Gerenciando Funções de Admin Usando RBAC

Este artigo explica como configurar Funções de Admin que controlam o Acesso do Aplicativo de Gerenciamento Cato. Para saber mais sobre RBAC, veja O que são Admin e Controle de Acesso Baseado em Função (RBAC).

Entendendo as Funções de Admin Predefinidas

Cato fornece várias funções predefinidas que você pode atribuir aos administradores. Você pode clicar na linha de uma função para mostrar as permissões de cada página no painel Editar Função. No entanto, funções predefinidas não podem ser modificadas ou excluídas.

Estas são as funções predefinidas:

  • Editor - Permissões completas de leitura/escrita para todas as páginas
  • Visualizador - Apenas permissões de leitura para todas as páginas
  • Administrador de Rede - Administradores que lidam principalmente com conectividade e acesso à rede. As permissões incluem a edição de todas as páginas no menu Rede e outras páginas relevantes, como Firewall WAN, mas apenas permissões de visualização para recursos de segurança, como Firewall de Internet. Permissões para recursos de acesso são também apenas de visualização.
  • Administrador de Segurança - Administradores que lidam principalmente com segurança. As permissões incluem, por exemplo, a edição de todas as páginas nos menus Segurança e Ativos, mas apenas permissões de visualização para recursos de rede e acesso.
  • Administrador de Acesso - Permite a edição de todas as páginas no menu Acesso, com permissões para todas as outras páginas definidas como Nenhuma
  • Visualizador Regional - Apenas permissões de leitura para todos os sites e usuários SDP, e também para todos os eventos e análises de aplicações
  • Visualizador Restrito - Apenas permissões de leitura para todos os sites e usuários SDP (sem acesso a eventos e análises de aplicações)
  • Administrador de Logística - Permissão completa de leitura/escrita para a página de Sockets e Acessórios
  • Segurança de IA Sensível - Acesso para visualizar dados de prompts inseridos por usuários no módulo de Segurança de IA.

Trabalhando com Funções de Administrador Personalizadas

Você pode criar funções personalizadas e definir permissões específicas para todas as páginas na CMA para atender às necessidades exatas de sua organização. No entanto, você não pode definir permissões separadas para abas e recursos individuais dentro de uma página.

Por padrão, quando você cria uma nova função todas as permissões são definidas como Apenas Visualização. Você pode clicar na linha da função para modificar as permissões no painel Editar Função. Você pode excluir uma função no menu mais na linha da função, no entanto, não pode excluir uma função personalizada que está atualmente atribuída a um administrador.

  • Apenas um administrador com a função de Editor pode criar ou modificar funções
  • Você pode auditar alterações em funções personalizadas na Trilha de Auditoria (Monitoramento > Trilha de Auditoria), incluindo criação, modificação e exclusão de funções

As permissões de algumas páginas configuram automaticamente permissões dependentes para outras páginas e recursos. As seguintes permissões dependentes se aplicam ao criar uma função:

  • páginas no menu de navegação definem as permissões para páginas e seções que estão sob elas. Por exemplo, permissões para a página Sites (Rede > Sites) determinam as permissões para as páginas de Configuração do Site acessadas a partir da página Sites.
  • Para páginas que suportam um recurso de exportação, conceder permissões de Edição permite ao admin exportar dados ou políticas. Por exemplo, uma função com permissões de Edição para a página Firewall de Internet permite ao admin exportar as regras para um arquivo CSV.

  • Ver ou editar permissões para as seguintes páginas concede permissões de Visualização apenas para a página de Eventos. Você pode alterar as permissões de Eventos para Editar, mas não para Nenhum.

    • Sites (Rede > Sites)
    • Usuários (Acesso > Usuários)
    • Análise de Aplicações (Inicial > Análise de Aplicações)
    • Painel de Ameaças (Segurança > Painel de Ameaças de Segurança)
    • Painel de Aplicativos na Nuvem (Segurança > Painel de Aplicativos na Nuvem)
    • MITRE ATT&CK® (Segurança > MITRE ATT&CK®)

Para criar uma função de admin personalizada:

  1. No menu de navegação, clique em Conta > Funções & Permissões.
  2. Clique em Novo para criar uma função personalizada. O painel Criar Função é aberto.
  3. Digite um Nome da Função e expanda as seções para definir permissões para as páginas do aplicativo de gestão da Cato em cada seção.

  4. Clique em Enviar.

    A função personalizada aparece na lista de funções.

Atribuição de Funções a Admins

Na página de Administradores, você pode atribuir uma ou mais funções a cada admin. Quando um admin é atribuído a múltiplas funções que incluem permissões diferentes para a mesma página, as permissões maiores se aplicam. Por exemplo, se um admin for atribuído a uma função com permissões de Editar para a página de Firewall WAN, e outra função com permissões de Apenas Visualização, o admin pode editar a política do Firewall WAN.

Nota: Se você usou um IdP para importar um grupo de admins, você pode usar este procedimento para definir suas funções como um grupo.

  • Apenas um admin com a função de Editor pode atribuir ou remover funções
  • Você pode revisar mudanças nas atribuições de funções na Trilha de Auditoria (Monitoramento > Trilha de Auditoria)
Atribuir_Papel.png

Para atribuir funções a um admin:

  1. No menu de navegação, clique em Conta > Administradores.
  2. Clique na linha de um admin para abrir as configurações para o admin.
  3. No menu suspenso Funções, selecione uma ou mais funções.

  4. Clique em Salvar.

    As funções são aplicadas ao admin.

Fornecer Acesso de Admin a Sites, Usuários e Grupos Avançados

Você pode definir quais sites, usuários SDP e grupos avançados que os admins do aplicativo de gestão Cato têm permissões para editar ou visualizar. Admins que não têm permissões de visualização para um site ou usuário específico não verão informações sobre essa entidade nas páginas da CMA.

  • Quando permissões de editar/visualizar são concedidas a admins para um grupo (não um grupo avançado), refere-se à habilidade de visualizar/editar locais dentro desse grupo. Se houver itens não site no grupo, eles são ignorados.
  • Quando permissões de visualizar/editar são concedidas a admins para um grupo avançado, isso significa que eles podem ver quais entidades estão no grupo, ou que podem adicionar ou remover membros do grupo.
  • Admins podem apenas criar novos usuários SDP quando têm permissões de Editar para todos os grupos de usuários.
  • Para admins que são atribuídos com permissões baseadas em funções, há uma relação E entre a função e a entidade. Por exemplo, se um admin é atribuído com permissões de visualização para o site de Londres e não tem permissões para visualizar a página de Sites, então ele não pode ver o site de Londres. Ou se ele tem permissões de edição para o site de Londres, mas possui permissões de visualização para a página do site, então ele só pode ver o site e não pode editá-lo.
Admin_site_usuarios.png

Para permitir que admins acessem sites, usuários e grupos avançados:

  1. No menu de navegação, clique em Conta > Administradores.
  2. Crie um novo admin, ou edite um admin existente.
  3. Em Permissões de Acesso para Tipo de Entidade, selecione o tipo de item no menu suspenso.
  4. Use o menu suspenso para selecionar uma ou mais entidades. As entidades são adicionadas à tabela.
  5. Revise todas as configurações relacionadas ao tipo de entidade. Por exemplo, se você acabou de adicionar permissão para um site individual, certifique-se de que a configuração para acesso a Todos os sites seja apropriada.
  6. Defina a Permissão do admin para o item na tabela.
  7. Clique em Salvar. Os sites e grupos de usuários são atribuídos ao administrador.

Limitações Conhecidas para Permissões de Entidade

  • Admins podem ter permissões para até 1000 Usuários SDP, combinando todos os grupos de usuários atribuídos ao admin

    Se um administrador tiver permissões para mais de 1000 Usuários SDP, então receberá um erro. É necessário remover permissões para alguns grupos de usuários para que eles contenham permissões para menos de 1000 Usuários SDP.

  • Admins podem ter permissões para até 200 sites individuais. Não há limite quando sites são aplicados a um grupo.
  • Os relatórios Cato não são filtrados de acordo com permissões de admins para sites e usuários. Você pode limitar o acesso à página de Relatórios, para controlar quais admins podem gerar e visualizar relatórios.
  • Quando você atribui um grupo a um administrador, apenas os sites e usuários são aplicados. Outros itens no grupo (como faixas de rede) são ignorados.

  • Os seguintes painéis e páginas de monitoramento não são automaticamente filtrados para sites ou usuários SDP:

    • Tabela de Roteamento
    • Trilha de Auditoria
    • Painel da API de Segurança SaaS
    • Painel de Controle XDR
    • Detecção e Resposta
    • Ativos
  • Ao gerenciar regras em políticas, administradores podem criar regras usando o valor Qualquer (ex: Qualquer site, Qualquer grupo de usuários, etc), mesmo que tenham permissões apenas para alguns sites, grupos de usuários ou grupos avançados.
  • Administradores que têm permissões para grupos de usuários, só podem adicionar Usuários SDP às regras. Eles não podem adicionar usuários identificados com Consciência do Usuário às regras.

Esse artigo foi útil?

Usuários que acharam isso útil: 7 de 8

0 comentário