、管理者がロンドンサイトに対する閲覧権限を持ち、サイトページを閲覧する権限を持たない場合、ロンドンサイトを閲覧できません。 または、ロンドンサイトに対する編集権限を持っているが、サイトページに対する閲覧権限を持っている場合、サイトを閲覧することしかできず、編集することはできません。
管理者にサイト、ユーザー、および高機能グループへのアクセスを許可するには:
- ナビゲーションメニューから、アカウント > 管理者をクリックします。
- 新しい管理者を作成するか、既存の管理者を編集します。
- エンティティタイプへのアクセス権限で、ドロップダウンからアイテムの種類を選択してください。
- ドロップダウンを使用して、1つ以上のエンティティを選択してください。 エンティティはテーブルに追加されます。
- エンティティタイプに関連するすべての設定をレビューしてください。 例として、特定のサイトへの権限を追加した場合は、全てのサイトへのアクセス権に関して適切であることを確認してください。
- テーブル内のアイテムに対する管理者の権限を定義します。
- 保存をクリックしてください。 サイトとユーザーグループは管理者に割り当てられています。
-
管理者は、すべての割り当てられたユーザグループを組み合わせて、最大1000 SDPユーザーに対する権限を持つことができます
もし管理者が1000 SDPユーザーを超える権限を持っている場合、エラーが発生します。 SDPユーザーが1000未満の権限を持つように、いくつかのユーザグループの権限を削除する必要があります。
- 管理者は最大200の個別サイトに対する権限を持つことができます。 サイトがグループに適用された場合、制限はありません。
- Catoレポートは、サイトおよびユーザーに対する管理者権限に応じてフィルタリングされません。 どの管理者がレポートを生成および表示できるかを制御するために、レポートページへのアクセスを制限できます。
- グループを管理者に割り当てるとき、適用されるのはサイトとユーザーのみです。 グループ内の他の項目(ネットワーク範囲など)は無視されます。
-
以下のダッシュボードとモニタリングページは、サイトまたはSDPユーザーに対して自動的にフィルタリングされません:
- ルートテーブル
- 監査証跡
- SaaSセキュリティAPIダッシュボード
- XDRダッシュボード
- 検出と対応
- アセット
- ポリシー内のルールを管理する場合、管理者は特定のサイト、ユーザグループ、または高度なグループの権限がある場合でも、任意値を使用してルールを作成できます。
- ユーザグループの権限を持っている管理者は、SDPユーザーのみをルールに追加できます。 彼らはユーザー認識で特定されたユーザーをルールに追加することはできません。
0件のコメント
サインインしてコメントを残してください。