Политики управления доступом к событиям
Данный раздел описывает процесс настройки политик доступа пользователей к событиям в хранилищах на основе их ролей. Работа осуществляется в разделе Инструменты → Политики управления доступом к событиям веб-интерфейса системы.
| Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор. |
О политиках управления доступом к событиям
Политика управления доступом к событиям — это правило, на основе которого пользователи, имеющие заданные роли, будут иметь доступ только к определенным событиям в хранилище. Правило формулируется как условие фильтрации на языке RQL, которое будет неявно добавляться в секцию WHERE поисковых запросов пользователей.
Составление условия фильтрации из правил
Политики, распространяющиеся на роли текущего пользователя, добавляются к запросу согласно следующей логике:
-
Правила внутри одной политики соединяются оператором
OR. -
Политики соединяются между собой оператором
AND. -
Все политики соединяются с запросом оператором
AND.
Рассмотрим следующий пример:
-
Пользователь ввел следующий запрос в разделе Поиск:
dvendor = 'Linux' -
Первая политика задает для этого пользователя следующие правила доступа:
dproduct = 'R-Vision' at = 'Endpoint' -
Вторая политика задает следующее правило доступа:
app = 'HTTPS'
Запрос, отображаемый в строке поиска, и запрос, который будет в действительности выполнен, соответствуют друг другу следующим образом:
| Запрос в строке поиска | Запрос, который будет выполнен |
|---|---|
|
|
Интерфейс раздела
Панель инструментов раздела включает следующие компоненты:
-
Кнопка Создать (
) позволяет создать новую политику. -
Кнопка Удалить (
) позволяет удалить выбранные политики. -
Поле Поиск предназначено для быстрого поиска политик в отображаемом списке по названию.
-
Кнопка Фильтр (
) позволяет открыть в правой части рабочей области панель для настройки фильтрации списка политик.
В рабочей области отображается таблица существующих политик. Таблица содержит следующие столбцы:
-
Название — название политики, используемое для ее идентификации.
-
Роли — список ролей, на которые распространяется политика.
-
Описание — краткое описание политики.
-
Хранилища — список хранилищ событий, на которые распространяется политика.
-
Дата создания — дата и время создания политики.
-
Дата изменения — дата и время последнего изменения политики.
При работе с таблицей политик доступны следующие операции:
-
Поиск политик по полю Название.
-
Фильтрация политик по полям Роли и Хранилища. Роли и хранилища выбираются из выпадающих списков.
-
Сортировка политик по полям Название, Описание, Дата создания, Дата изменения.
-
Настройка отображения таблицы политик.
При выборе конкретной политики в правой части рабочей области отображается ее карточка с детальной информацией.
Работа с политикой управления доступом к событиям
Доступные операции над политикой:
Создание политики управления доступом к событиям
Чтобы создать политику:
-
Перейдите в раздел Инструменты → Политики управления доступом к событиям. Система отобразит сведения об имеющихся политиках.
-
Нажмите на кнопку Создать (
). Отобразится окно создания политики. -
Введите название политики.
-
При необходимости укажите описание политики.
-
В поле Роль выберите роли, на которые будет распространяться политика.
-
Добавьте правила доступа к хранилищам событий.
Чтобы добавить правило:
-
Нажмите на кнопку Добавить правило. Отобразится панель настроек нового правила.
По умолчанию в окне уже отображается панель настройки для первого правила. -
В поле Хранилище выберите хранилища событий, на которые будет распространяться правило.
-
В поле Правило введите условие на языке RQL, которое будет неявно добавляться к поисковым запросам пользователей.
Например, чтобы разрешить пользователям просматривать только события, поступившие с устройств на ОС Linux из определенной подсети, вы можете задать следующее правило:
dvendor = 'Linux' AND sourceIP IN '203.0.113.0/24'
Чтобы удалить заданное правило, нажмите на кнопку
в правом верхнем углу его панели настроек. -
-
Нажмите на кнопку Создать. Система создаст политику и отобразит уведомление об успешном создании. Новая политика появится в списке раздела Инструменты → Политики управления доступом к событиям.
Просмотр политики управления доступом к событиям
Чтобы просмотреть политику:
-
Перейдите в раздел Инструменты → Политики управления доступом к событиям. Система отобразит сведения об имеющихся политиках.
-
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
В верхней части карточки отображается название политики. Справа от названия расположена кнопка 
, при нажатии на которую открывается выпадающее меню с действиями, доступными для выбранной политики.
Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу карточки в нужном направлении.
Карточка отображает следующую информацию о политике:
-
ID — уникальный идентификационный код политики.
-
Название — системное имя политики, используемое для ее идентификации.
-
Описание — краткое описание политики.
-
ID тенанта — идентификатор тенанта, в котором была создана политика.
-
Роли — список ролей, на которые распространяется политика.
-
Дата создания — дата и время создания политики.
-
Создал — пользователь, инициировавший создание политики.
-
Дата изменения — дата и время последнего изменения политики.
-
Изменил — пользователь, выполнивший последнее изменение политики.
-
Правила доступа — список правил, созданных в рамках политики. Для каждого правила указываются хранилища событий, на которые оно распространяется, и условие фильтрации на языке RQL.
Изменение политики управления доступом к событиям
Вы можете изменить политику управления доступом к событиям следующими способами:
Удаление политики управления доступом к событиям
Вы можете удалить политику управления доступом к событиям следующими способами:
-
через массовое удаление политик.
Была ли полезна эта страница?
