Arcsight ESM入门系列（八） 管理权限

编辑访问控制列表 (acl)

用户组ACL编辑器具有这些选项卡，用于查看或编辑资源，操作，用户组，事件和可排序字段集的权限：

• “资源“选项卡 - 通过检查或编辑权限列出用户组可用的所有资源;您可以添加自定义资源并编辑这些资源的权限。
• “操作”选项卡 - 列出此用户组拥有权限的操作，并允许您添加和编辑操作权限。例如，用户组可以具有启用或禁用数据监视器的权限。
• “用户组“选项卡 - 通过检查或编辑所选用户组的访问权限列出用户组;并让您添加用户组。
• “事件”选项卡 - 列出该组具有权限的事件筛选，并允许您添加或删除事件筛选权限。该用户组被允许仅查看和注释“事件”选项卡上列出的筛选中的事件。默认情况下，自定义用户组继承其父组的事件的ACL设置。如果用户组无法访问事件筛选，则行为就好像ACL编辑器中组指定的筛选是Filters / Shared / All Filters / ArcSight System / Core / No Events。
• “可排序字段集“选项卡 - 列出此用户组具有权限的可排序字段集。另请参阅第736页上的“访问控制列表”。

警告：始终记住在更改用户或资源访问权限后，让ArcSight控制台和ArcSight Command Center用户都可以注销并重新登录，以便他们可以体验这些更改。

提示：资源ACL显示显示用户和组之间的关系，以及如何为每个用户组获取权限。子组从父组继承权限。例如，请考虑以下情形。

• 以管理员身份登录的用户（属于组/ All Users / Administrators）具有读写权限，因为其位于管理员组中。
• 所有用户都具有读取权限, 因为默认情况下它们属于组/所有用户/默认用户组。
• 以分析员管理员身份登录的用户具有读取和写入权限，因为他们继承了父组（/所有用户/默认用户组）的读取权限，并获得了每个Analyzer管理员子组的读写权限。

授予或删除资源权限

警告：请确保为用户组设置适当的资源权限和事件权限。

防止用户查看资源组不一定会阻止同一用户查看这些资源上的事件数据。

具有查看特定事件权限的用户 (如此处所述, 由事件筛选确定), 即使它们对事件中反映的某些资源没有权限, 也可以查看这些特定事件的所有事件字段 (在报表、查询查看器等) 中。数据。

例如, 对资产没有读取权限的用户仍可以查看与该资产相关的事件数据, 从而能够访问该事件上下文中的事件字段 (如服务器名称、IP 地址) 中包含的数据。

作为最佳实践, 在授予对事件的权限时, 请牢记上述问题。否则, 您可能会通过您不打算为其查看的事件数据向某些用户提供资源信息的视图。

操作路径：导航器>资源>用户>用户组

授予资源权限：

1. 右键单击用户组，然后选择编辑访问控制。
2. 在ACL编辑器中，选择“资源”选项卡。

可用资源根据用户权限列出，因此每个组的资源列表不会相同。

1. 按如下所示添加或删除此用户组的资源权限。

• 要编辑当前列表中显示的资源权限，请单击目标资源旁边的（R）读取或（W）写入复选框以添加或删除该资源上的权限。

复选标记表示此用户组可以访问关联的资源。 空白复选框表示此组无权访问资源。

• 要为未在当前列表中显示的资源添加权限，请从资源选项卡顶部的资源下拉菜单中选择一个资源，然后单击添加。

显示所选资源的资源选择器对话框。 选择要为其添加权限的资源，然后单击确定。

您添加的资源在资源选项卡上列为目标，然后您可以根据需要编辑其读取/写入权限。

• 要从列表中删除资源（并删除该组的所有权限），请选择列表中的资源并单击删除。 （“删除”按钮位于“资源”选项卡的底部）。

4.在用户组ACL编辑器上单击确定以将更改保存到资源权限。

授予或删除操作权限

操作示例包括删除案例、读取和写入字段集以及部署数据监视器等。ESM 中可用的默认用户组具有自己拥有权限的一组权限, 如案例删除等。其他操作 (如数据监视器部署) 要求向用户组显式授予权限。另请参阅107页中的 "控制谁拥有部署数据监视器的权限"。

在 "自定义用户组" 下添加的任何新组都可能无法访问大多数操作。管理员可以通过对特定操作设置权限来允许或阻止用户执行操作权限。

操作路径：导航器>资源>用户

1. 选择一个组。
2. 右键单击用户组，然后选择编辑访问控制。
3. 在ACL编辑器中，选择“操作”选项卡。

列出此用户组拥有权限的操作（如果有）。

1. 添加或删除用户组权限以执行操作，如下所示。

• 要添加权限以执行未列出的操作，请单击添加。

在“权限选择器”对话框中，选择要为其添加权限的操作（根据需要展开节点），然后单击“确定”。

操作列表已更新为包含您添加的操作列表。 列出的操作是该用户组有权执行的操作。

• 要删除执行操作的权限，请选择列表中的操作，然后单击删除。 删除按钮位于操作选项卡的底部。

在用户组ACL编辑器上单击确定以保存对操作权限的更改。

授予或删除用户组权限

操作路径：导航器>资源>用户>用户组

授予编辑用户组的权限：

1. 右键单击用户组，然后选择编辑访问控制。
2. 在ACL编辑器中，选择“用户组”选项卡。

"用户组" 选项卡列出了所选组的成员检查 (读取) 或编辑 (写入) 权限的所有用户组, 并允许您添加/编辑组权限。

提示: 这是您授予或拒绝编辑其用户组权限的组成员的位置。根据您自己的用户权限的不同, 某些用户组可能会显示, 或者可能没有出现, 读/写复选框选项可能是可编辑的。

1. 如下所示添加或删除用户组的权限。

若要编辑当前列表中显示的用户组的权限, 请单击目标资源旁边的 (R) 读取或 (W) "写入" 复选框, 以添加或删除该用户组的编辑权限。复选标记表示此用户组可以编辑关联组的权限。空白复选框表示此组对其没有编辑权限。

• 要添加对当前列表中未显示的用户组的权限, 请单击 "添加"。

将显示所选资源的资源选择器对话框。选择要为其添加权限的组, 然后单击 "确定"。

您添加的用户组现在列在 "用户组" 选项卡上, 然后可以根据需要编辑其读/写权限。

• 要从列表中删除用户组 (并删除它的所有编辑权限), 请在列表中选择用户组, 然后单击 "删除"。("删除" 按钮位于 "用户组" 选项卡的底部)。

1. 在用户组 ACL 编辑器上单击 "确定" 以保存对用户组权限的更改。

授予非管理员删除用户的权限:

默认情况下, 只有管理员具有删除组中用户的权限。如果要授予管理员用户在其组中删除用户的权限 (本示例中使用的 “自定义组1”), 请首先通过编辑 ACL 编辑器中用户组的访问来提供对组的写访问权限, 如前一过程中所述, 授予编辑用户组的权限。

按照说明操作后，在用户组选项卡中验证“自定义组1”的ACL编辑器。 “自定义组1”应该出现在列表中，如下所示：

按照说明进行操作后, 请在 "用户组" 选项卡中验证 “自定义组1”的ACL 编辑器. “自定义组1”应该出现在列表中, 如下所示:

需要其他设置。其中之一是设置server.properties。另一个设置是提供对用户报表的写访问权限。这是因为删除用户还会删除他们创建的资源, 包括查询查看器、报表等。除非还授予该用户报表的 "删除" 权限, 否则无法删除该用户创建的报表。以下步骤提供有关附加设置的说明。

1. 彻底阅读 ESM 管理员指南关于管理和更改属性文件设置的主题。在server.properties文件中, 设置以下属性: user.allowmodification=true
2. 重启管理器
3. 以管理员身份登录到 ArcSight 控制台, 然后在导航器中选择 "用户" 资源。
4. 为非管理员 (“自定义组1”) 选择要在其自己的组中删除用户的组。
5. 右键单击 “自定义组1”, 然后选择 "编辑访问控制" 以显示 ACL 编辑器。
6. 在 ACL 编辑器上, 单击 "资源" 选项卡。
7. 在 "资源" 下拉菜单中选择 "报表", 然后单击 "添加" 以显示报表选择器弹出窗口。
8. 在选择器弹出菜单中, 选择 "报表/共享/个人" 下的所有用户, 然后选择属于“自定义组1”的每个用户。单击 "确定"。所有用户都显示为资源目标。
9. 单击此处, 根据需要设置读 (R) 和写 (W) 权限。
10. 单击 "应用" 或 "确定" 保存更改。

“自定义组1”的成员, 即使他们不是管理员, 现在可以登录到 ArcSight 控制台并删除他们自己组中的用户。要删除用户, 请参阅98页上的 "删除用户"。

添加或删除强制筛选

本主题介绍用于定义用户组可以查看的事件的强制筛选。默认情况下, 所有新组都无法查看任何事件。如果查看组的 ACL 编辑器上的 "事件" 选项卡, 则筛选显示为

/所有筛选/Arcsight 系统/核心/没有事件

 

将筛选添加到此选项卡后, 它们将成为用户组的强制筛选, 它将不覆盖任何事件 (将显示为禁用)。您添加的筛选可以是根据各个组的要求 ArcSight 提供的筛选或自定义筛选。

默认情况下, 管理员组的成员可以查看所有事件, 如管理员组的强制筛选所示:/所有筛选/ArcSight 系统/核心/所有事件。

先决条件：

必须先定义事件筛选，然后才能将其添加到用户组的ACL编辑器的“事件”选项卡中。

有关强制筛选的重要说明：

• ESM使用OR运算符评估强制筛选。使用OR评估针对筛选的事件尤其适用于将不同筛选应用于用户组层次或用户链接至多个用户组的情况。您应该牢记这些关系，以确定用户所看到的最终事件集合。
• 事件只需要匹配其中一个筛选, 就可以访问该事件。这意味着, 如果 ACL 编辑器的 "事件" 选项卡具有多个筛选, 则在找到第一个匹配项后, 不一定要计算所有筛选。可以考虑使用 MatchesFilter 运算符将多个筛选组合到一个筛选中, 然后将该筛选添加到用户组的 ACL 编辑器的 "事件" 选项卡中, 以确保对所有筛选进行评估。
• 活动频道启动后，使用与启动频道的用户关联的强制筛选。
• 报表和查询查看器使用强制筛选来返回和显示数据。
• 趋势和数据监视器使用创建这些资源的用户的强制筛选。
• 用户能够注释匹配任何一个强制筛选的事件。

操作路径：导航器>资源>用户>用户组

1. 右键单击用户组，然后选择编辑访问控制。

 

2. 在 ACL 编辑器中, 选择 "事件" 选项卡。

默认强制筛选列在选项卡上。

警告：请确保为用户组设置适当的资源权限和事件权限。

阻止用户查看资源组并不一定会阻止这些用户查看这些资源上的事件数据。

具有查看特定事件权限的用户 (如此处所述, 由事件筛选确定), 即使它们对事件中反映的某些资源没有权限, 也可以查看这些特定事件的所有事件字段 (在报表、查询查看器等) 中。数据。例如, 对资产没有读取权限的用户仍可以查看与该资产相关的事件数据, 从而能够访问该事件上下文中的事件字段 (如服务器名称、IP 地址) 中包含的数据。

作为最佳实践, 在授予对事件的权限时, 请牢记上述问题。否则, 您可能会通过您不打算为其查看的事件数据向某些用户提供资源信息的视图。

3. 添加或删除用户组权限以按如下方式查看事件。

• 若要添加查看由当前列表中未显示的筛选捕获的事件的权限, 请单击 "添加"。

在 "滤镜选择器" 对话框中, 为用户组可以查看的事件选择筛选, 然后单击 "确定"。例如:

将更新用户组的强制筛选列表, 以包括所添加的内容:

4. 将强制筛选添加到 "事件" 选项卡时, 将禁用默认/无事件筛选。

• 要删除强制筛选 (此用户组的事件筛选), 请在列表中选择一个筛选, 然后单击 "删除"。"删除" 按钮位于 "事件" 选项卡的底部。不能删除默认/无事件筛选。

5. 在用户组 ACL 编辑器上单击 "确定" 以保存对操作权限的更改。

对可排序字段集的权限

ArcSight 提供的可排序字段集用于管理来自所有资源的进程。为最大限度地减少对性能的影响, 您将提供两个预先编制索引的字段集, 可对其进行排序:

• All Field Sets/ArcSight System/Sortable Field Sets/ Field Set Based on ARC_E_ET Index
• All Field Sets/ArcSight System/Sortable Field Sets/ Field Set Based on ARC_E_MRT Index

这些字段集分别为事件的结束时间 (ET) 和管理器接收时间 (MRT) 编制索引。

共享资源

目的：通过移动，复制资源或将资源链接到其他资源的公共组或与其他用户共享您的资源。

操作路径：导航器>资源>资源或资源组

分享资源：

1. 拖动资源，例如，您创建的筛选或资源组，然后将其放入公用组。
2. 选择一个：

复制	创建在编辑原始资源时不受影响的资源的单独副本
链接	创建链接到原始资源的资源的副本。因此, 如果编辑链接的资源 (无论是原始文件还是副本), 都将编辑所有链接。删除链接的资源时, 可以删除选定的资源或所有链接的资源。

您还可以使用 Shift 键选择多个资源, 以及拖放或键盘复制和粘贴, 以便在另一个组中移动或链接它们。

注意: 要同时复制多个资源, 请使用 "复制和粘贴"。一次只能拖放一个资源。

控制具有部署数据监视器权限的人员

数据监视器部署通过用户访问控制列表 (acl) 进行控制。管理员可以允许或阻止用户进行数据监视部署权限。

根据与所属用户组关联的权限, 用户在其 ArcSight 控制台上可能有或可能没有可用的选项来启用 (部署) 或禁用 (未部署) 数据监视器。(请参阅255页上的 "启用或禁用数据监视器"。

管理员 (属于管理员用户组的所有用户) 具有部署和取消部署数据监视器的权限。

管理员可以通过用户资源访问控制列表 (acl) 编辑器授予权限, 以便为其他非管理员部署或禁用数据监视器, 如 "在101页上授予或删除操作权限" 中所述。与其他资源的用户权限一样, 这些都在用户组级别应用。作为管理员, 您可以授予给定组中的所有用户部署数据监视器的权限。设置用户组并将相应权限应用于这些组后, 可以将新用户添加到适当的组, 并通过将它们移入或退出不同的组来更改现有用户的访问权限。如果要允许或禁止特定用户部署数据监视器的选项, 请将用户移入或退出具有该权限的组。

注意: 关于写入和部署权限数据监视器部署是一个完全或完全的权限 (它对所有数据监视器都是苹果), 而读写权限则特定于每个数据监视器。因此, 在某些情况下, 用户可以对另一个数据监视器和读写访问进行只读访问。要部署数据监视器, 用户需要部署权限和写入权限。具有部署数据监视器权限的用户只能部署那些具有写入权限的数据监视器。(数据监视器编辑器中的字段在没有写入权限的情况下为所有用户显示为灰色。

配置数据监视器部署权限：

1. 如果需要，为要控制部署数据监视器的权限的非管理员用户设置一个或多个用户组。例如，在最简单的层面上，您可能会有一个分组和允许部署数据监视器的操作员，而另一个则是您希望通过此选项屏蔽的人员。

有关添加，删除和编辑用户和用户组的信息，请参阅第94页上的“创建或编辑用户”和第91页上的“管理用户组”。

1. 按照第101页的“授予或删除操作权限”中提供的说明授予或删除将数据监视器部署到特定组的权限。作为这些说明的一部分，您将在导航器中选择用户资源，右键单击一个组并选择编辑访问控制。
2. 在ACL编辑器中，单击操作选项卡，然后单击添加。
3. 在权限选择器上，选择权限\共享\所有权限\ ArcSight系统\数据监视器\，然后单击确定以保存设置并关闭对话框。

操作列表已更新为包含数据监视器上的部署权限。

 

要删除该组的权限，请选择该权限，然后单击删除。

1. 在ACL编辑器上单击确定以保存您的更改。

有关部署或禁用数据监视器的信息，请参阅第255页的“启用或禁用数据监视器”。

升级如何影响数据监视器部署权限

安装和部署不同版本的软件 (例如, 版本或修补程序升级) 时, 只有管理员保留部署和禁用数据监视器的权限。非管理员用户用户在数据监视器上没有部署权限, 即使这些权限是以前配置的一部分。

升级后，所有用户都可以访问已部署的数据监视器。 但是，最初，非管理员用户无权启用或禁用数据监视器，也无权访问新的数据监视器，除非管理员启用（部署）这些监视器。

要在升级后为非管理员用户重新建立数据监视器部署权限，管理员可以重新配置细粒度的权限。 他们可以重新分组用户，也可以将非管理员用户链接到具有更多权限的现有组或新组（如数据监视器部署），如第107页上的“控制谁有部署数据监视器的权限”中所述。

导入数据监视器的部署权限

如果没有数据监视器部署权限的用户导入已启用状态存档的数据监视器，则导入将成功，但数据监视器将被禁用。 导入后，除非管理员重新配置该用户的权限，否则用户没有权限部署数据监视器。

如果具有数据监视器部署权限的用户导入已在启用状态下归档的数据监视器，则导入将成功并且数据监视器会保持其已启用（已部署）设置。 导入后，此用户可以查看数据监视器并根据需要重新设置其部署状态。