Политики управления доступом к событиям

Данный раздел описывает процесс настройки политик доступа пользователей к событиям в хранилищах на основе их ролей. Работа осуществляется в разделе Инструменты → Политики управления доступом к событиям веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О политиках управления доступом к событиям

Политика управления доступом к событиям — это правило, на основе которого пользователи, имеющие заданные роли, будут иметь доступ только к определенным событиям в хранилище. Правило формулируется как условие фильтрации на языке RQL, которое будет неявно добавляться в секцию WHERE поисковых запросов пользователей.

Составление условия фильтрации из правил

Все правила, распространяющиеся на роли текущего пользователя, добавляются к запросу с помощью оператора AND, а между собой объединяются оператором OR.

Рассмотрим следующий пример:

Пользователь ввел следующий запрос в разделе Поиск:
```
dvendor = 'Linux'
```
Первая политика задает для этого пользователя следующее правило доступа:
```
dproduct = 'R-Vision' AND at = 'Endpoint'
```
Вторая политика задает следующее правило доступа:
```
app = 'HTTPS'
```

Запрос, отображаемый в строке поиска, и запрос, который будет в действительности выполнен, соответствуют друг другу следующим образом:

Запрос в строке поиска Запрос, который будет выполнен

Запрос в строке поиска	Запрос, который будет выполнен
`dvendor = 'Linux'`	`dvendor = 'Linux' AND ((dproduct = 'R-Vision' AND at = 'Endpoint') OR app = 'HTTPS')`

dvendor = 'Linux'

dvendor = 'Linux' AND ((dproduct = 'R-Vision' AND at = 'Endpoint') OR app = 'HTTPS')

Интерфейс раздела

Панель инструментов раздела включает следующие компоненты:

Кнопка Создать () позволяет создать новую политику.
Кнопка Удалить () позволяет удалить выбранные политики.
Поле Поиск предназначено для быстрого поиска политик в отображаемом списке по названию.
Кнопка Фильтр () позволяет открыть в правой части рабочей области панель для настройки фильтрации списка политик.

В рабочей области отображается таблица существующих политик. Таблица содержит следующие столбцы:

Название — название политики, используемое для ее идентификации.
Роли — список ролей, на которые распространяется политика.
Описание — краткое описание политики.
Хранилища — список хранилищ событий, на которые распространяется политика.
Дата создания — дата и время создания политики.
Дата изменения — дата и время последнего изменения политики.

При работе с таблицей политик доступны следующие операции:

Поиск политик по полю Название.
Фильтрация политик по полям Роли и Хранилища. Роли и хранилища выбираются из выпадающих списков.
Сортировка политик по полям Название, Описание, Дата создания, Дата изменения.
Настройка отображения таблицы политик.

При выборе конкретной политики в правой части рабочей области отображается ее карточка с детальной информацией.

Работа с политикой управления доступом к событиям

Доступные операции над политикой:

Создание политики управления доступом к событиям
Просмотр политики управления доступом к событиям
Изменение политики управления доступом к событиям
Удаление политики управления доступом к событиям

Создание политики управления доступом к событиям

Чтобы создать политику:

Перейдите в раздел Инструменты → Политики управления доступом к событиям. Система отобразит сведения об имеющихся политиках.
Нажмите на кнопку Создать (). Отобразится окно создания политики.
Введите название политики.
При необходимости укажите описание политики.
В поле Роль выберите роли, на которые будет распространяться политика.

Добавьте правила доступа к хранилищам событий.

Чтобы добавить правило:

Нажмите на кнопку Добавить правило. Отобразится панель настроек нового правила.

По умолчанию в окне уже отображается панель настройки для первого правила.
В поле Хранилище выберите хранилища событий, на которые будет распространяться правило.

В поле Правило введите условие на языке RQL, которое будет неявно добавляться к поисковым запросам пользователей.

Например, чтобы разрешить пользователям просматривать только события, поступившие с устройств на ОС Linux из определенной подсети, вы можете задать следующее правило:

dvendor = 'Linux' AND sourceIP IN '203.0.113.0/24'

Чтобы удалить заданное правило, нажмите на кнопку trash в правом верхнем углу его панели настроек.

Нажмите на кнопку Создать. Система создаст политику и отобразит уведомление об успешном создании. Новая политика появится в списке раздела Инструменты → Политики управления доступом к событиям.

Просмотр политики управления доступом к событиям

Чтобы просмотреть политику:

Перейдите в раздел Инструменты → Политики управления доступом к событиям. Система отобразит сведения об имеющихся политиках.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

В верхней части карточки отображается название политики. Справа от названия расположена кнопка more vertical , по которой открывается выпадающее меню с действиями, доступными для выбранной политики.

Карточка отображает следующую информацию о политике:

ID — уникальный идентификационный код политики.
Название — системное имя политики, используемое для ее идентификации.
Описание — краткое описание политики.
ID тенанта — идентификатор тенанта, в котором была создана политика.
Роли — список ролей, на которые распространяется политика.
Дата создания — дата и время создания политики.
Создал — пользователь, инициировавший создание политики.
Дата изменения — дата и время последнего изменения политики.
Изменил — пользователь, выполнивший последнее изменение политики.
Правила доступа — список правил, созданных в рамках политики. Для каждого правила указываются хранилища событий, на которые оно распространяется, и условие фильтрации на языке RQL.

Изменение политики управления доступом к событиям

Чтобы изменить политику:

Перейдите в раздел Инструменты → Политики управления доступом к событиям. Система отобразит сведения об имеющихся политиках.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
Выберите опцию Изменить в выпадающем меню кнопки действий () в верхней части карточки. Отобразится окно настроек политики.
Внесите изменения в требуемые поля политики.
Нажмите на кнопку Сохранить. Измененные данные политики будут сохранены, система отобразит соответствующее уведомление.

Удаление политики управления доступом к событиям

Чтобы удалить политику:

Перейдите в раздел Инструменты → Политики управления доступом к событиям. Система отобразит сведения об имеющихся политиках.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
Выберите опцию Удалить в выпадающем меню кнопки действий () в верхней части карточки. Отобразится окно подтверждения удаления.
Нажмите на кнопку Удалить. Система удалит выбранную политику и отобразит соответствующее уведомление. Удаленная политика будет исключена из списка раздела.

Вы также можете удалить сразу несколько политик. Для этого:

Перейдите в раздел Инструменты → Политики управления доступом к событиям. Система отобразит сведения об имеющихся политиках.
В левом столбце таблицы установите флажки напротив тех политик, которые вы хотите удалить.
Нажмите на кнопку на панели инструментов. Отобразится окно подтверждения удаления политик.
Нажмите на кнопку Удалить. Система удалит выбранные политики и отобразит соответствующее уведомление. Удаленные политики будут исключены из списка раздела.