Verwalten von Rollen

Übersicht über Rollen

Im Kontext der rollenbasierten Zugriffskontrolle (RBAC) von Tanium™ weist eine Rolle Gewährberechtigungen zu, um erlaubte Aktivitäten festzulegen, oder Ablehnungsberechtigungen, um verbotene Aktivitäten festzulegen. Sie weisen den Personas der Benutzer und Benutzergruppen Rollen zu, um zu kontrollieren, was Benutzer im Tanium-System anzeigen und tun dürfen.

Falls Sie vorhaben, Benutzer und Benutzergruppen aus einem Lightweight Directory Access Protocol(LDAP)- oder Active Directory(AD) -Server zu importieren, tun Sie dies, bevor Sie Rollen konfigurieren oder zuweisen. Einzelheiten finden Sie unter Integration mit LDAP-Servern.

Die RBAC-Implementierung von Tanium unterstützt die folgenden Rollenarten:

Erweiterte Rollen

Erweiterte Rollen gewähren oder verweigern Inhaltsset-Berechtigungen, die den Zugriff auf Sensoren, Pakete, gespeicherte Fragen und andere Arten von Inhalten steuern.

Micro Admin-Rollen

Micro Admin-Rollen gewähren oder verweigern Berechtigungen, die den Zugriff auf Systemadministrationsfunktionen des Tanium Servers steuern, wie z. B. die Seite Administration (Verwaltung) > System Status (Systemstatus) oder API-Token-Anfragen.

Modulrollen

Modulrollen gewähren Tanium-Lösungsmodul-Berechtigungen, welche den Zugriff auf Modularbeitsplätze und -funktionen kontrollieren. Modulrollen gewähren auch Berechtigungen für modulspezifische Inhaltssets. Modulrollen haben keine Ablehnungsrollen. Benutzer, die nicht über eine Rolle verfügen, die den Modulzugriff gewährt, können nicht auf den Modularbeitsplatz oder die Modulfunktionen zugreifen. Manche Modulberechtigungen aktivieren automatisch zusätzliche bereitgestellte Berechtigungen. Wenn Sie beispielsweise die Schreibberechtigung für das Patch-Modul in einer Modulrolle auswählen, stellt sie automatisch die Berechtigung zur Ausgabe dynamischer Fragen bereit.

Reservierte Rollen

Die vordefinierten reservierten Rollen weisen Berechtigungen zu, die spezielle Fähigkeiten ermöglichen, z. B. die Verwaltung von Aktionsgruppen oder die Verwendung der Seiten unter Configuration (Konfiguration) in der Tanium Console. Diese Spezialberechtigungen sind für nicht reservierte Rollen verfügbar. Zusätzlich zu den Spezialberechtigungen können reservierte Rollen über einige oder alle der Berechtigungen verfügen, die mit erweiterten, Micro Admin- und Modulrollen verbunden sind.

Die folgende Abbildung zeigt die konfigurierbaren Komponenten der verschiedenen Rollenarten und die Reihenfolge, in der Sie diese zuweisen.

Abbildung 1:  Rollenkonfigurationen

Eine Übersicht darüber, wie Rollen sich in Bezug auf andere RBAC-Konfigurationsobjekte wie z. B. Inhaltssets, Personas, Benutzer, Benutzergruppen und Computergruppen verhalten, siehe Tanium-RBAC-Implementierung und Konzepte.

Rollen weisen eine n:n-Beziehung zu Benutzern und Benutzergruppen auf. So können beispielsweise alle Benutzer von Tanium Interact die Modulrolle Interact Show (Interact anzeigen) besitzen, und jeder dieser Benutzer kann zusätzliche erweiterte Rollen besitzen, die Zugriff auf die Sensoren und Fragen gewähren, die sie in Interact verwenden. Gleichermaßen können Sie Berechtigungen für dasselbe Inhaltsset über mehrere Rollen hinweg konfigurieren, und jede Rolle kann Berechtigungen über mehrere Inhaltssets hinweg gewähren. Als bewährtes Verfahren sollten Sie bei der Konfiguration von Rollen deren Modularität und kumulative Auswirkungen auf Benutzerberechtigungen für Ihre Zwecke einsetzen. Anstatt beispielsweise eine einzelne Rolle mit allen Berechtigungen zu erstellen, die ein bestimmter Benutzer benötigt, und eine andere Rolle mit nur geringfügig unterschiedlichen Berechtigungen für einen anderen Benutzer, erstellen Sie mehrere Rollen mit weniger, aber einzigartigen Berechtigungen. Sie können dann diese minimalistischen Rollen für verschiedene Benutzer kombinieren, um dieselben effektiven Berechtigungen zu erzielen wie bei einzelnen Rollen, die über umfassende Berechtigungen verfügen. Einzelheiten finden Sie unter Effektive Rollenberechtigungen.

Rollen, die Schreibberechtigungen zuweisen, z. B. Sensor schreiben, weisen implizit Leseberechtigungen zu, z. B. Sensor lesen. Einzelheiten finden Sie unter Implizierte Rollenberechtigungen.

Benutzer übernehmen Rollen aus den Benutzergruppen, denen Sie diese Benutzer zuweisen. Einzelheiten finden Sie unter Übernommene Rollen.

Für eine bestimmte Sitzung in der Tanium Console sind für den Benutzer nur die Berechtigungen der aktuell ausgewählten Persona verfügbar, selbst wenn diesem Benutzer mehrere Personas zugewiesen sind. Einzelheiten finden Sie unter Verwalten von Personas.

Um Rollen hinzuzufügen, zu bearbeiten oder zu löschen, müssen Sie über die reservierte Administrator- oder Inhaltsset-Administratorrolle verfügen, oder über eine benutzerdefinierte Rolle mit Administrator- oder Inhaltsset-Administratorberechtigungen. Ein Inhaltsset-Administrator kann jedoch die Zuweisung von Personas oder reservierten Rollen an Benutzer und Benutzergruppen nicht verwalten.

Rollen steuern nicht den Zugriff auf Computer-Verwaltungsgruppen (siehe Verwalten von Computergruppen) oder Aktionsgruppen (siehe Verwalten von Aktionsgruppen).

Rollen gewähren und ablehnen

Sie können den Personas von einem Benutzer oder einer Benutzergruppe mehrere Gewährungs- und Ablehnungsrollen zuweisen. Im Tanium-System basieren die effektiven Berechtigungen einer Persona auf dem kumulativen Effekt aller zugewiesenen Rollen: alle Berechtigungen, die gewährt werden oder impliziert sind, abzüglich der ausdrücklich verweigerten. Einzelheiten finden Sie unter Effektive Rollenberechtigungen.

In erweiterten Rollen muss die Berechtigung und das Inhaltsset in der Ablehnungsrolle mit der Berechtigung und dem Inhaltsset in der Gewährungsrolle übereinstimmen, um die Gewährungsberechtigung effektiv zu negieren. In diesem Beispiel stimmt die Ablehnung der Berechtigung zum Schreiben des Sensors auf Inhaltsset A mit der Gewährung der Berechtigung zum Schreiben des Sensors auf Inhaltsset A überein, sodass die Gewährungsberechtigung negiert wird.

Abbildung 2:  Rollen auf Inhaltsset-Berechtigungen gewähren und ablehnen (Übereinstimmung)

Im folgenden Beispiel stimmt die Ablehnung der Berechtigung zum Schreiben des Sensors auf Inhaltsset D mit keiner Gewährungsberechtigung überein, sodass sie keine Auswirkungen auf die effektiven Berechtigungen von Erin hat.

Abbildung 3:  Rollen auf Inhaltsset-Berechtigungen gewähren und ablehnen (keine Übereinstimmung)

Wenn Sie Inhaltssets an Berechtigungen in erweiterten Rollen zuweisen, entspricht die Option Add all Content Sets that exist or will exist to the permissions (Sämtliche vorhandenen oder künftigen Inhaltssets zu den Berechtigungen hinzufügen) der Auflistung sämtlicher Inhaltssets. In diesem Fall wirkt sich die Ablehnung der Berechtigung zum Schreiben des Sensors auf Inhaltsset D aus.

Abbildung 4:  Option Add All Content Sets (Alle Inhaltssets hinzufügen)

Gewähren und Ablehnen von Micro Admin-Rollen folgen den gleichen Regeln wie erweiterte Rollen. Im folgenden Beispiel wird Erin eine Gewährungsrolle mit festgelegten Berechtigungen zugewiesen und zwei Ablehnungsrollen mit festgelegten Berechtigungen. Exakte Übereinstimmungen werden ausgenommen. Erin verfügt über alle Fähigkeiten, die durch die ihr zugewiesene Gewährungsrolle gewährt werden, abzüglich der Fähigkeiten, die in den Ablehnungsrollen festgelegt sind, die ihr zugewiesen werden.

Abbildung 5:  Rollen auf Micro Admin-Berechtigungen gewähren und ablehnen

Modulrollen haben keine Ablehnungsrollen. Sie können nur Modulzugriff gewähren. Benutzer, die keine Rolle haben, die den Modulzugriff gewährt, können nicht auf den Modularbeitsplatz oder auf die Modulfunktionalitäten zugreifen.

Implizierte Rollenberechtigungen

In den Gewährungsrollen impliziert die Schreibberechtigung die Leseberechtigung. Die erweiterte Rolle, die Erin und Grace zugewiesen ist, hat die Schreibberechtigung für die festgelegten Inhaltssets, sodass die Konfiguration die Leseberechtigung nicht angeben muss. Eine Rolle, die nur über die Erlaubnis zum Lesen des Sensors auf demselben Inhaltsset verfügt, wird für den schreibgeschützten Typ von Benutzern erstellt, wie z. B. Bob in diesem Beispiel.

Abbildung 6:  Erin und Grace haben sowohl Lese- als auch Schreibberechtigungen

Bei Ablehnungsrollen sind Berechtigungen nicht impliziert. Berechtigungen müssen ausdrücklich abgelehnt werden und müssen exakt mit der Berechtigung übereinstimmen, die in der Gewährungsrolle konfiguriert ist, um ausgenommen zu werden. Wenn beispielsweise eine Ablehnungsrolle bestätigt, dass die Berechtigung zum Schreiben des Sensors auf einem festgelegten Inhaltsset abgelehnt wird, impliziert dies nicht, dass die Berechtigung zum Lesen des Sensors abgelehnt wird. Wenn in dem folgenden Beispiel effektive Berechtigungen ausgewertet werden, stimmen die Berechtigungen für die Ablehnungsrolle nicht exakt mit Berechtigungen für die Gewährungsrolle überein, sodass keine Gewährungsberechtigungen erfüllt werden. Die Ablehnungsrolle wird nicht berücksichtigt, und Bob verfügt weiterhin über die Berechtigung zum Lesen des Sensors auf dem festgelegten Inhaltsset.

Abbildung 7:  Bob verfügt effektiv über Leseberechtigungen

Übernommene Rollen

Benutzer übernehmen die Rollenberechtigungen der Personas ihrer Benutzergruppen. Erin gehört zu der Benutzergruppe mit der Bezeichnung Davids Team, sodass sie Berechtigungen von den Personas übernimmt, die dieser Benutzergruppe zugewiesen sind. Sie besitzt auch die Berechtigungen von den Personas, die ihrer Benutzerkonfiguration zugewiesen sind. Das System setzt den Nettoeffekt durch. Im folgenden Beispiel hat Erin alle Fähigkeiten, die durch Gruppenzuordnung und benutzerspezifische Gewährungsrollen bereitgestellt werden, abzüglich der Fähigkeiten, die in jeder Ablehnungsrolle, die ihr zugewiesen wurde, festgelegt werden.

Abbildung 8:  Übernommene Rollen

Reservierte Rollen

Die vordefinierten reservierten Rollen weisen Berechtigungen für spezielle Fähigkeiten zu, z. B. die Verwendung der Seiten unter Configuration (Konfiguration) in der Tanium Console. Die Berechtigungen sind implizit, Sie können sie also nicht bearbeiten oder löschen. Die Berechtigungen sind für nicht reservierte Rollen nicht verfügbar. Zusätzlich zu den Spezialberechtigungen können reservierte Rollen über einige oder alle der Berechtigungen verfügen, die mit erweiterten, Micro Admin- und Modulrollen verbunden sind. Eine besondere Logik findet Anwendung, wenn Sie einem Benutzer oder einer Benutzergruppe sowohl eine reservierte Rolle als auch nicht reservierte Rollen zuweisen, wie in den folgenden Abschnitten beschrieben.

Reservierte Administratorrolle

Die Administratorrolle verfügt über alle Berechtigungen für alle Inhalte, Module und Verwaltungsfunktionen. Wenn Sie diese Rolle zuweisen, sind andere Gewährungsrollen überflüssig und Ablehnungsrollen [abgesehen von Deny All (Alle ablehnen)] sind unwirksam.

Abbildung 9:  Reservierte Administratorrolle

Ausnahme: Eine erweiterte Rolle mit der Berechtigung Bypass Action Approval (Aktionsfreigabe umgehen) hat keine Auswirkungen, wenn sie einem Benutzer mit der reservierten Rolle des Administrators zugewiesen wurde. Die reservierte Rolle des Administrators hat diese Berechtigung standardmäßig nicht. Aufgrund der sensiblen Natur der Umgehung der Genehmigung müssen Sie diese Berechtigung in allen Fällen ausdrücklich zuweisen.

Reservierte Inhaltsset-Administratorrolle

Die Inhaltsset-Administratorrolle gewährt eine Lese-/Schreibberechtigung für Inhaltssets und Rollenkonfigurationen, einschließlich Rollenzuweisungen innerhalb der Personas von Benutzer- und Benutzergruppen-Konfigurationen. Wenn ein Benutzer bzw. seine Persona diese Rolle besitzt, wird jede andere Gewährungsrolle ignoriert. Deny All (Alle ablehnen) ist die einzige Rolle, die Auswirkungen auf einen Benutzer mit der Inhaltsset-Administratorrolle hat.

Abbildung 10:  Reservierte Inhaltsset-Administratorrolle

Beachten Sie das Ergebnis, wenn sowohl die Rollen des Inhaltsset-Administrators als auch die des Administrators zugewiesen sind. Nur die Inhaltsset-Administratorrolle bleibt wirksam. Achten Sie darauf, dass Sie die Inhaltsset-Administratorrolle nicht Benutzern zuweisen, die andere Rollen haben müssen. Achten Sie darauf, die Inhaltsset-Administratorrolle (direkt oder durch Übernahme von der Benutzergruppe) nicht Benutzern zuzuweisen, denen die Administratorrolle zugewiesen wird.

Reservierte Inhaltsadministratorrolle

Die Inhaltsadministratorrolle gewährt die Lese- und Schreibberechtigung für alle Inhaltssets sowie Berechtigungen für die Aktionsverwaltung. Ein Benutzer mit dieser Rolle kann auch Gewährungs-Modulrollen und -Micro-Admin-Rollen besitzen. Beim Festlegen von effektiven Berechtigungen fügt das Tanium-System Gewährungs-Modulrollen hinzu, berücksichtigt Micro Admin-Rollen und ignoriert alle zusätzlichen erweiterten Rollen.

Abbildung 11:  Reservierte Inhaltsadministratorrolle

Reservierte Rolle Deny All (Alle ablehnen)

Benutzer mit der Rolle Deny All (Alle ablehnen) können auf nichts in der Tanium Core Platform zugreifen, unabhängig von jeder anderen Rolle, die Sie ihnen zuweisen, einschließlich der Administratorrolle. Im folgenden Beispiel ist die einzige Rolle, die Frank zugewiesen wurde, die Auswirkungen auf Deny All (Alle ablehnen) hat.

Abbildung 12:  Alle ablehnen

Aufgaben, die reservierte Rollen erfordern

Um die folgenden Aufgaben auszuführen, muss ein Benutzer eine reservierte Rolle besitzen, da die Aufgaben nicht mit Micro Admin-Berechtigungen verbunden sind, die Sie Micro Admin-Rollen zuweisen können.

Tabelle 1:   Aufgaben, die eine reservierte Rolle erfordern
Aufgabe Administrator Content Administrator Content Set Administrator
Content Alignment

Verwenden Sie die Seite Content Alignment (Inhaltsausrichtung), um modulspezifische Inhalte zum geeigneten Modul-Inhaltsset zu verschieben.

Häkchen    
Berechtigungen

Erstellen, ändern oder löschen Sie die Benutzerrolle oder Inhaltsset-Konfigurationen.

Häkchen   Häkchen
Rolleneinstellungen

Rolleneinstellungen in den Konfigurationen des Benutzers oder der Benutzergruppe bearbeiten.

Häkchen   Häkchen
Personas

Konfigurationen der Persona erstellen, ändern, zuweisen oder löschen.

Häkchen    
Solutions

Importieren Sie Tanium-Module, Inhaltspakete oder Aktualisierungen für die Benutzerschnittstelle der Tanium Console. Laborinhalt anzeigen und importieren.

Häkchen    
Configuration

Anzeigen oder Verwalten einer der Seiten im Bereich Configuration (Konfiguration), einschließlich der Seiten für Proxy-Einstellungen, Protokollierungsstufen, Plugins, Plugin-Zeitpläne, Sensorschwellenwert-Anzeigen, Zwischenspeicher-Infos, Tanium Client-Subnetze, Bandbreitendrosselung, Tanium-Lizenzen, Tanium-Root-Keys, Vertrauen zwischen Servern der Tanium Core Platform,LDAP -Server, SAML, API-Token und Tanium Console-Anpassungen.

Häkchen    
Fragenverlauf

Eine Frage von der Seite Question History (Fragenverlauf) laden.

Häkchen    
Interact-Kategorien

Die temporäre Kategorie Other Dashboards (Andere Übersichtsseiten) lesen und verwalten.

Häkchen Häkchen  

Effektive Rollenberechtigungen

Die effektiven Berechtigungen eines Benutzers bzw. seiner Persona basieren auf dem kumulativen Effekt aller zugewiesenen und übernommenen Rollen, einschließlich der folgenden:

  • Berechtigungen, die in Gewährungsrollen festgelegt sind, abzüglich Berechtigungen, die in Ablehnungsrollen festgelegt sind
  • Implizierte Berechtigungen in Gewährungsrollen
  • Rollen, die der , die ein Benutzer für eine Tanium Console-Sitzung auswählt, zugewiesen sind
  • Rollen, die übernommen werden von einer Persona, die Benutzergruppen zugewiesen ist, nachdem der Benutzer diese Persona für eine Sitzung in der Tanium Console auswählt

Die Konfigurationsseiten für Benutzer und Benutzergruppen enthalten einen Abschnitt Roles and Effective Permissions (Rollen und effektive Berechtigungen), der verdeutlicht, wie das Tanium-System effektive Berechtigungen ableitet.

Abbildung 13:  Effektive Berechtigungen

Bewegen Sie im Abschnitt Roles (Rollen) den Mauszeiger über die Kachel für eine übernommene Rolle, um die Benutzergruppe zu sehen, aus der sie übernommen wurde. Klicken Sie auf die Kachel, um die zugehörigen Berechtigungen im Abschnitt Permissions (Berechtigungen) zu markieren. Klicken Sie auf die Kachel All Roles (Alle Rollen), um die Berechtigungen ohne Markierung erneut anzuzeigen.

Eine erweiterte Rolle erstellen

Erweiterte Rollen gewähren oder verweigern Inhaltsset-Berechtigungen, die den Zugriff auf Sensoren, Pakete, gespeicherte Fragen und andere Inhalte steuern.

  1. Gehen Sie zu Permissions (Berechtigungen) > Roles (Rollen).
  2. Klicken Sie auf New Role (Neue Rolle), und wählen Sie dann Grant Advanced Role (Erweiterte Rolle gewähren) oder Deny Advanced Role (Erweiterte Rolle ablehnen) aus, um die Seite Role Configuration (Rollenkonfiguration) anzuzeigen.
  3. Geben Sie einen Konfigurationsnamen an.
  4. (Optional) Wählen Sie im Bereich All Content Sets Option (Option für alle Inhaltssets) die Option Add all Content Sets that exist or will exist to the permissions selected below (Sämtliche vorhandenen oder künftigen Inhaltssets zu den unten ausgewählten Berechtigungen hinzufügen) aus, um Berechtigungen für alle vorhandenen und künftigen Inhaltssets zu gewähren oder abzulehnen. Diese Option ist nützlich, wenn Sie möchten, dass ein Benutzer immer in der Lage sein wird, Sensoren zu lesen oder niemals in der Lage sein wird, Aktionen zu schreiben.
  5. Klicken Sie im Bereich Ask Dynamic Question (Dynamische Frage stellen) auf Add (Hinzufügen) +, um es Benutzern mit dieser Rolle zu ermöglichen, dynamische (Ad-hoc-) Fragen zu stellen.

    Ask Dynamic Questions (Dynamische Fragen stellen) ist eine globale Berechtigung. Wenn sie in einer beliebigen Rolle aktiviert ist, die einem Benutzer zugewiesen ist, ist der Benutzer berechtigt, dynamische Fragen zu erstellen, die jeden der Sensoren verwenden, für die er Lesezugriff hat.

  6. Klicken Sie im Bereich Advanced Permissions (Erweiterte Berechtigungen) auf Add (Hinzufügen) +, um eine Berechtigung zur Konfiguration hinzuzufügen. Siehe Tabelle 2 für Beschreibungen der Berechtigungen.
  7. Fügen Sie jeder Berechtigung Inhaltssets hinzu: Klicken Sie auf Add (Hinzufügen) in der Berechtigungskachel, wählen Sie Inhaltssets aus, und klicken Sie auf Save (Speichern).
  8. Speichern Sie die Konfiguration.
Tabelle 2:   Berechtigungen für Inhaltsset überprüfen
Berechtigung Description
Aktionsfreigabe umgehen Aktionen, die von einem Benutzer mit dieser Berechtigung erstellt wurden, unterliegen nicht den Genehmigungsanforderungen.

Keine Rolle, einschließlich der reservierten Rolle des Administrators, beinhaltet diese Berechtigung standardmäßig.

Dies ist die eine erweiterte Berechtigung, die Auswirkungen auf einen Benutzer hat, dem die reservierte Rolle des Administrators gewährt wurde.

Sensor lesen Kann Sensoren im Question Builder (Fragenersteller) und ähnlichen Benutzerschnittstellen über die gesamte Konsole anzeigen. Kann Sensoren bei Fragen verwenden, wenn der Benutzer ebenso die Möglichkeit hat, Fragen zu stellen. Kann die Seite Content (Inhalt) > Sensors (Sensoren) nicht anzeigen, es sei denn, der Benutzer verfügt ebenfalls über die Berechtigung zum Schreiben des Sensors.
Sensor schreiben Kann die Seite Content (Inhalt) > Sensors (Sensoren) anzeigen. Kann Sensorkonfigurationen erstellen, ändern und löschen. Impliziert die Berechtigungen zum Lesen des Sensors und zum Anzeigen der Vorschau.
Aktion lesen Kann die Seiten mit den Actions (Aktionen) anzeigen. Die Visibilität der Zeilen im Raster hängt von der Berechtigung zum Lesen der Aktion auf dem Inhaltsset für das zugrunde liegende Paket ab. Die Berechtigung ermöglicht es Benutzern, Paketdateien erneut herunterzuladen und Rasterzeilen in die Zwischenablage zu kopieren.

Impliziert die Berechtigung Read Own Action (Eigene Aktion lesen).

Eigene Aktion lesen Bestimmt, ob die Aktionen des angemeldeten Benutzers im Raster Actions (Aktionen) > All Pending Approval (Alle ausstehenden Genehmigungen) angezeigt werden.
Aktion schreiben Kann die Seite Actions (Aktionen) > Scheduled Actions (Geplante Aktionen) anzeigen. Benutzer können Zeilen für Aktionen sehen, die sie ausgegeben haben. Wenn ein Benutzer über die Berechtigung zum Lesen der Aktion auf dem Inhaltsset des zugrunde liegenden Pakets verfügt, kann dieser Benutzer Zeilen für Aktionen sehen, die von anderen Benutzern ausgegeben wurden.

Kann die Schaltfläche Deploy Action (Aktion bereitstellen) am Raster Question Results (Fragenergebnisse) für dynamische Fragen und gespeicherte Fragen sehen und verwenden.

Impliziert die Berechtigungen für Read Own Action (Eigene Aktion lesen), Read Package (Paket lesen) und Show Preview (Vorschau anzeigen).

Um eine Aktion bereitzustellen, zu bearbeiten oder den Aktionsstatus zu prüfen, benötigt ein Benutzer auch die Leseberechtigung für den Sensor und die Leseberechtigung für die gespeicherte Frage im reservierten Inhaltssatz. Der reservierte Inhaltssatz enthält Inhalte, die für Vorschau- und Abstimmungsfragen verwendet werden.

Aktion für gespeicherte Fragen schreiben Kann die Seite Actions (Aktionen) > Scheduled Actions (Geplante Aktionen) anzeigen, die einzigen Zeilen beziehen sich jedoch auf die Aktionen, die der Benutzer bereitgestellt hat.

Kann die Schaltfläche Deploy Action (Aktion bereitstellen) im Raster Question Results (Fragenergebnisse) sehen und verwenden, kann sie aber nur für gespeicherte Fragen verwenden, die verknüpfte Aktionen haben. Eine Berechtigung zum Lesen des Pakets ist für die verknüpften Aktionen nicht erforderlich. Wenn die gespeicherte Frage keine verknüpften Aktionen hat, wird die Schaltfläche Deploy Action (Aktion bereitstellen) nicht angezeigt.

Tipp: Verwenden Sie diese Berechtigung anstelle der Berechtigung zum Schreiben der Aktion, um die Verwendung von Aktionsbenutzern zu begrenzen, die Tanium-Produkte verwenden, um Standardarbeitsanweisungen auszuführen, die jemand anderes erstellt hat.

Filtergruppe lesen Kann die Seite Content (Inhalt) > Filter Groups (Filtergruppen) anzeigen und Filtergruppen verwenden, um Fragen, Fragenergebnisse und verschiedene Listen in der Tanium Console zu filtern.
Filtergruppe schreiben Filtergruppen-Konfigurationen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Filtergruppe.
Approve Action Kann Aktionen genehmigen, die ein anderer Benutzer erstellt hat. Benutzer mit dieser Berechtigung können ihre eigenen Aktionen nicht genehmigen.

Um die Aktionen auf den Seiten Actions (Aktionen) > Actions I  Can Approve (Aktionen, die ich genehmigen kann) und Actions (Aktionen) > All Pending Approval (Alle ausstehenden Genehmigungen) anzuzeigen, müssen Sie auch über die Berechtigung zum Lesen des Pakets und über die Berechtigung zum Lesen der eigenen Aktion verfügen.

Plugin lesen Zur späteren Verwendung reserviert.
Plugin ausführen Zur späteren Verwendung reserviert.
Paket lesen Kann Pakete im Dialog Browse Packages (Pakete auswählen) anzeigen, die von der Arbeitsablauf-Seite Deploy Action (Aktion verteilen) geöffnet wird. Kann die Seite Content (Inhalt) > Packages (Pakete) nicht anzeigen, es sei denn, der Benutzer verfügt ebenfalls über die Berechtigung zum Schreiben des Pakets.
Paket schreiben Kann die Seite Content (Inhalt) > Packages (Pakete) nicht anzeigen. Kann Paketkonfigurationen erstellen, ändern und löschen. Impliziert die Berechtigungen zum Lesen des Pakets und zum Anzeigen der Vorschau.
Gespeicherte Frage lesen Kann gespeicherte Fragen in der Rasterrecherche Question Results (Fragenergebnisse) und ähnlichen Benutzerschnittstellen anzeigen. Kann die Seite Saved Questions (Gespeicherte Fragen) in Interact anzeigen, wenn der Benutzer auch Zugriff auf den Interact-Arbeitsplatz hat. Kann die Seite Content (Inhalt) > Saved Questions (Gespeicherte Fragen) nicht anzeigen, es sei denn, der Benutzer verfügt ebenfalls über die Berechtigung zum Schreiben der gespeicherten Fragen.

Um eine gespeicherte Frage wie erwartet zu stellen, benötigt der Benutzer auch die Berechtigung zum Lesen des Sensors für den entsprechenden Sensor.

Gespeicherte Frage schreiben Kann die Seite Content (Inhalt) > Saved Questions (Gespeicherte Fragen) nicht anzeigen. Kann Konfigurationen der gespeicherten Frage erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der gespeicherten Frage.

Hinweis: Impliziert nicht die Berechtigung Ask Dynamic Questions (Dynamische Fragen stellen).

Verknüpfte Pakete lesen Keine ausdrückliche Berechtigung. Impliziert in der Berechtigung zum Schreiben der Aktion für die gespeicherte Frage.
Übersichtsseite lesen Kann die Seiten der Übersichtsseiten anzeigen, wenn der Benutzer auch über die Berechtigung zum Interact-Arbeitsplatz verfügt.

Ein Benutzer benötigt auch die Berechtigung zum Lesen der gespeicherten Frage und die Berechtigung zum Lesen des Sensors für den entsprechenden Inhalt, um die Übersichtsseite zu verwenden.

Übersichtsseite schreiben Kann Konfigurationen der Übersichtsseite erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Übersichtsseite.
Gruppe auf der Übersichtsseite lesen Kann die Seiten der Kategorien anzeigen, wenn der Benutzer auch über die Berechtigung zum Interact-Arbeitsplatz verfügt.

Ein Benutzer benötigt auch die Berechtigung zum Lesen der Übersichtsseite, zum Lesen der gespeicherten Frage und zum Lesen des Sensors für den entsprechenden Inhalt, um die Kategorie zu verwenden.

Gruppen-Übersichtsseite schreiben Kann Kategoriekonfigurationen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Kategorie.
Vorschau anzeigen Keine ausdrückliche Berechtigung. Impliziert in den Berechtigungen zum Schreiben der Aktion, zum Schreiben der Aktion für gespeicherte Frage, zum Schreiben des Pakets und zum Schreiben des Sensors. Ermöglicht es Autoren, Fragen zu stellen, die erforderlich sind, um die Auswirkungen neuer und geänderter Konfigurationen in der Vorschau zu betrachten. Um Vorschaufragen zu stellen, benötigt der Benutzer auch die Leseberechtigung für den Sensor am reservierten Inhaltssatz. Der reservierte Inhaltssatz enthält Inhalte, die für Vorschaufragen verwendet werden.

Eine Micro Admin-Rolle erstellen

Micro Admin-Rollen weisen Tanium-System-Administratorberechtigungen zu.

  1. Gehen Sie zu Permissions (Berechtigungen) > Roles (Rollen).
  2. Klicken New Role (Neue Rolle), und wählen Sie dann Grant Micro Admin Role (Micro-Administratorrolle gewähren) oder Deny Micro Admin Role (Micro-Administratorrolle ablehnen) aus, um die Seite Role Configuration (Rollenkonfiguration) anzuzeigen.
  3. Geben Sie einen Konfigurationsnamen an.
  4. Klicken Sie auf Add (Hinzufügen) +, um eine Berechtigung zur Konfiguration hinzuzufügen. Siehe Tabelle 3 für Beschreibungen der Berechtigungen.

    Einige Verwaltungsaufgaben in der Tanium Console sind nicht mit Micro Admin-Berechtigungen verbunden; nur Benutzer, die eine reservierte Rolle besitzen, können diese Aufgaben ausführen. Einzelheiten finden Sie unter Aufgaben, die reservierte Rollen erfordern.

  5. Speichern Sie die Konfiguration.
Tabelle 3:   Micro Admin-Berechtigungen
Berechtigung Description
Systemstatus lesen Kann die Seite Administration (Verwaltung) > System Status (Systemstatus) anzeigen.
Fragenverlauf lesen Kann die Seite Administration (Verwaltung) > Question History (Fragenverlauf) anzeigen. Um eine Frage für die Seite Question History (Fragenverlauf) zu laden und zu stellen, benötigt der Benutzer wohl auch die zugrunde liegenden Inhaltsberechtigungen.
Benutzer lesen Kann die Seite Administration (Verwaltung) > Users (Benutzer) und Benutzer anzeigen, die auf der Seite Administration (Verwaltung) > User Groups (Benutzergruppen) und Permissions (Berechtigungen) > Roles (Rollen) aufgeführt sind.
Benutzer schreiben Kann Benutzerkonfigurationen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen des Benutzers.
Benutzergruppe lesen Kann die Seite Administration (Verwaltung) > User Groups (Benutzergruppen) anzeigen.
Benutzergruppe schreiben Kann Benutzergruppen-Konfigurationen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Benutzergruppe.
Computergruppe lesen Kann die Seite Administration (Verwaltung) > Computer Groups (Computergruppen) und die Seite Content (Inhalt) > Filter Groups (Filtergruppen) anzeigen.
Computergruppe schreiben Kann Konfigurationen für Computer-Verwaltungsgruppen und Filtergruppen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Computergruppe.

Um Computergruppen zu erstellen, in denen die Zugehörigkeit auf einem Sensorfilter basiert, benötigt der Benutzer auch die Erlaubnis zum Lesen des Sensors auf dem reservierten Inhaltssatz. Der reservierte Inhaltssatz enthält Inhalte, die für Vorschaufragen verwendet werden. Computergruppen, bei denen die Mitgliedschaft manuell definiert ist, benötigen diese Berechtigung nicht.

Globale Einstellungen lesen Kann die Seite Administration (Verwaltung) > Global Settings (Globale Einstellungen) anzeigen.
Globale Einstellungen schreiben Kann globale Einstellungen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der globalen Einstellungen.
Auf der Whitelist verzeichnete URLs lesen Kann die Seite Administration (Verwaltung) > Whitelisted-URLs (Auf der Whitelist verzeichnete URLs) anzeigen.
Auf der Whitelist verzeichnete URLs schreiben Kann die Konfiguration der auf der Whitelist verzeichneten URLs erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der auf der Whitelist verzeichneten URLs.
Prüfung lesen Kann anzeigen:
  • Informationen zur Last Login (Letzten Anmeldung) auf der Seite Administration (Verwaltung) > Users (Benutzer)
  • Informationen zu Last Modified on (Zuletzt geändert am) auf der Seite User Details (Benutzerdetails) wählen Sie Administration (Verwaltung) > Users (Benutzer), und klicken Sie auf View User (Benutzer anzeigen))
  • Informationen zur Last Modification (Letzten Änderung) auf der Seite Administration (Verwaltung) > Global Settings (Globale Einstellungen)
Serverstatus lesen Kann die Seite https://<Tanium_Server>/info anzeigen. Einzelheiten finden Sie unter Über uns.
Token anzeigen Kann die Seite Configuration (Konfiguration) > Authentication (Authentifizierung) > API Tokens (API-Tokens) anzeigen.
Token verwenden Kann Anfragen für neue API-Tokens an den Tanium Server senden.
Token widerrufen Kann API-Tokens widerrufen, die verwendet werden, um auf den Tanium Server zuzugreifen.
Signierten Inhalt importieren Kann digital signierte Inhaltsdateien importieren.
Aktionsgruppe lesen Kann bestimmte Aktionsgruppen auf der Seite Actions (Aktionen) > Scheduled Actions (Geplante Aktionen) anzeigen.
Aktionsgruppe schreiben Kann Aktionsgruppen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Aktionsgruppe.

Eine Modulrolle erstellen

Modulrollen gewähren Tanium-Lösungsmodul-Berechtigungen, welche den Zugriff auf Modularbeitsplätze und -funktionen kontrollieren. Modulrollen gewähren auch Berechtigungen für modulspezifische Inhaltssets. Modulrollen haben keine Ablehnungsrollen. Benutzer, die nicht über eine Rolle verfügen, die den Modulzugriff gewährt, können nicht auf den Modularbeitsplatz oder die Modulfunktionen zugreifen. Einige Modulberechtigungen aktivieren bereitgestellte Berechtigungen, die eine Rollenkonfiguration automatisch einschließt, wenn Sie Modulberechtigungen auswählen. Wenn Sie beispielsweise die Schreibberechtigung für das Patch-Modul auswählen, schließt die Rolle automatisch die Berechtigung zur Ausgabe dynamischer Fragen mit ein.

Informationen zu modulspezifischen Rollen finden Sie im Benutzerhandbuch des Moduls.

Module Link
Asset Benutzerhandbuch
Client Management Benutzerhandbuch
Comply Benutzerhandbuch
Connect Benutzerhandbuch
Deploy Benutzerhandbuch
Detect Benutzerhandbuch
Direct Connect Benutzerhandbuch
Discover Benutzerhandbuch
Endbenutzerbenachrichtigung Benutzerhandbuch
Gesundheitsüberprüfung Benutzerhandbuch
IR Benutzerhandbuch
Integrity Monitor Benutzerhandbuch
Interact Benutzerhandbuch
Map Benutzerhandbuch
Netzwerkquarantäne Benutzerhandbuch
Patch Benutzerhandbuch
Performance Benutzerhandbuch
Protect Benutzerhandbuch
Reputation Benutzerhandbuch
Reveal Benutzerhandbuch
Threat Response Benutzerhandbuch
Trace Benutzerhandbuch
Trends Benutzerhandbuch

Führen Sie die folgenden Schritte aus, um eine Modulrolle zu erstellen:

  1. Gehen Sie zu Permissions (Berechtigungen) > Roles (Rollen).
  2. Klicken Sie auf New Role (Neue Rolle), und wählen Sie dann Grant Module Role (Modulrolle gewähren) aus, um die Seite Role Configuration (Rollenkonfiguration) anzuzeigen.
  3. Geben Sie unter Name einen Namen an, der die Aktion identifiziert.
  4. (Optional) Wählen Sie im Bereich All Content Sets Option (Option für alle Inhaltssets) die Option Add all Content Sets that exist or will exist to the permissions selected below (Sämtliche vorhandenen oder künftigen Inhaltssets zu den unten ausgewählten Berechtigungen hinzufügen) aus, um Berechtigungen für alle vorhandenen und künftigen Inhaltssets zu gewähren, die dem Modul zugeordnet sind. Diese Option wird nur für benutzerdefinierte Module mit modulspezifischen Inhalten angezeigt.
  5. Klicken Sie im Bereich Module Permissions (Modulberechtigungen) auf Add (Hinzufügen) +, um ein Modul zur Konfiguration hinzuzufügen.
  6. Klicken Sie auf Edit (Bearbeiten), um die Auswahlbox für Berechtigungen für das Modul zu öffnen.
  7. Wählen Sie Berechtigungen aus, und klicken Sie auf Save (Speichern), um die Auswahlbox zu schließen.
  8. Wenn diese Rolle für ein benutzerspezifisches Modul gedacht ist, das modulspezifische Inhalte enthält, fügen Sie jeder Berechtigung Inhaltssets hinzu: Klicken Sie auf Add (Hinzufügen) in der Berechtigungskachel, wählen Sie Inhaltssets aus, und klicken Sie auf Save (Speichern). Überspringen Sie diesen Schritt, wenn Sie Add all Content Sets that exist or will exist to the permissions selected below (Sämtliche vorhandenen oder künftigen Inhaltssets zu den unten ausgewählten Berechtigungen hinzufügen) ausgewählt haben.
  9. Speichern Sie die Konfiguration.

Benutzern und Benutzergruppen eine Rolle zuweisen

Sie können Benutzer und Benutzergruppen an die Rollen in der Rollenkonfiguration (wie folgt) oder in den Benutzer- und Benutzergruppen-Konfigurationen zuweisen.

  1. Gehen Sie zu Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie eine Rolle aus, und klicken Sie auf Edit (Bearbeiten), um die Seite für die Rollenkonfiguration anzuzeigen.
  3. Klicken Sie auf Edit User Assignment (Benutzerzuordnung bearbeiten), um die Seite Assign Users and User Groups (Benutzer und Benutzergruppen zuweisen) anzuzeigen.
  4. Klicken Sie neben User Groups (Benutzergruppen) auf Edit (Bearbeiten). Wählen Sie Gruppen aus, und klicken Sie auf Save (Speichern), um die Auswahlbox zu schließen.
  5. Klicken Sie neben Users (Benutzer) auf Edit (Bearbeiten). Wählen Sie Benutzer aus, und klicken Sie auf Save (Speichern), um die Auswahlbox zu schließen.
  6. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren), um die Auswirkungen Ihrer Änderungen zu überprüfen. Überprüfen Sie die effektiven Berechtigungen und speichern Sie die Konfiguration.
  7. Speichern Sie Ihre Änderungen.

Eine Rolle klonen

Um eine Rolle hinzuzufügen, die viele Einstellungen mit einer vorhandenen Rolle gemeinsam hat, ist das Klonen der bestehenden Rolle häufig eine schnellere Möglichkeit, als eine neue Rolle zu konfigurieren. Bitte beachten Sie, dass Sie dem Klon weiterhin Benutzer und Benutzergruppen zuweisen müssen, und geben Sie optional eine Beschreibung ein; der Klon übernimmt diese Einstellungen nicht aus der ursprünglichen Rolle. Sie können jede Rolle klonen, außer die reservierten Rollen.

  1. Gehen Sie zu Permissions (Berechtigungen) > Roles (Rollen), wählen Sie eine Rolle aus, und klicken Sie auf Clone (Klonen).
  2. Geben Sie einen Namen ein, um die Rolle zu identifizieren, aktualisieren Sie die Berechtigungen nach Bedarf, und speichern Sie Ihre Änderungen.
  3. Benutzer und Benutzergruppen der Rolle zuweisen (siehe Benutzern und Benutzergruppen eine Rolle zuweisen).

Rollen exportieren und importieren

Das Exportieren und Importieren von Rollen ist nützlich, wenn Sie die Rollen zwischen den einzelnen Tanium-Bereitstellungen kopieren müssen. Sie können beispielsweise Rollen in eine Laborbereitstellung zum Testen exportieren, bevor Sie die Rollen in einer Produktionsbereitstellung verwenden.

Alle Rollen exportieren

  1. Klicken Sie auf jeder Seite unter Content (Inhalt) oder Permissions (Berechtigungen) auf Export Content (Inhalt exportieren) rechts oben in der Tanium Console.
  2. Wählen Sie Content Sets and Roles (Inhaltssets und Rollen) aus, wählen Sie dann das Export Format (Exportformat) (JSON oder XML) aus, und klicken Sie auf Export (Exportieren).
  3. Geben Sie einen File Name (Dateinamen) ein oder verwenden Sie den Standardnamen, und klicken Sie dann auf OK. Der Tanium Server exportiert die Inhaltsdatei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Eine oder mehrere Rollen exportieren

  1. Gehen Sie zu Permissions (Berechtigungen) > Roles (Rollen), wählen Sie eine oder mehrere Rollen aus, und klicken Sie auf Export (Exportieren).
  2. Geben Sie einen File Name (Dateinamen) ein oder verwenden Sie den Standardnamen, und klicken Sie dann auf OK. Der Tanium Server exportiert die Inhaltsdatei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Rollen importieren

Sie können Dateien importieren, die im JSON- oder XML-Format vorliegen.

  1. Signieren Sie die Inhaltsdatei digital und stellen Sie sicher, dass ein öffentlicher Schlüssel vorhanden ist, um die Signatur zu validieren, wie unter Authentifizieren von Inhaltsdateien beschrieben.
  2. Gehen Sie zur Seite Content (Inhalt) oder Permissions (Berechtigungen), und klicken Sie auf Import Content (Aus Inhalt importieren) rechts oben auf der Seite.
  3. Klicken Sie auf Choose File (Datei auswählen), suchen Sie die Konfigurationsdatei, und klicken Sie auf Open (Öffnen).
  4. Klicken Sie auf Import (Importieren). Wenn Objektnamen in der Datei identisch sind wie bei bestehenden Objekten, stellt die Tanium Console die Konflikte fest und bietet Lösungsoptionen für jeden einzelnen.
  5. Wählen Sie Lösungen für mögliche Konflikte aus. Anleitungen finden Sie unter Conflicts (Konflikte) und Best Practices (Beste Praktiken), oder wenden Sie sich an Ihren technischen Account Manager.
  6. Klicken Sie noch einmal auf Import (Importieren) und dann auf Close (Schließen), wenn der Import abgeschlossen ist.

Eine Rolle löschen

Wenn Sie eine Rollenkonfiguration löschen, wird die Rolle aus allen Benutzer- und Benutzergruppen-Konfigurationen entfernt, die sie enthalten hatten. Beim Löschen einer Rollenkonfiguration empfehlen wir:

  1. Löschen Sie die Benutzer- und Benutzergruppenzuordnungen aus der Rollenkonfiguration.
  2. Gehen Sie zur Seite Effective Permissions (Effektive Berechtigungen) für Ihre Benutzer und überprüfen Sie die Auswirkungen, die sich aus den effektiven Berechtigungen der Benutzer ergeben.
  3. Löschen Sie die Rollenkonfiguration.