|
|
|
|
|
各ユーザには事前定義されたロールが割り当てられており、このロールによってユーザが実行できるアクションが決まります。最も高い権限を持っているユーザはマネージャです。マネージャにはすべての特権とサブスクリプション内のすべてのアセットに対するアクセス権が付与されています。
マネージャとユニットマネージャは、アセットとユーザを管理することができます。マネージャにはサブスクリプションを管理する権限が与えられていますが、ユニットマネージャに与えられている権限は、割り当てられたビジネスユニットを管理する権限のみです。
スキャナとリーダは、割り当てられたアセットに限定された権限を持ちます。スキャナは、スキャンの開始とレポートの実行が可能です。リーダは、レポートを実行できます。
監査者には、コンプライアンス管理の権限があります。監査者はコンプライアンススキャンを実行することはできませんが、ポリシーの定義とコンプライアンスレポートの実行は可能です。監査者が表示できるのはコンプライアンスデータだけです(脆弱性データは表示できません)。このロールは、サブスクリプションで PC が有効な場合に使用できます。
改善ユーザは、UI へのアクセスが制限されており、改善チケットと脆弱性 KnowledgeBase にのみアクセス可能です。改善ユーザには、スキャンとレポートについての権限は一切ありません。マネージャは、改善ユーザにビジネスユニットとアセットグループのほか、アセット(アセットグループ)のポリシールールによって生成されたチケットも割り当てることができます。
KnowledgeBase のみのユーザは、UI へのアクセスが制限されています。KnowledgeBase の脆弱性の通知を送受信し、その脆弱性を表示できます。(このロールは、サブスクリプションでこの機能が有効な場合にのみ使用できます。このロールを割り当てられるのは、マネージャのみです。)
ユーザ管理者ユーザには、ユーザ、アセットグループ、ビジネスユニット、および配布グループへのアクセス権のみがあります。このロールを持つユーザは、他のユーザ管理者を除くすべてのタイプのユーザを作成および編集できます。サブスクリプションに少なくとも 1 つのマネージャアカウントを残すのであれば、マネージャユーザを編集および削除できます。すなわち、ユーザ管理者は、最後のマネージャアカウントを削除できず、最後のマネージャアカウントのロールを変更できないということです。ユーザ管理者には、ビジネスユニット、配布グループ、およびアセットグループを削除するパーミッションはありません。
ユーザ管理者ロールを持つユーザを作成した場合、そのユーザのロールをほかのロールに変更することはできません。
連絡先には、スキャン通知の E メールを受信するパーミッションのみがあります。
次のヘルプトピックを参照してください。
ユーザロールの比較(Vulnerability Management)
ユーザロールなど、自分のアカウント情報を表示するには、右上に表示される自分のユーザ名の下にある「User Profile」オプションを選択します。自分のユーザロールは、ユーザリスト(「Users」->「Users」)にも表示されます。
ユーザに個別に付与できる拡張パーミッションがあります。ユーザのアカウントを編集し、「Permissions」項を選択します。パーミッションを選択すると、ユーザに付与され、パーミッションをオフにすると、付与されません。各種のユーザロールに応じてさまざまなパーミッションが表示されます。
Add/Remove assetsAdd/Remove assets
ユニットマネージャが IP およびドメインをビジネスユニットに、つまりはサブスクリプションに追加できるようになります。新しいアセットが追加されると、すべてのマネージャから利用できるようになり、他のビジネスユニットやアセットグループに取り込むことができます。
スキャナにこのパーミッションを付与し、IP アドレスをサブスクリプションへ追加することができるようサブスクリプションを設定することができます。Consultant サブスクリプションのスキャナには、このパーミッションが付与されている場合があります。
現在の設定では、追加された IP を削除するパーミッションはマネージャにのみ付与されます。
Create/edit authentication records/vaultsCreate/edit authentication records/vaults
ユニットマネージャが認証レコードと Authentication Vault を作成および編集できるようになります。スキャナにこのパーミッションを付与できるようサブスクリプションを設定することができます。
Create option profilesCreate option profiles
スキャナとユニットマネージャは、デフォルトでオプションプロファイルを作成できます。このチェックボックスをオフにすると、オプションプロファイルを作成できなくなります。
Manage external IDs for usersManage external IDs for users
サブスクリプションの一次連絡先となるマネージャは、マネージャ、ユニットマネージャ、およびユーザ管理者にこのパーミッションを付与できます。これが付与されたユーザは、ユーザのアカウント設定にある外部 ID の割り当て/編集ができるようになります。
このオプションが表示されない場合このオプションが表示されない場合
一次連絡先となるマネージャが、「Users」->「Setup」->「Security」にある外部 ID のセキュリティ設定をあらかじめ有効にしておく必要があります。
Manage virtual scanner appliancesManage virtual scanner appliances
ユニットマネージャが、Scanner Appliance リストから Virtual Scanner を作成、編集、削除できるようになります。スキャナにこのパーミッションを付与できるようサブスクリプションを設定することができます。
Manage offline scanner appliancesManage offline scanner appliances
ユニットマネージャが、Scanner Appliance リストでオフラインスキャナを作成、編集、削除できるようになります。
Purge host information/historyPurge host information/history
スキャンから収集されたホスト情報をユーザがパージできるようになります。ホストをパージすると、ホスト情報がアカウントから完全に削除されます。
VM/VMDR が有効なユーザ:
Create/edit remediation policyCreate/edit remediation policy
ユニットマネージャがビジネスユニットの改善ポリシーを作成できるようになります。ビジネスユニットのポリシーで設定されているルールは、サブスクリプションに設定されているルールよりも優先されます。
Create/edit virtual hostsCreate/edit virtual hosts
ユーザに、スキャンのための新しい仮想ホスト設定の作成を許可します。このパーミッションを持つユーザは、ユーザのアカウントに含まれる IP アドレスの仮想ホストを追加、編集、および削除できます。
PC が有効なユーザ:
Accept/Reject exceptionsAccept/Reject exceptions
ユニットマネージャが、ビジネスユニット内のホストに対してコンプライアンスポリシーの例外を承認/拒否できるようになります。
Create/edit compliance policiesCreate/edit compliance policies
ユニットマネージャが、割り当てられているビジネスユニット内のホストに対してコンプライアンスポリシーを作成および編集できるようになります。
Create User Defined ControlsCreate User Defined Controls
ユニットマネージャがサブスクリプションのユーザ定義コントロール(UDC)を作成できるようになります。
Update/Delete User Defined ControlsUpdate/Delete User Defined Controls
ユニットマネージャがサブスクリプションのユーザ定義コントロール(UDC)を編集および削除できるようになります。
SCA が有効なユーザ:
Create/edit policiesCreate/edit policies
ユニットマネージャが、割り当てられているビジネスユニット内のホストに対してポリシーを作成および編集できるようになります。
WAS が有効なユーザ:
Manage/Create web applicationsManage/Create web applications
ユーザが、Web アプリケーションへのユーザのアクセスパーミッションに基づいて、Web アプリケーション管理タスクを実行できるようになります。「Create web applications」を選択すると、Web アプリケーションの作成が許可されます。
拡張パーミッションを付与できるのは、マネージャとユニットマネージャです。ユニットマネージャは自分のビジネスユニット内のユーザに拡張パーミッションを付与できます。ただし、ユニットマネージャもその権限を持つ場合に限られます。例えば、ユニットマネージャがホスト情報/履歴をパージするパーミッションを持っている場合、ユニットマネージャはこのパーミッションを別のユーザに付与できます。「Manage external IDs for users」パーミッションを付与できるのは、一次連絡先のマネージャに限られます。
あるビジネスユニットのユーザに別のビジネスユニットのユーザに関する情報が表示されないようにすることができます。これを実行するには、「Users」->「Setup」->「User Permissions」を選択して、次のオプションを選択します。
「Restrict view of user information for users outside of business unit」 - このオプションを選択すると、他のビジネスユニットのユーザの特定の詳細情報(連絡先情報、アセットグループなど)が非表示になります。
「Hide users outside the business unit」 - このオプションを上記のオプションと一緒に選択すると、他のビジネスユニットのすべてのユーザが、ユーザリスト(「Users」タブ)で非表示になり、配布グループの作成時やチケットの再割り当て時などにユーザが表示される UI の他の領域でも非表示になります。
ユーザがパーミッションを持っていないアセットのスキャンスケジュールを表示できないようにすることができます。制限するには、「Users」->「Setup」->「User Permissions」に移動して「Restrict view of scheduled tasks on unassigned assets」オプションを選択します。「Save」をクリックします。