Роли пользователей
Пользователи KUMA могут иметь следующие роли:
- Главный администратор – эта роль предназначена для пользователей, отвечающих за функционирование основных систем KUMA. Например, они устанавливают системные компоненты, выполняют обслуживание, работают с сервисами, создают резервные копии и добавляют пользователей в систему. Эти пользователи имеют полный доступ к KUMA.
- Администратор – эта роль предназначена для пользователей, отвечающих за функционирование систем KUMA, принадлежащих определенным тенантам.
- Аналитик – эта роль предназначена для пользователей, ответственных за настройку системы KUMA для получения и обработки событий определенного тенанта. Они также создают и настраивают правила корреляции.
- Аналитик первой линии – эта роль предназначена для пользователей, ответственных за настройку системы KUMA для получения и обработки событий определенного тенанта. Они также создают и настраивают правила корреляции. Пользователи с этой ролью обладают меньшими правами, чем аналитики.
- Оператор – эта роль предназначена для пользователей, которые сталкиваются с непосредственными угрозами безопасности определенного тенанта. Пользователь с ролью оператор посредством REST API видит ресурсы на общем тенанте.
Права пользователей
Раздел веб-интерфейса и действия
Главный администратор
Администратор
Аналитик
Аналитик первой линии
Оператор
Комментарий
Отчеты
Просматривать и изменять шаблоны и отчеты
есть
есть
есть
есть
нет
Аналитик и аналитик первой линии может:
- Просмотреть и изменить шаблоны/отчеты, которые создал сам.
- Просмотреть отчеты, которые были отправлены аналитику на почту.
- Просмотреть предустановленные шаблоны.
Формировать отчеты
есть
есть
есть
есть
нет
Аналитик может генерировать отчеты, которые создал сам и предустановленные (из шаблона и из отчета).
Аналитик не может генерировать отчеты, которые были отправлены аналитику на почту.
Выгружать сформированные отчеты
есть
есть
есть
есть
нет
Аналитик и аналитик первой линии может выгружать:
- Отчеты, которые создал сам.
- Предустановленные отчеты.
- Отчеты, которые получил по почте.
Удалять шаблоны и сформированные отчеты
есть
есть
есть
есть
нет
Аналитик и аналитик первой линии может удалить шаблоны и отчеты, которые создал сам.
Аналитик и аналитик первой линии не может удалять:
- Предустановленные шаблоны.
- Отчеты, которые пришли ему на почту.
Предустановленные шаблоны и отчеты может удалять только главный администратор.
Изменять настройки формирования отчетов
есть
есть
есть
есть
нет
Аналитик может изменять параметры формирования предустановленных отчетов и отчетов, которые создал сам.
Аналитик первой линии может изменять параметры формирования отчетов, которые создал сам.
Дублировать шаблон отчета
есть
есть
есть
есть
нет
Аналитик и аналитик первой линии может дублировать свои и предустановленные отчеты.
Получать сформированный отчет по почте
есть
есть
есть
есть
есть
Если отчет рассылается в виде ссылки, он доступен только пользователям KUMA.
Если отчет рассылается в виде вложения, он доступен всем получателям, перечисленным в списке адресов электронной почты.
Панель мониторинга
Просматривать данные на панели мониторинга и менять макеты
есть
есть
есть
есть
есть
Просматривать универсальный макет
есть
есть
есть
есть
есть
Добавлять макеты
есть
есть
есть
есть
нет
В том числе добавлять виджеты в макет.
Добавлять универсальный макет может только главный администратор.
Изменять и переименовывать макеты
есть
есть
есть
only own
нет
В том числе добавлять, изменять и удалять виджеты.
Аналитик может изменять/переименовывать предустановленные макеты и макеты, созданные своей учетной записью.
Удалять макеты
есть
есть
есть
only own
нет
Администратор тенанта может удалять макеты в доступных ему тенантах.
Аналитик может удалять макеты, созданные своей учетной записью.
Предустановленные макеты может удалять только главный администратор.
Включать и выключать режим ТВ
есть
есть
есть
есть
есть
Ресурсы → Сервисы и Ресурсы → Сервисы → Активные сервисы
Просматривать список активных сервисов
есть
есть
есть
есть
нет
Только главный администратор может просматривать и удалять пространства у хранилища.
Права доступа не зависят от выбранных в меню тенантов.
Просматривать содержимое активного листа
есть
есть
есть
есть
нет
Импортировать/экспортировать/очищать содержимое активного листа
есть
есть
есть
есть
нет
Аналитик первой линии может:
Экспортировать содержимое всех доступных ему активных листов.
Импортировать и очищать активные листы, созданных им самим.
Создавать набор ресурсов для сервисов
есть
есть
есть
нет
нет
Аналитик не может создавать хранилища.
Создавать сервис в разделе Ресурсы → Сервисы → Активные сервисы
есть
есть
нет
нет
нет
Создать сервис может только главный администратор.
Удалять сервисы
есть
есть
нет
нет
нет
Перезапускать сервисы
есть
есть
нет
нет
нет
Обновлять параметры сервисов
есть
есть
есть
нет
нет
Сбрасывать сертификаты
есть
есть
нет
нет
нет
Пользователь с ролью администратор может сбрасывать сертификаты сервисов только в доступных ему тенантах.
Ресурсы → Ресурсы
Просматривать список ресурсов
есть
есть
есть
есть
нет
Аналитики не могут просматривать список ресурсов секретов, однако эти ресурсы доступны им при создании сервисов.
Добавлять ресурсы
есть
есть
есть
есть
нет
Аналитики не могут добавлять ресурсы секретов.
Дублировать ресурсы
есть
есть
есть
есть
нет
Аналитик первой линии может дублировать не созданным им ресурс, включая набор ресурсов сервиса. При этом в копии набора ресурсов сервиса аналитик первой линии не может менять зависимые ресурсы.
Изменять ресурсы
есть
есть
есть
есть
нет
Создавать/редактировать/удалять ресурсы в общем тенанте
есть
нет
нет
нет
нет
Удалять ресурсы
есть
есть
есть
есть
нет
Аналитики не могут удалять ресурсы секретов.
Аналитики первой линии могут удалять только свои ресурсы.
Импортировать ресурсы
есть
есть
есть
нет
нет
Импортировать ресурсы в общий тенант может только главный администратор.
Просматривать репозиторий, импортировать ресурсы из репозитория
есть
есть
есть
нет
нет
Импортировать ресурсы в общий тенант может только главный администратор.
Экспортировать ресурсы
есть
есть
есть
нет
нет
В том числе ресурсы из общего тенанта.
Просматривать/редактировать черновики коллектора или коррелятора
есть
есть
есть
есть
нет
Пользователю доступны только свои черновики вне зависимости от выбранного тенанта, список черновиков формируется по принадлежности к пользователю.
Состояние источников → Список источников событий
Просматривать источники событий
есть
есть
есть
есть
есть
Изменять источники событий
есть
есть
есть
нет
нет
Удалять источники событий
есть
есть
есть
нет
нет
Состояние источников → Политики мониторинга
Просматривать политики мониторинга
есть
есть
есть
есть
есть
Создавать политики мониторинга
есть
есть
есть
нет
нет
Изменять политики мониторинга
есть
есть
есть
нет
нет
Только главный администратор может редактировать предустановленные политики мониторинга.
Удалять политики мониторинга
есть
есть
есть
нет
нет
Предустановленные политики недоступны для удаления.
Активы
Просматривать активы и категории активов
есть
есть
есть
есть
есть
Включая категории общего тенанта.
Добавлять/редактировать/удалять категории активов
есть
есть
есть
есть
нет
В рамках доступного пользователю тенанта.
Добавлять категории активов в общем тенанте
есть
нет
нет
нет
нет
В том числе редактировать и удалять категории общего тенанта.
Привязывать активы к категории активов общего тенанта
есть
есть
есть
есть
нет
Добавлять активы
есть
есть
есть
есть
нет
Изменять активы
есть
есть
есть
есть
нет
Удалять активы
есть
есть
есть
есть
нет
Импортировать активы из Kaspersky Security Center
есть
есть
есть
есть
нет
Запускать задачи на активах в Kaspersky Security Center
есть
есть
есть
есть
нет
Запускать задачи на активах Kaspersky Endpoint Detection and Response
есть
есть
есть
есть
нет
Подтверждать обновления для закрытия уязвимостей активов и соглашаться с лицензионными соглашениями
есть
есть
нет
нет
нет
Запускать задачи на активах в KEDR
есть
есть
есть
есть
нет
Редактирование пользовательских полей активов (Параметры → Активы)
есть
есть
есть
есть
нет
Алерты
Просматривать список алертов
есть
есть
есть
есть
есть
Изменять уровень важности алертов
есть
есть
есть
есть
есть
Открывать детали алертов
есть
есть
есть
есть
есть
Назначать ответственных пользователей
есть
есть
есть
есть
есть
Закрывать алерты
есть
есть
есть
есть
есть
Добавлять комментарий к алертам
есть
есть
есть
есть
есть
Привязывать событие к алертам
есть
есть
есть
есть
есть
Отвязывать событие от алертов
есть
есть
есть
есть
есть
Изменять и удалять чужие фильтры
есть
есть
нет
нет
нет
Аналитики и операторы могут изменять и удалять только свои ресурсы фильтров.
Инциденты
Просматривать список инцидентов
есть
есть
есть
есть
есть
Создавать пустые инциденты
есть
есть
есть
есть
есть
Создавать вручную инциденты из алертов
есть
есть
есть
есть
есть
Изменять уровень важности инцидентов
есть
есть
есть
есть
есть
Открывать детали инцидентов
есть
есть
есть
есть
есть
В деталях инцидента отображаются данные только тех тенантов, к которым у пользователя есть доступ.
Назначать исполнителей
есть
есть
есть
есть
есть
Закрывать инциденты
есть
есть
есть
есть
есть
Добавлять комментарии к инцидентам
есть
есть
есть
есть
есть
Привязывать алерты к инцидентам
есть
есть
есть
есть
есть
Отвязывать алерты от инцидентов
есть
есть
есть
есть
есть
Изменять и удалять чужие фильтры
есть
есть
нет
нет
нет
Аналитики и операторы могут изменять и удалять только свои ресурсы фильтров.
Экспортировать инциденты в НКЦКИ
есть
есть
есть
есть
есть
Главному администратору функция экспорта доступна всегда, для остальных пользователей экспорт доступен, если у них в профиле установлен флажок "Может взаимодействовать с НКЦКИ".
В случае иерахического развертывания KUMA взаимодействие с НКЦКИ происходит из главного узла KUMA.
Отправлять файлы в НКЦКИ
есть
есть
есть
есть
есть
Скачивать файлы, отправленные в НКЦКИ
есть
есть
есть
есть
есть
Экспортировать дополнительные данные инцидентов в НКЦКИ по запросу
есть
есть
есть
есть
есть
Отправка сообщений в НКЦКИ
есть
есть
есть
есть
есть
Просмотр сообщений от НКЦКИ
есть
есть
есть
есть
есть
Просмотр данных инцидента, экспортированного в НКЦКИ
есть
есть
есть
есть
есть
События
Просматривать список событий
есть
есть
есть
есть
есть
Выполнять поиск событий
есть
есть
есть
есть
есть
Открывать детали событий
есть
есть
есть
есть
есть
Открывать статистику
есть
есть
есть
есть
есть
Провозить ретроспективную проверку
есть
есть
есть
нет
нет
Выгружать события в TSV-файл
есть
есть
есть
есть
есть
Изменять и удалять чужие фильтры
есть
есть
нет
нет
нет
Аналитики и операторы могут изменять и удалять только свои ресурсы фильтров.
Запускать ktl-обогащение
есть
есть
есть
есть
нет
Запускать задачи на активах Kaspersky Endpoint Detection and Response в деталях событий
есть
есть
есть
есть
нет
Создавать пресеты
есть
есть
есть
есть
есть
Удалять пресеты
есть
есть
есть
есть
есть
Аналитики первой линии и операторы могут удалять только свои пресеты.
Просматривать и использовать пресеты
есть
есть
есть
есть
есть
Параметры → Пользователи
Просматривать список пользователей
есть
нет
нет
нет
нет
Добавлять пользователя
есть
нет
нет
нет
нет
Изменять пользователя
есть
нет
нет
нет
нет
Генерировать токен
есть
есть
есть
есть
есть
Каждый пользователь может сгенерировать себе токен.
Главный администратор может сгененрировать токен любому пользователю.
Изменять права доступа для токена
есть
есть
нет
нет
нет
Главный администратор может изменить права доступа для любого пользователя, администратор тенанта может изменить права доступа только себе.
Просматривать данные своего профиля
есть
есть
есть
есть
есть
Изменять данные своего профиля
есть
есть
есть
есть
есть
Роль пользователя недоступна для изменения.
Параметры → LDAP-сервер
Просматривать параметры подключения к LDAP
есть
есть
есть
есть
нет
Изменять параметры подключения к LDAP
есть
есть
нет
нет
нет
Удалять конфигурацию всего тенанта из параметров
есть
есть
нет
нет
нет
Импортировать активы
есть
есть
нет
нет
нет
Параметры → Тенанты
Раздел доступен только главному администратору.
Просматривать список тенантов
есть
нет
нет
нет
нет
Добавлять тенантов
есть
нет
нет
нет
нет
Изменять тенантов
есть
нет
нет
нет
нет
Отключать тенантов
есть
нет
нет
нет
нет
Параметры → Доменная аутентификация
Раздел доступен только главному администратору.
Просматривать параметры подключения к Active directory
есть
нет
нет
нет
нет
Изменять параметры подключения к Active directory
есть
нет
нет
нет
нет
Добавлять фильтры по ролям для тенантов
есть
нет
нет
нет
нет
Запускать задачи в Active directory
есть
есть
есть
нет
нет
Параметры → Общие
Раздел доступен только главному администратору.
Просматривать параметры подключения к SMTP
есть
нет
нет
нет
нет
Изменять параметры подключения к SMTP
есть
нет
нет
нет
нет
Параметры → Лицензия
Раздел доступен только главному администратору.
Просматривать список добавленных лицензионных ключей
есть
нет
нет
нет
нет
Добавлять лицензионные ключи
есть
нет
нет
нет
нет
Удалять лицензионные ключи
есть
нет
нет
нет
нет
Параметры → Kaspersky Security Center
Просматривать список Kaspersky Security Center-серверов, с которыми выполнена интеграция
есть
есть
есть
есть
нет
Добавлять подключения к Kaspersky Security Center
есть
есть
нет
нет
нет
Удалять подключения к Kaspersky Security Center
есть
есть
нет
нет
нет
Удалять конфигурацию всего тенанта из параметров
есть
есть
нет
нет
нет
Запускать задачи на импорт активов Kaspersky Security Center
есть
есть
нет
нет
нет
Параметры → Kaspersky Industrial CyberSecurity for Networks
Просматривать список серверов KICS for Networks, с которыми выполнена интеграция
есть
есть
нет
нет
нет
Добавлять, изменять параметры интеграции с KICS for Networks
есть
есть
нет
нет
нет
Удалznm параметры интеграции с KICS for Networks
есть
есть
нет
нет
нет
Запускать задачи на импорт активов из настройки для KICS for Networks
есть
есть
нет
нет
нет
Параметры → Kaspersky Automated Security Awareness Platform
Просматривать параметры интеграции с ASAP
есть
нет
нет
нет
нет
Изменять параметры интеграции с ASAP
есть
нет
нет
нет
нет
Просматривать сведения из ASAP в окне с данными о пользователе
есть
есть
есть
есть
есть
Назначать пользователям группу обучения ASAP
есть
есть
есть
есть
нет
Параметры → Kaspersky Endpoint Detection and Response
Просматривать параметры подключений
есть
есть
есть
есть
нет
Добавлять, редактировать и отключать подключения при влюченном режиме распределенного решения
есть
нет
нет
нет
нет
Включать режим распределенного решения
есть
нет
нет
нет
нет
Добавлять подключения при выключенном режиме распределенного решения
есть
есть
нет
нет
нет
Удалять подключения при выключенном режиме распределенного решения
есть
есть
нет
нет
нет
Удалять конфигурацию всего тенанта из параметров
есть
есть
нет
нет
нет
Параметры → Kaspersky CyberTrace
Раздел доступен только главному администратору.
Просматривать параметры интеграции с CyberTrace
есть
нет
нет
нет
нет
Изменять параметры интеграции с CyberTrace
есть
нет
нет
нет
нет
Параметры → IRP / SOAR
Раздел доступен только главному администратору.
Просматривать параметры интеграции с IRP / SOAR
есть
нет
нет
нет
нет
Изменять параметры интеграции с IRP / SOAR
есть
нет
нет
нет
нет
Параметры → Kaspersky Threat Lookup
Раздел доступен только главному администратору.
Просматривать параметры интеграции с Threat Lookup
есть
нет
нет
нет
нет
Изменять параметры интеграции с Threat Lookup
есть
нет
нет
нет
нет
Параметры → Алерты
Просматривать параметры
есть
есть
есть
есть
нет
Изменять параметры
есть
есть
есть
нет
нет
Удалять конфигурацию всего тенанта из параметров
есть
есть
есть
нет
нет
Параметры → Инциденты → Автоматическая привязка алертов к инцидентам
Просматривать параметры
есть
есть
есть
есть
нет
Изменять параметры
есть
нет
нет
нет
нет
Параметры → Инциденты → Типы инцидентов
Просматривать справочник категорий
есть
есть
есть
есть
нет
Просматривать карточки категорий
есть
есть
есть
есть
нет
Добавлять категории
есть
есть
нет
нет
нет
Изменять категории
есть
есть
нет
нет
нет
Удалять категории
есть
есть
нет
нет
нет
Параметры → НКЦКИ
Просматривать параметры
есть
нет
нет
нет
нет
Изменять параметры
есть
нет
нет
нет
нет
Параметры → Иерархия
Просматривать параметры
есть
нет
нет
нет
нет
Изменять параметры
есть
нет
нет
нет
нет
Просматривать инциденты дочернего узла
есть
есть
есть
нет
есть
Все пользователи родительского узла имеют доступ к инцидентам дочерних узлов.
Параметры → Аудит активов
Создавать, клонировать и редактировать параметры
есть
есть
есть
нет
нет
Просматривать параметры
есть
есть
есть
есть
нет
Удалять параметры
есть
есть
нет
нет
нет
Параметры → Обновление репозитория
Просматривать параметры
есть
есть
есть
нет
нет
Изменять параметры
есть
нет
нет
нет
нет
Запуск задачи обновление репозитория вручную
есть
есть
есть
нет
нет
Параметры → Активы
Добавлять, редактировать, удалять поля активов
есть
нет
нет
нет
нет
Метрики
Открывать метрики
есть
нет
нет
нет
нет
Диспетчер задач
Просматривать список своих задач
есть
есть
есть
есть
есть
Раздел и задачи не имеют привязки к тенанту. Задачи доступны только создавшему их пользователю.
Завершать свои задачи
есть
есть
есть
есть
есть
Перезапускать свои задачи
есть
есть
есть
есть
есть
Просматривать список всех задач
есть
нет
нет
нет
нет
Завершать любые задачи
есть
нет
нет
нет
нет
Перезапускать любые задачи
есть
нет
нет
нет
нет
CyberTrace
Раздел не отображается в веб-интерфейсе, если не настроена интеграция с CyberTrace в разделе Параметры → CyberTrace.
Открывать раздел
есть
нет
нет
нет
нет
Доступ к данным тенантов
Доступ к тенантам
есть
есть
есть
есть
есть
Пользователь имеет доступ к тенанту, если его название указано в блоках параметров ролей учетной записи пользователя. Уровень доступа зависит от того, в какой из ролей указан тенант.
Общий тенант
есть
есть
есть
есть
есть
Общий тенант используется для хранения общих ресурсов, которые должны быть доступны для всех тенантов.
Сервисы не могут принадлежать общему тенанту, но в них могут использоваться принадлежащие общему тенанту ресурсы. При этом такие сервисы принадлежат к своему тенанту.
События, алерты и инциденты не могут быть общими.
Права доступа к общему тенанту:
- чтение и запись – только главный администратор;
- чтение – остальные пользователи, включая пользователей с правами доступа к главному тенанту.
Главный тенант
есть
есть
есть
есть
есть
Пользователь имеет доступ к главному тенанту, если его название указано в блоках параметров ролей учетной записи пользователя. Уровень доступа зависит от того, в какой из ролей указан тенант.
Права доступа к главному тенанту не дают доступ к другим тенантам.
