Эта статья объясняет, как настроить роли администраторов, которые контролируют доступ к Приложению Управления Cato (CMA). Чтобы узнать больше о RBAC, см. Что такое Администраторы и Контроль Доступа на Основе Ролей (RBAC).
Cato предоставляет несколько предопределенных ролей, которые вы можете назначить администраторам. Вы можете нажать на строку роли, чтобы отобразить разрешения для каждого экрана в панели Редактировать роль. Однако предопределенные роли не могут быть изменены или удалены.
Это предопределенные роли:
-
Редактор - Полные разрешения на чтение/запись для всех экранов
-
Просмотрщик - Только права на чтение для всех экранов
-
Сетевой администратор - Администраторы, которые в основном занимаются подключением и доступом к сети. Разрешения включают редактирование всех экранов в меню Сеть и других соответствующих экранах, таких как WAN Файервол, но просмотр только для функций безопасности, таких как интернет-файервол. Разрешения для функций доступа также только просмотра.
-
Администратор безопасности - Администраторы, которые в основном занимаются безопасностью. Разрешения включают, например, редактирование всех экранов в меню Безопасность и Активы, но только просмотр разрешений для сетевых и доступных функций.
-
Администратор доступа - Разрешает редактирование всех экранов в меню Доступ, с разрешениями для всех других экранов, установленными в Нет
-
Региональный просмотрщик - Только просмотр разрешений для всех сайтов и пользователей SDP, а также для всех событий и аналитики приложений
-
Ограниченный просмотрщик - Только просмотр разрешений для всех сайтов и пользователей SDP (без доступа к событиям и аналитике приложений)
-
Администратор Логистики - Полное разрешение на чтение/запись для страницы Сокеты и аксессуары
Вы можете создавать пользовательские роли и определять разрешения для всех экранов в Приложении Управления Cato, чтобы точно соответствовать потребностям вашей организации. Однако вы не можете устанавливать отдельные разрешения для отдельных вкладок и функций на экране.
По умолчанию, когда вы создаете новую роль, все разрешения установлены на Только просмотр. Вы можете нажать на строку роли, чтобы изменить разрешения на панели Редактировать роль. Вы можете удалить роль из меню 'ещё' в строке роли, однако вы не можете удалить пользовательскую роль, которая в настоящее время назначена администратору.
-
Только администратор с ролью Редактор может создавать или изменять роли
-
Вы можете аудитировать изменения в пользовательских ролях в Журнале аудита (Мониторинг > Журнал аудита), включая создание, изменение и удаление ролей
Разрешения для некоторых экранов автоматически настраивают зависимые разрешения для других экранов и функций. Следующие зависимые разрешения применяются при создании роли:
-
Экраны в меню навигации определяют разрешения для экранов и секций, находящихся под ними. Например, разрешения для экрана Площадки (Сеть > Площадки) определяют разрешения для экранов Настройки площадки, доступных с экрана Площадки.
-
Для экранов, поддерживающих функцию экспорта, предоставление разрешений Редактировать позволяет администратору экспортировать данные или политики. Например, роль с разрешениями Редактировать для экрана Межсетевой экран Интернета позволяет администратору экспортировать правила в файл CSV.
-
Просмотр или редактирование разрешений для следующих экранов предоставляет экрану События разрешения Только просмотр. Вы можете изменить разрешения для Событий на Редактировать, но не на Нет.
-
Сайты (Сеть > Сайты)
-
Пользователи (Доступ > Пользователи)
-
Аналитика приложений (Домашняя > Аналитика приложений)
-
Панель угроз (Безопасность > Панель угроз)
-
Панель управления облачными приложениями (Безопасность > Панель управления облачными приложениями)
-
MITRE ATT&CK® (Безопасность > MITRE ATT&CK®)
-
Чтобы создать пользовательскую роль администратора:
-
В меню навигации нажмите Аккаунт > Роли & Разрешения.
-
Нажмите Новый, чтобы создать пользовательскую роль. Откроется панель Создать роль.
-
Введите Имя роли и разверните секции, чтобы определить разрешения для экранов Приложения управления в каждой секции.
-
Нажмите Отправить.
Пользовательская роль появляется в списке ролей.
На странице Администраторы вы можете назначить одну или несколько ролей каждому администратору. Когда администратору назначено несколько ролей, включающих разные разрешения для одного и того же экрана, применяются более высокие разрешения. Например, если администратору назначена одна роль с разрешениями Редактировать для экрана Межсетевой экран WAN и другая роль с разрешениями Только просмотр, администратор может редактировать политику Межсетевой экран WAN.
-
Только администратор с ролью Редактор может назначать или удалять роли
-
Вы можете просмотреть изменения в назначениях ролей в Журнале аудита (Мониторинг > Журнал аудита)
Вы можете определить, какие площадки и Пользователи SDP, которыми новые и существующие администраторы Приложения управления Cato имеют разрешения для редактирования или доступа. Когда вы назначаете группы, содержащие сайты и другие элементы, на странице Администраторы отображаются только сайты в группе.
Администраторы могут создавать новых Пользователи SDP только если у них есть Редактировать разрешения для всех групп пользователей.
Примечание
Примечание: Отчеты Cato не фильтруются в соответствии с разрешениями администраторов для сайтов и пользователей. Вы можете ограничить доступ к странице Отчеты, чтобы контролировать, какие администраторы могут генерировать и просматривать отчеты.
Для администраторов, которым присвоены разрешения на основе ролей, существует И-отношение между ролью и сайтом или группой пользователей. Например, если администратору назначены разрешения на просмотр лондонского сайта и у них нет разрешений для экрана Сайты, то они не могут просматривать лондонский сайт. Или если у них есть разрешения на редактирование для лондонского сайта, но разрешения на просмотр только для экрана сайта, то они могут только просматривать и не могут редактировать сайт.
Чтобы назначить сайты и группы пользователей администратору:
-
В навигационном меню нажмите на Аккаунт > Администраторы.
-
Создайте нового администратора или редактируйте существующего.
-
В Разрешения доступа к сайтам и пользователям, выберите сайты и группы пользователей, для которых у этого администратора есть разрешения.
-
Для сайтов выберите Сайт для индивидуального сайта или Группа для группы, содержащей несколько сайтов.
-
Для Пользователи SDP выберите Группа пользователей.
-
-
Определите для элемента разрешение администратора.
-
Повторите шаги 3 и 4 для нескольких сайтов и групп пользователей.
-
Нажмите Сохранить. Сайты и группы пользователей назначены администратору.
-
Администраторы могут иметь разрешения до 1000 пользователей SDP, объединяя все назначенные администратору группы пользователей
Если у администратора есть разрешения для более чем 1000 Пользователи SDP, то он получает ошибку. Необходимо удалить разрешения для некоторых групп пользователей, чтобы включить менее 1000 Пользователи SDP.
-
Администраторы могут иметь разрешения для до 200 индивидуальных сайтов. Нет ограничений, когда сайты прикладываются к группе.
-
Когда вы назначаете группу администратору, применяются только сайты и пользователи. Другие элементы в группе (такие как диапазоны сети) игнорируются.
-
Следующие панели мониторинга и экраны наблюдения не фильтруются автоматически для сайтов или Пользователи SDP:
-
Таблица маршрутизации
-
Журнал аудита
-
Панель управления SaaS Security API
-
XDR Панель управления
-
Обнаружение и Реагирование
-
Активы
-
-
Администраторы могут создавать правила с Любой сайт или группой пользователей, даже если у них есть разрешения только для специфических сайтов и групп пользователей
-
Администраторы, имеющие разрешения для групп пользователей, могут добавлять только Пользователи SDP в правила. Они не могут добавлять пользователей, идентифицированных с Осведомленность Пользователя, в правила.
0 комментариев
Войдите в службу, чтобы оставить комментарий.