Benutzer und Benutzergruppen
Benutzer können auf drei Arten auf das ExtraHop-System zugreifen: über eine Reihe vorkonfigurierter Benutzerkonten, über lokale Benutzerkonten, die auf der Appliance konfiguriert sind, oder über Remote-Benutzerkonten, die auf vorhandenen Authentifizierungsservern wie LDAP, SAML, Radius und TACACS+ konfiguriert sind. Für RevealX 360 können Sie Benutzergruppen über die API hinzufügen
| Video: | Sehen Sie sich die entsprechenden Schulungen an: |
Lokale Benutzer
In diesem Thema geht es um Standard- und lokale Konten. siehe Fernauthentifizierung um zu erfahren, wie man Remote-Konten konfiguriert.
- Einrichten
- Dieses Konto bietet vollständige System-Lese- und Schreibrechte für die browserbasierte Benutzeroberfläche und die ExtraHop-Befehlszeilenschnittstelle (CLI). Die standardmäßigen Anmelde- und Kennwortinformationen finden Sie unter Häufig gestellte Fragen zu Standardbenutzerkonten.
- Schale
- Das shell account hat standardmäßig Zugriff auf Shell-Befehle ohne Administratorrechte in der ExtraHop-CLI. Bei physischen Sensoren ist das Standardkennwort für dieses Konto die Service-Tag-Nummer auf der Vorderseite der Appliance. Bei virtuellen Sensoren lautet das Standardkennwort default.
| Hinweis: | Das standardmäßige ExtraHop-Passwort für beide Konten bei der Bereitstellung in Amazon Web Services (AWS) und Google Cloud Platform (GCP) ist die Instanz-ID der virtuellen Maschine. |
Nächste Maßnahme
Fernauthentifizierung
Das ExtraHop-System unterstützt die Fernauthentifizierung für den Benutzerzugriff. Mithilfe der Fernauthentifizierung können Organisationen, die über Authentifizierungssysteme wie LDAP (z. B. OpenLDAP oder Active Directory) verfügen, allen oder einer Teilmenge ihrer Benutzer ermöglichen, sich mit ihren vorhandenen Anmeldedaten am System anzumelden.
| Wichtig: | Die Menüauswahl variiert je nachdem, welchen Appliance-Typ Sie konfigurieren. SAML ist beispielsweise nur für Sensoren und Konsolen verfügbar. |
Die zentralisierte Authentifizierung bietet die folgenden Vorteile:
- Synchronisation des Benutzerkennworts.
- Automatische Erstellung von ExtraHop-Konten für Benutzer ohne Administratoreingriff.
- Verwaltung der ExtraHop-Rechte auf der Grundlage von Benutzergruppen.
- Administratoren können allen bekannten Benutzern Zugriff gewähren oder den Zugriff einschränken, indem sie LDAP-Filter anwenden.
Entfernte Benutzer
Wenn Ihr ExtraHop-System für die SAML- oder LDAP-Fernauthentifizierung konfiguriert ist, können Sie ein Konto für diese Remote-Benutzer erstellen. Durch die Vorkonfiguration von Konten auf dem ExtraHop-System für Remote-Benutzer können Sie Systemanpassungen mit diesen Benutzern teilen, bevor sie sich anmelden.
Wenn Sie sich bei der Konfiguration der SAML-Authentifizierung für die automatische Bereitstellung von Benutzern entscheiden, wird der Benutzer bei der ersten Anmeldung automatisch zur Liste der lokalen Benutzer hinzugefügt. Sie können jedoch ein SAML-Remotebenutzerkonto auf dem ExtraHop-System erstellen, wenn Sie einen Remote-Benutzer bereitstellen möchten, bevor sich dieser Benutzer am System angemeldet hat. Rechte werden dem Benutzer vom Anbieter zugewiesen. Nachdem der Benutzer erstellt wurde, können Sie ihn zu lokalen Benutzergruppen hinzufügen.
Nächste Maßnahme
Benutzergruppen
Benutzergruppen ermöglichen es Ihnen, den Zugriff auf geteilte Inhalte nach Gruppen statt nach einzelnen Benutzern zu verwalten. Benutzerdefinierte Objekte wie Aktivitätskarten können mit einer Benutzergruppe geteilt werden, und jeder Benutzer, der der Gruppe hinzugefügt wird, hat automatisch Zugriff darauf. Sie können eine lokale Benutzergruppe erstellen, die entfernte und lokale Benutzer umfassen kann. Wenn Ihr ExtraHop-System für die Fernauthentifizierung über LDAP konfiguriert ist, können Sie alternativ Einstellungen für den Import Ihrer LDAP-Benutzergruppen konfigurieren.
- Klicken Sie Benutzergruppe erstellen um eine lokale Gruppe zu erstellen. Die Benutzergruppe wird in der Liste angezeigt. Markieren Sie dann das Kontrollkästchen neben dem Namen der Benutzergruppe und wählen Sie Benutzer aus dem Benutzer filtern... Drop-down-Menü. Klicken Sie Benutzer zur Gruppe hinzufügen.
- (nur LDAP) Klicken Sie Alle Benutzergruppen aktualisieren oder wählen Sie mehrere LDAP-Benutzergruppen aus und klicken Sie auf Benutzer in Gruppen aktualisieren.
- Klicken Sie Benutzergruppe zurücksetzen um alle geteilten Inhalte aus einer ausgewählten Benutzergruppe zu entfernen. Wenn die Gruppe auf dem Remote-LDAP-Server nicht mehr existiert, wird die Gruppe aus der Benutzergruppenliste entfernt.
- Klicken Sie Benutzergruppe aktivieren oder Benutzergruppe deaktivieren um zu steuern, ob ein Gruppenmitglied auf geteilte Inhalte für die ausgewählte Benutzergruppe zugreifen kann.
- Klicken Sie Benutzergruppe löschen um die gewählte Benutzergruppe aus dem System zu entfernen.
- Sehen Sie sich die folgenden Eigenschaften für aufgelistete Benutzergruppen an:
- Name der Gruppe
- Zeigt den Namen der Gruppe an. Um die Mitglieder der Gruppe anzuzeigen, klicken Sie auf den Gruppennamen.
- Typ
- Zeigt Lokal oder Remote als Benutzergruppentyp an.
- Mitglieder
- Zeigt die Anzahl der Benutzer in der Gruppe an.
- Geteilte Inhalte
- Zeigt die Anzahl der vom Benutzer erstellten Objekte an, die mit der Gruppe gemeinsam genutzt werden.
- Status
- Zeigt an, ob die Gruppe auf dem System aktiviert oder deaktiviert ist. Wenn der Status ist Disabled, wird die Benutzergruppe bei der Durchführung von Mitgliedschaftsprüfungen als leer betrachtet. Die Benutzergruppe kann jedoch weiterhin angegeben werden, wenn Inhalte geteilt werden.
- Mitglieder aktualisiert (nur LDAP)
- Zeigt die Zeit an, die seit der Aktualisierung der Gruppenmitgliedschaft vergangen ist.
Benutzergruppen werden unter den folgenden Bedingungen aktualisiert:
- Standardmäßig einmal pro Stunde. Die Einstellung für das Aktualisierungsintervall kann auf der Seite.
- Ein Administrator aktualisiert eine Gruppe, indem er auf Alle Benutzergruppen aktualisieren oder Benutzer in der Gruppe aktualisierenoder programmgesteuert über die REST-API. Sie können eine Gruppe von der aus aktualisieren Benutzergruppe Seite oder aus dem Liste der Mitglieder Seite.
- Ein Remote-Benutzer meldet sich zum ersten Mal am ExtraHop-System an.
- Ein Benutzer versucht, ein geteiltes Dashboard zu laden, auf das er keinen Zugriff hat.
Benutzerrechte
Administratoren bestimmen die Modulzugriffsebene für Benutzer im ExtraHop-System.
Informationen zu Benutzerberechtigungen für die REST-API finden Sie in der REST-API-Leitfaden.
Informationen zu Remote-Benutzerrechten finden Sie in den Konfigurationsanleitungen für LDAP, RADIUS, SAML, und TACACS+.
Privilegienstufen
Legen Sie die Berechtigungsstufe fest, auf die Ihr Benutzer zugreifen kann, um zu bestimmen, auf welche Bereiche des ExtraHop-Systems er zugreifen kann.
Zugriffsrechte für Module
- Zugriff auf das NDR-Modul
- Ermöglicht dem Benutzer den Zugriff auf Sicherheitsfunktionen wie Angriffserkennungen, Untersuchungen und Bedrohungsinformationen.
- Zugriff auf das NPM-Modul
- Ermöglicht dem Benutzer den Zugriff auf Leistungsfunktionen wie Betriebserkennungen und die Möglichkeit, benutzerdefinierte Dashboards zu erstellen.
- Zugriff auf Pakete und Sitzungsschlüssel
- Ermöglicht dem Benutzer, Pakete und Sitzungsschlüssel, nur Pakete, nur Paket-Header oder nur Paket-Slices anzuzeigen und herunterzuladen. Ermöglicht dem Benutzer auch das Extrahieren von Dateien, die Paketen zugeordnet sind.
Systemzugriffsrechte
Diese Rechte bestimmen den Funktionsumfang, über den Benutzer in den Modulen verfügen, für die ihnen Zugriff gewährt wurde.
Für RevealX Enterprise können Benutzer mit Systemzugriffs- und Administratorrechten auf alle Funktionen, Pakete und Sitzungsschlüssel für ihre lizenzierten Module zugreifen.
Für RevealX 360 müssen Systemzugriffs- und Administratorrechte sowie der Zugriff auf lizenzierte Module, Pakete und Sitzungsschlüssel separat zugewiesen werden. RevealX 360 bietet auch ein zusätzliches Systemadministrationskonto, das alle Systemberechtigungen gewährt, mit Ausnahme der Möglichkeit, Benutzer und API-Zugriff zu verwalten.
Die folgende Tabelle enthält ExtraHop-Funktionen und die erforderlichen Rechte. Wenn keine Modulanforderung angegeben ist, ist die Funktion sowohl im NDR- als auch im NDM-Modul verfügbar.
| System- und Zugriffsverwaltung | Systemadministration (nur RevealX 360) | Vollständiges Schreiben | Eingeschränktes Schreiben | Persönliches Schreiben | Vollständig schreibgeschützt | Eingeschränkter Schreibschutz | |
|---|---|---|---|---|---|---|---|
| Karten der Aktivitäten | |||||||
| Karten für gemeinsame Aktivitäten erstellen, anzeigen und laden | Y | Y | Y | Y | Y | Y | N |
| Aktivitätskarten speichern | Y | Y | Y | Y | Y | N | N |
| Aktivitätskarten teilen | Y | Y | Y | Y | N | N | N |
| Warnmeldungen | NPM-Modullizenz und Zugriff erforderlich. | ||||||
| Warnmeldungen anzeigen | Y | Y | Y | Y | Y | Y | Y |
| Benachrichtigungen erstellen und ändern | Y | Y | Y | N | N | N | N |
| Analyse-Prioritäten | |||||||
| Seite „Analyseprioritäten" anzeigen | Y | Y | Y | Y | Y | Y | N |
| Analyseebenen für Gruppen hinzufügen und ändern | Y | Y | Y | N | N | N | N |
| Geräte zu einer Beobachtungsliste hinzufügen | Y | Y | Y | N | N | N | N |
| Verwaltung der Transferprioritäten | Y | Y | Y | N | N | N | N |
| Bündel | |||||||
| Ein Paket erstellen | Y | Y | Y | N | N | N | N |
| Laden Sie ein Paket hoch und wenden Sie es an | Y | Y | Y | N | N | N | N |
| Laden Sie ein Paket herunter | Y | Y | Y | Y | Y | N | N |
| Liste der Bundles anzeigen | Y | Y | Y | Y | Y | Y | N |
| Armaturenbretter | |||||||
| Dashboards anzeigen und organisieren | Y | Y | Y | Y | Y | Y | Y |
| Dashboards erstellen und ändern | Y | Y | Y | Y | Y | N | N |
| Dashboards teilen | Y | Y | Y | Y | N | N | N |
| Erkennungen | NDR-Modullizenz und Zugriff sind erforderlich
, um Sicherheitserkennungen anzuzeigen und zu optimieren und Untersuchungen durchzuführen.
Zum Anzeigen und Optimieren von Leistungserkennungen sind eine NPM-Modullizenz und -zugriff erforderlich. |
||||||
| Erkennungen anzeigen | Y | Y | Y | Y | Y | Y | Y |
| Erkennungen bestätigen | Y | Y | Y | Y | Y | N | N |
| Erkennungsstatus und Hinweise ändern | Y | Y | Y | Y | N | N | N |
| Untersuchungen erstellen und ändern | Y | Y | Y | Y | N | N | N |
| Tuning-Regeln erstellen und ändern | Y | Y | Y | N | N | N | N |
| Gerätegruppen | Administratoren können das konfigurieren Globale Richtlinie „Gerätegruppe bearbeiten" um anzugeben , ob Benutzer mit eingeschränkten Schreibrechten Gerätegruppen erstellen und bearbeiten können. | ||||||
| Gerätegruppen erstellen und ändern | Y | Y | Y | Y (Wenn die globale Rechterichtlinie aktiviert ist) | N | N | N |
| Integrationen | Nur RevealX 360 | ||||||
| Integrationen konfigurieren und ändern | Datei-Analyse | ||||||
| Einstellungen und Filter für die Dateianalyse konfigurieren | Y | Y | N | N | N | N | N |
| Metriken | |||||||
| Metriken anzeigen | Y | Y | Y | Y | Y | Y | N |
| Regeln für Benachrichtigungen | NDR-Modullizenz und Zugriff sind erforderlich
, um Benachrichtigungen für Sicherheitserkennungen,
Sicherheitserkennungskataloge und Bedrohungsinformationen zu erstellen und zu ändern. NPM-Modullizenz und Zugriff sind erforderlich, um Benachrichtigungen für Leistungserkennungen und den Leistungserkennungskatalog zu erstellen und zu ändern. |
||||||
| Regeln für Erkennungsbenachrichtigungen erstellen und ändern | Y | Y | Y | N | N | N | N |
| Regeln für Erkennungsbenachrichtigungen für SIEM-Integrationen erstellen und ändern (nur RevealX 360) | Y | Y | N | N | N | N | N |
| Benachrichtigungsregeln für den Erkennungskatalog erstellen und ändern | Y | Y | Y | N | N | N | N |
| Benachrichtigungsregeln Bedrohungsübersicht erstellen und ändern | Y | Y | Y | N | N | N | N |
| Regeln für Systembenachrichtigungen erstellen und ändern | Y | Y | N | N | N | N | N |
| Rekorde | Recordstore erforderlich. | ||||||
| Datensatzabfragen anzeigen | Y | Y | Y | Y | Y | Y | N |
| Aufzeichnungsformate anzeigen | Y | Y | Y | Y | Y | Y | N |
| Datensatzabfragen erstellen, ändern und speichern | Y | Y | Y | N | N | N | N |
| Datensatzformate erstellen, ändern und speichern | Y | Y | Y | N | N | N | N |
| Geplante Berichte | Konsole erforderlich. | ||||||
| Geplante Berichte erstellen, anzeigen und verwalten | Y | Y | Y | Y | N | N | N |
| Bedrohungsinformationen | NDR-Modullizenz und Zugriff erforderlich. | ||||||
| Bedrohungssammlungen verwalten | Y | Y | N | N | N | N | N |
| TAXII-Feeds verwalten | Y | Y | N | N | N | N | N |
| Bedrohungsinformationen anzeigen | Y | Y | Y | Y | Y | Y | N |
| Trigger | |||||||
| Trigger erstellen und ändern | Y | Y | Y | N | N | N | N |
| Administratorrechte | |||||||
| Greifen Sie auf die ExtraHop-Administrationseinstellungen zu | Y | Y | N | N | N | N | N |
| Stellen Sie eine Verbindung zu anderen Geräten her | Y | Y | N | N | N | N | N |
| Andere Appliances verwalten (Konsole) | Y | Y | N | N | N | N | N |
| Benutzer und API-Zugriff verwalten | Y | N | N | N | N | N | N |
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?