セキュリティー・プロファイルから導き出されるドメイン特権

セキュリティー・プロファイルを使用して、ドメイン特権を付与し、 IBM QRadar システム全体でドメイン制限が順守されるようにすることができます。 セキュリティー・プロファイルを使用すると、ビジネス要件が突然変更になった場合でも、大きなユーザー・グループの特権を容易に管理できます。

ユーザーは、各自に割り当てられたセキュリティー・プロファイルに対して設定されたドメイン境界内のデータのみ表示することができます。 セキュリティー・プロファイルには、システムへのアクセスを制限するために評価される最初の基準の 1 つとして、ドメインが含まれています。 セキュリティー・プロファイルにドメインが割り当てられている場合、そのドメインは他のセキュリティー権限よりも優先されます。 ドメイン制限が評価された後、個々のセキュリティー・プロファイルが評価され、特定のプロファイルのネットワーク権限とログ権限が判別されます。

例えば、あるユーザーに、Domain_2 に対する特権とネットワーク 10.0.0.0/8 へのアクセス権限が付与されているとします。 このユーザーが表示できるのは、発信元が Domain_2 で、かつ 10.0.0.0/8 ネットワークからのアドレスが含まれているイベント、オフェンス、アセット、およびフローのみです。

QRadar 管理者は、すべてのドメインを表示でき、ドメインを非管理ユーザーに割り当てることができます。 特定のドメインのみに制限するユーザーには、管理特権を割り当てないでください。

セキュリティー・プロファイルを、関連付けたドメインで更新する必要があります。 ドメイン・レベルの制限は、セキュリティー・プロファイルが更新されて変更がデプロイされるまで適用されません。

セキュリティー・プロファイルにドメインを割り当てる際には、以下のタイプのドメインへのアクセス権限を付与できます。

ユーザー定義ドメイン
ドメイン管理ツールを使用して、入力ソースを基準とするドメインを作成できます。 詳しくは、 ドメインの作成を参照してください。
デフォルト・ドメイン
ユーザー定義ドメインに割り当てられていないものはすべて、自動的にデフォルト・ドメインに割り当てられます。 デフォルト・ドメインには、システム規模のイベントが含まれます。
注: デフォルト・ドメインへのアクセス権限を持つユーザーは、制限なしでシステム全体のイベントを表示できます。 デフォルト・ドメインのアクセス権限をユーザーに割り当てる前に、このアクセス権限を受け入れ可能な状態にしてください。 すべての管理者は、デフォルト・ドメインへのアクセス権限を持ちます。

共有 イベント・コレクターまたはデータ・ゲートウェイ (ドメインに明示的に割り当てられていないもの) で自動検出されたログ・ソースは、デフォルト・ドメインで自動検出されます。 これらのログ・ソースには、手操作による介入が必要です。 これらのログ・ソースを識別するには、ログ・ソース別にグループ化された検索をデフォルト・ドメイン内で定期的に実行する必要があります。

すべてのドメイン
「すべてのドメイン」へのアクセス権限を持つセキュリティー・プロファイルに割り当てられたユーザーは、システム内のすべてのアクティブ・ドメイン、デフォルト・ドメイン、およびシステム全体で以前に削除された任意のドメインを表示できます。 また、将来作成されるドメインもすべて表示できます。
重要: 異なるドメイン・プロファイルを持つセキュリティー・プロファイルにユーザーを割り当てる必要がある場合は、そのユーザー・アカウントを削除して再作成してください。

削除したドメインをセキュリティー・プロファイルに割り当てることはできません。 ユーザーに「すべてのドメイン」割り当てが設定されている場合や、そのドメインが削除前にユーザーに割り当てられていた場合、イベント、フロー、アセット、およびオフェンスのヒストリカル検索結果には削除済みドメインが返されます。 検索の実行時に、削除済みドメインを基準にフィルタリングすることはできません。

管理ユーザーは、 ドメイン管理 ウィンドウの「 概要 」タブで、セキュリティー・プロファイルに割り当てられているドメインを確認できます。

ドメイン認識環境内でのルール変更

ユーザーが属しているドメインに関係なく、「カスタム・ルールの保守」「カスタム・ルールの表示」の両方の権限を持つユーザーは、ルールの表示、変更、無効化を行うことができます。

重要: ログ・アクティビティー 機能をユーザー・ロールに追加すると、 カスタム・ルールの保守 権限と カスタム・ルールの表示 権限が自動的に付与されます。 これらの権限を持つユーザーはすべてのドメインのすべてのログ・データにアクセスでき、セキュリティー・プロファイル設定にドメイン・レベルの制限がある場合でもすべてのドメインのルールを編集できます。 ドメイン・ユーザーがログ・データへのアクセスや他のドメインでのルール変更を行えないようにするには、ユーザー・ロールを編集して、「カスタム・ルールの保守」権限と「カスタム・ルールの表示」権限を削除します。

ドメイン認識検索

カスタム検索では、ドメインを検索基準として使用できます。 どのドメインを検索対象にするかは、セキュリティー・プロファイルで制御します。

システム規模のイベントと、ユーザー定義ドメインに割り当てられていないイベントは、自動的にデフォルト・ドメインに割り当てられます。 管理者、またはデフォルト・ドメインにアクセスできるセキュリティー・プロファイルを持つユーザーは、カスタム検索を作成して、ユーザー定義ドメインに割り当てられていないイベントをすべて表示することができます。

デフォルト・ドメインの管理者は、保存済み検索を他のドメイン・ユーザーと共有できます。 ドメイン・ユーザーがこの保存済み検索を実行すると、結果はそのユーザーのドメインに限定されます。