Este artigo explica como configurar Funções de Admin que controlam o Acesso do Aplicativo de Gerenciamento Cato. Para saber mais sobre RBAC, veja O que são Admin e Controle de Acesso Baseado em Função (RBAC).
Cato fornece várias funções predefinidas que você pode atribuir aos administradores. Você pode clicar na linha de uma função para mostrar as permissões de cada tela no painel Editar Função. No entanto, funções predefinidas não podem ser modificadas ou excluídas.
Estas são as funções predefinidas:
-
Editor - Permissões completas de leitura/escrita para todas as telas
-
Visualizador - Permissões apenas de leitura para todas as telas
-
Administrador de Rede - Administradores que lidam principalmente com conectividade e acesso à rede. As permissões incluem a edição de todas as telas sob o menu de Rede e outras telas relevantes, como Firewall WAN, mas permissões apenas de visualização para recursos de segurança, como o Firewall de Internet. As permissões para recursos de acesso também são apenas de visualização.
-
Administrador de Segurança - Administradores que lidam principalmente com segurança. As permissões incluem, por exemplo, a edição de todas as telas sob os menus de Segurança e Ativos, mas permissões apenas de visualização para recursos de rede e acesso.
-
Administrador de Acesso - Permite a edição de todas as telas sob o menu de Acesso, com permissões para todas as outras telas definidas como Nenhum
-
Visualizador Regional - Permissões apenas de leitura para todos os sites e Usuários SDP, e também para todos os eventos e análises de aplicações
-
Visualizador Restrito - Permissões apenas de leitura para todos os sites e Usuários SDP (sem acesso a eventos e análises de aplicações)
-
Admin de Logística - Permissão total de leitura/escrita para a página Sockets & Accessories
Você pode criar funções personalizadas e definir permissões granulares para todas as telas no CMA para atender às necessidades exatas de sua organização. No entanto, você não pode configurar permissões separadas para abas e recursos individuais dentro de uma tela.
Por padrão, quando você cria uma nova função todas as permissões são definidas como Apenas Visualização. Você pode clicar na linha da função para modificar as permissões no painel Editar Função. Você pode excluir uma função no menu mais na linha da função, no entanto, não pode excluir uma função personalizada que está atualmente atribuída a um administrador.
-
Apenas um administrador com a função de Editor pode criar ou modificar funções
-
Você pode auditar alterações em funções personalizadas na Trilha de Auditoria (Monitoramento > Trilha de Auditoria), incluindo criação, modificação e exclusão de funções
As permissões para algumas telas configuram automaticamente permissões dependentes para outras telas e recursos. As seguintes permissões dependentes se aplicam ao criar uma função:
-
As telas no menu de navegação definem as permissões para telas e seções que estão sob elas. Por exemplo, as permissões para a tela de Sites (Rede > Sites) determinam as permissões para as telas de Configurações do Site acessadas a partir da tela de Sites.
-
Para telas que suportam um recurso de exportação, conceder permissões de Editar permite que o admin exporte dados ou políticas. Por exemplo, uma função com permissões de Editar para a tela de Firewall de Internet permite que o admin exporte as regras para um arquivo CSV.
-
Visualizar ou editar permissões para as seguintes telas concede permissões de Apenas Visualização para a tela de Eventos. Você pode alterar as permissões de Eventos para Editar, mas não para Nenhum.
-
Sites (Rede > Sites)
-
Usuários (Acesso > Usuários)
-
Análise de Aplicações (Inicial > Análise de Aplicações)
-
Painel de Ameaças (Segurança > Painel de Ameaças de Segurança)
-
Painel de Aplicativos na Nuvem (Segurança > Painel de Aplicativos na Nuvem)
-
MITRE ATT&CK® (Segurança > MITRE ATT&CK®)
-
Para criar uma função de admin personalizada:
-
No menu de navegação, clique em Conta > Funções & Permissões.
-
Clique em Novo para criar uma função personalizada. O painel Criar Função é aberto.
-
Digite um Nome da Função e expanda as seções para definir permissões para as telas do Aplicativo de Gerenciamento Cato em cada seção.
-
Clique em Enviar.
A função personalizada aparece na lista de funções.
Na página Administradores, você pode atribuir uma ou mais funções a cada admin. Quando um admin é atribuído a várias funções que incluem permissões diferentes para a mesma tela, aplicam-se as permissões maiores. Por exemplo, se um admin é atribuído a uma função com permissões de Editar para a tela de Firewall WAN, e outra função com permissões de Apenas Visualização, o admin pode editar a política do Firewall WAN.
-
Apenas um admin com a função de Editor pode atribuir ou remover funções
-
Você pode revisar mudanças nas atribuições de funções na Trilha de Auditoria (Monitoramento > Trilha de Auditoria)
Você pode definir quais sites e usuários SDP que novos e existentes admins do Aplicativo de Gerenciamento Cato têm permissões para editar ou acessar. Quando você atribui grupos que contêm locais e outros itens, a página Administradores mostra apenas os locais no grupo.
Admins podem apenas criar novos usuários SDP quando têm permissões de Editar para todos os grupos de usuários.
Nota
Nota: Relatórios Cato não são filtrados de acordo com Permissões de Admin para sites e usuários. Você pode limitar o acesso à página de Relatórios, para controlar quais admins podem gerar e visualizar relatórios.
Para admins que são atribuídos permissões com base em funções, existe uma relação E entre a função e o site ou grupo de usuários. Por exemplo, se um admin tem permissões de visualização para o site de Londres e eles não têm permissões para a tela de Sites, então eles não podem ver o site de Londres. Ou se eles têm permissões de edição para o site de Londres, mas têm permissões de visualização para a tela do site, então eles podem apenas visualizar o site e não podem editá-lo.
Para atribuir sites e grupos de usuários a um admin:
-
No menu de navegação, clique em Conta > Administradores.
-
Crie um novo admin, ou edite um admin existente.
-
Em Permissões de Acesso para Sites e Usuários, selecione os sites e grupos de usuários que este admin tem permissões.
-
Para sites, selecione Site para um site individual ou Grupo para um grupo que contém vários sites.
-
Para usuários SDP, selecione Grupo de Usuários.
-
-
Defina a Permissão do admin para o item.
-
Repita os passos 3 e 4 para múltiplos sites e grupos de usuários.
-
Clique em Salvar. Os sites e grupos de usuários são atribuídos ao administrador.
-
Admins podem ter permissões para até 1000 Usuários SDP, combinando todos os grupos de usuários atribuídos ao admin
Se um administrador tiver permissões para mais de 1000 Usuários SDP, então receberá um erro. É necessário remover permissões de alguns grupos de usuários para que contenham permissões para menos de 1000 Usuários SDP.
-
Admins podem ter permissões para até 200 sites individuais. Não há limite quando sites são aplicados a um grupo.
-
Quando você atribui um grupo a um administrador, apenas os sites e usuários são aplicados. Outros itens no grupo (como faixas de rede) são ignorados.
-
Os seguintes painéis de controle e telas de monitoramento não são automaticamente filtrados para sites ou Usuários SDP:
-
Tabela de Roteamento
-
Trilha de Auditoria
-
Painel da API de Segurança SaaS
-
Painel de Controle XDR
-
Detecção e Resposta
-
Ativos
-
-
Admins podem criar regras com Qualquer site ou grupo de usuários, mesmo que tenham permissões apenas para sites e grupos de usuários específicos
-
Admins que têm permissões para grupos de usuários, só podem adicionar Usuários SDP às regras. Eles não podem adicionar usuários identificados com Consciência do Usuário às regras.
0 comentário
Por favor, entre para comentar.