Tookit gebruikerstoegangscontroles

De analyse-robottoolkit voor het testen van gebruikerscontroles is een analytics-as-a-service oplossing voor het controleren van gebruikerscontroles. Het maakt een vergelijking van gebruikerslijsten over Active Directory, HR-managementsystemen en andere software zoals SAP, Oracle en Salesforce.

De toolkit wordt geleverd als een vooraf geconfigureerde oplossing die van toepassing is op de meeste klanten. Wanneer de analyserobottoolkit is geïmplementeerd, kunt u deze bijwerken met nieuwe scripts wanneer we deze vrijgeven. U kunt de toolkit verder aanpassen door aangepaste scripts toe te voegen om de toolkit te verfijnen. De geïmporteerde gegevens kunnen worden uitgevoerd naar Resultaten- of Excelbestanden.

Opmerking

De analyserobot voor het testen van gebruikerstoegangscontroles ondersteunt het volgende niet:

  • Analytics Exchange (AX)
  • Robots cloud-agent voor productiedoeleinden
  • Aangepaste analyses en gegevensbronnen
  • Alle andere rapportages dan Excel/uitvoerresultaten

Systeem- en abonnementsvereisten

Zorg ervoor dat u aan de volgende abonnements- en systeemvereisten voldoet om de Gebruikerstoegangscontroles testen analyse-robottoolkit te kunnen gebruiken.

Voorwaarde Notities
ACL Robotics Enterprise-editie Robot toolkits zijn verkrijgbaar als add-ons

Robots-agent ter plaatse versie 15

Controleer de versie die geïnstalleerd moet worden - Unicode of Non-Unicode.
ACL voor Windows versie 15
  • Zorg ervoor dat de installatie dezelfde codering gebruikt als de Robots-agent (Unicode of Non-Unicode).
  • Het hebben van een lokale installatie van ACL voor Windows kan handig zijn voor het oplossen van problemen of voor het ontwikkelen van aangepaste scripts.
Gegevensintegratie Robot voor de brontoepassing Zorg ervoor dat de Data Integration Robot voor de brontoepassing met succes in uw organisatie is geïmplementeerd en momenteel draait.

Over de toolkit

De toolkit installeert verschillende componenten in Diligent One.

Component Telling Naam
Verzameling 2

Gebruikerscontroles testen analyse - Ontwikkelingsmodus

Gebruikerscontroles testen analyse - Ontwikkelingsmodus
Analyse

2

 Gebruikerscontroles testen analyse (één per collectie)
Robot 1 Gebruikerscontroles testen analyse
Analysetabellen 10 Voor meer informatie, zie Analytics voor gebruikerstoegangscontroles.

Gebruikerscontroles testen analyserobot

De Gebruikerscontroles testen analyserobot wordt automatische aangemaakt als de toolkit wordt geïnstalleerd. Deze robot bevat het volgende:

  • Analytische scripts - Bevat de kernscripts voor het importeren en verwerken van gegevens.

    Opmerking

    U mag de analysescripts niet wijzigen. Het wijzigen van de scripts kan leiden tot fouten tijdens het uitvoeren van taken. Eventuele vereiste wijzigingen moeten worden geconfigureerd in het Analytisch configuratiebestand van de gebruiker of worden geüpload als aangepaste analyescripts.

  • (Optioneel) Aangepaste analysescripts - Scripts die handmatig worden geüpload om nieuwe klantspecifieke analytische mogelijkheden aan de robot toe te voegen of om wijzigingen aan te brengen in de gegevenslogica. Deze scripts hebben voorrang op de standaard analysescripts en moeten grondig gecontroleerd worden.

  • Configuratiebestanden - Alle configuratiebestanden die in de volgende tabel staan, zijn beschikbaar op het tabblad Invoer/ uitvoer van de robot.

    Bestandsnaam Beschrijving Modus
    UA_Default_
    Analytic_Configuration.xlsx

    Bevat standaard configuraties

    Opmerking

    U dient dit bestand niet te wijzigen. Het wijzigen van het bestand kan leiden tot fouten tijdens het uitvoeren van taken. Eventuele vereiste wijzigingen moeten worden geconfigureerd in het Analytisch configuratiebestand van de gebruiker of worden geüpload als aangepaste analyescripts.

    		Automatisch gegenereerd door de robot
    Result_Table_IDs.csv Bevat de bestemmingen voor de tabellen die naar Resultaten worden geëxporteerd, binnen de respectievelijke Ontwikkelings- en Productieverzamelingen

    Automatisch gegenereerd door de robot
    Analytisch configuratiebestand voor de gebruiker

    Bevat aangepaste configuraties die de configuraties in het standaard analytisch configuratiebestand moeten overschrijven.

    Configuraties in dit bestand hebben voorrang op invoer in het standaard analytische configuratiebestand.

    OPMERKING: als aanpassingen de mogelijkheden van het bestand Analytisch configuratiebestand voor de gebruiker te boven gaan, kan een aangepast script worden toegevoegd.

    		Handmatig geüpload bij het implementeren van de toolkit

  • Robottaak - Voert de standaard en aangepaste scripts binnen de robot uit en bevat de volgende informatie.

    Parameter Beschrijving
    Exporteren naar HighBond-resultaten?

    Geeft aan of geïmporteerde gegevens naar Resultaten moeten worden geëxporteerd. De beschikbare opties zijn als volgt:

    • Exporteren naar resultaten - Overschrijven - De gegevens in resultatentabellen overschrijven telkens wanneer gegevens worden geëxporteerd.
    • Exporteren naar resultaten - Bijvoegen - Voegt gegevens toe aan de resultatentabellen.
    • Niet exporteren - Exporteert geen gegevens naar Resultaten.
    Exporteren naar Excel?

    Geeft aan of de huidige resultaten al dan niet naar een Excel-bestand geëxporteerd moeten worden. De beschikbare opties zijn als volgt:

    • Naar Excel exporteren
    • Niet exporteren
    Diligent One-toegangstoken

    Token nodig om verbinding te maken met de Resultaten. Als exporteren naar resultaten is uitgeschakeld, kan voor deze parameter elke willekeurige waarde worden opgegeven.

Gekoppelde tabellen

De vereiste, gedeelde tabellen van de Robots voor gegevensintegratie worden gekoppeld aan de Analyserobot toegangscontrole gebruikers op het tabblad Invoer /Uitvoer Wanneer de taak van de analyserobot wordt uitgevoerd, worden gegevens uit de gekoppelde tabellen gehaald en gebruikt om de gedefinieerde analytische kernlogica te verwerken.

Opmerking

U kunt meerdere analyserobots maken en alleen de vereiste tabellen koppelen om de robots te scheiden voor gespecialiseerde taken of een reeks taken.

Analytics voor gebruikerstoegangscontroles

Analyserobots voor het testen van gebruikerstoegangscontroles

Foutenlogboek

Alle fouten die tijdens het uitvoeren van de taak worden gedetecteerd, worden voor elke analytische taak in de foutenlogtabel gelogd. Als het aantal records 0 is, wordt er een foutbericht naar de Foutlogtabel geschreven.

Tip

Controleer het foutenlogboek nadat de taak is uitgevoerd, zelfs als de analytische taak geen uitzonderingen heeft opgeleverd, om er zeker van te zijn dat de tabel niet gemarkeerd is als tabel met 0 records. Gebruikersinvoerparameters uit het Analytisch configuratiebestand voor de gebruiker kunnen bijvoorbeeld genegeerd worden als het bestand niet juist geformatteerd is.

Wat elke analytische functie doet

Analysenaam: Beschrijving
UA01AD_No_
Expiry_Passwords

Deze analyse rapporteert Active Directory accounts met wachtwoorden die zijn ingesteld om niet te verlopen. Dergelijke accounts worden geïdentificeerd door specifieke waarden in het veld UserAccountControl. De resultaten omvatten zowel ingeschakelde als uitgeschakelde accounts.

De standaardwaarden voor het veld UserAccountControl worden als parameter in het bestand standaard analytische configuratie bewaard. Als u meer rapportagevelden toevoegt aan de analyse, kunnen de scripts voor gegevensvoorbereiding en analyse die het veld Lid doorvoeren fouten in de recordlengte genereren, vooral bij gebruik met UNICODE robotagenten.

v_no_expiry is een standaardparameter die beschikbaar is voor deze analytische analyse in het werkblad Default_Config_Params van het Analytisch configuratiebestand voor de gebruiker. Als de standaardparameter niet van toepassing is, of onvolledig is, kunt u de vereiste waarden opgeven in het Analytisch configuratiebestand voor de gebruiker. Zorg ervoor dat u de opmaak en naamgevingsconventies van het Standaard analytisch configuratiebestand volgt. U kunt een spatie-omschreven formaat gebruiken zonder aanhalingstekens rond elke individuele waarde, en de volledige tekenreeks tussen dubbele aanhalingstekens zetten.

De resultaattabel voor deze analyse is R_UA01AD_No_Expiry_Passwords.
UA02AD_Active_
Default_Accounts

Deze analyse vergelijkt een lijst van door gebruikers gedefinieerde standaardaccounts met de tabel Gebruiker in Active Directory en rapporteert de gebruikers met standaardaccounts die actief (ingeschakeld) lijken te zijn. De standaardaccounts die moeten worden geanalyseerd zijn meestal vooraf gedefinieerde accounts die zijn gekoppeld aan bevoorrechte toegang.

De datum waarop het wachtwoord voor het laatst is ingesteld en het aantal dagen sinds de laatste reset van het wachtwoord worden in de resultaten weergegeven. Alleen ingeschakelde accounts worden meegenomen in de analyse, gebaseerd op de waarde in het veld UserAccountControl.

Account_List is een standaardparameter die beschikbaar is voor deze analytische analyse in het werkblad PARAM_AD_Default_Accounts van het Analytisch configuratiebestand voor de gebruiker. Als de standaardparameter niet van toepassing is, of onvolledig is, kunt u de vereiste waarden opgeven in het Analytisch configuratiebestand voor de gebruiker. Zorg ervoor dat u de opmaak en naamgevingsconventies van het Standaard analytisch configuratiebestand volgt.

Opmerking

Het RDN -veld is ontdaan van CN= of andere voorvoegsels voor de koppeling tussen de Active Directory Gebruikerstabel en de standaardaccounts. Daarom moeten de standaardaccountnamen in de parametertabel worden opgegeven zonder de CN= of andere voorvoegsels (geef bijvoorbeeld de waarde op als Beheerder in plaats van CN=Beheerder).

De resultaattabel voor deze analyse is R_UA02_AD_Active_Default_Accounts.
UA02UNIX_Active_
Default_Accounts

Deze analyse vergelijkt een lijst van door de gebruiker gedefinieerde standaardaccounts met het veld User_Name in het bestand /etc/Passwd en rapporteert de accounts die actief (ingeschakeld) lijken te zijn. De standaardaccounts die moeten worden geanalyseerd zijn meestal vooraf gedefinieerde accounts die zijn gekoppeld aan bevoorrechte toegang.

De datum waarop het wachtwoord voor het laatst is ingesteld en het aantal dagen sinds de laatste reset worden in de resultaten weergegeven. Alleen actieve (ingeschakelde) accounts worden in de resultaten weergegeven. Inactieve (uitgeschakelde) accounts die door de analytics worden gemarkeerd, worden niet opgenomen in de resultaten.

Opmerking

Deze analyse vereist het bestand /etc/shadow. Als dit bestand niet aanwezig is in de gebruikte versie van UNIX, moet u mogelijk een aangepast analytisch script toevoegen om de status van de ingeschakelde account te testen. Een aangepast script kan nodig zijn als etc/shadow bestaat, maar de codering voor uitgeschakeld of vergrendeld wachtwoord verschilt.

Account_List is een standaardparameter die beschikbaar is voor deze analytische analyse in het werkblad PARAM_UNIX_Default_Accounts van het Analytisch configuratiebestand voor de gebruiker. Als de standaardparameter niet van toepassing is, of onvolledig is, kunt u de vereiste waarden opgeven in het Analytisch configuratiebestand voor de gebruiker. Zorg ervoor dat u de opmaak en naamgevingsconventies van het Standaard analytisch configuratiebestand volgt.

De resultaattabel voor deze analyse is R_UA02UNIX_Active_Default_Accounts.
UA03ORCL_Oracle_
AD_Mismatch

Deze analyse identificeert gevallen waarin actieve Oracle ERP-gebruikersaccounts niet kunnen worden gekoppeld aan een actieve Active Directory-gebruikersaccount. Oracle-gebruikersaccounts waarvan het e-mailadres nobody@localhost is, worden uitgesloten.

De resultaattabel voor deze analyse is R_UA03ORCL_Oracle_AD_Mismatch.
UA03SAP_SAP_AD_
Mismatch

Deze analyse identificeert gevallen waarin actieve SAP ERP-gebruikersaccounts niet kunnen worden gekoppeld aan een actieve Active Directory-gebruikersaccount. De SAP ERP Robot voor gegevensintegratie filtert de brontabel USR02 op Gebruikerstype 'A' (Dialoog) of 'C' (Communicatie).

De resultaattabel voor deze analyse is R_UA03SAP_SAP_AD_Mismatch.
UA03SF_SF_AD_
Mismatch

Deze analyse identificeert gevallen waarin actieve Salesforce CRM-gebruikersaccounts niet kunnen worden gekoppeld aan een actieve Active Directory-gebruikersaccount. Actieve Salesforce-gebruikersaccounts worden geïdentificeerd door de waarde T in het veld IsActive.

De resultaattabel voor deze analyse is R_UA03SF_SF_AD_Mismatch.
UA04AD_NonAdmin_
Bevoegdheid

Deze analyse vergelijkt de leden van kritieke Active Directory-groepen die zijn gekoppeld aan beheerdersbevoegdheden met een door de gebruiker bijgehouden parametertabel die gebruikersaccounts bevat die geautoriseerd zijn om dergelijke toegang te hebben. Leden van deze kritieke groepen die niet vermeld staan als geautoriseerde administratieve gebruikers, worden gerapporteerd in de resultaten.

Momenteel worden geneste groepen ondersteund en analyseert de analyse alleen het veld Lid in tabel Groep.

Administratieve gebruikersaccounts die in de parametertabel PARAM_AD_Auth_Admin_Users staan, worden beschouwd als geautoriseerd voor alle bevoorrechte groepen die in PARAM_AD_Critical_Groupsstaan. Het testen op toegang tot een specifieke groep wordt momenteel niet ondersteund door deze analyse.

Het importproces van Active Directory stelt een limiet in op het maximum aantal te importeren tekens. De lengte van sommige ledenlijsten kan deze tekenlimiet overschrijden en wordt mogelijk ingekort. De Error_Log tabel geeft een overzicht van de groepen waarop deze beperking van toepassing is.

Twee standaardparameters zijn beschikbaar voor deze analyse in de werkbladen PARAM_AD_Critical_Groups en PARAM_AD_Auth_Admin_Users van het Standaard analytisch configuratiebestand Als de standaardparameters niet van toepassing zijn, of onvolledig zijn, kunt u de vereiste waarden opgeven in het Standaard analytisch configuratiebestand. Zorg ervoor dat u de opmaak en naamgevingsconventies van het Standaard analytisch configuratiebestand volgt.

  • Group_List, NonAdmin_Privilege - U kunt de sAMAccountName van alle toepasselijke bevoorrechte groepen toevoegen, zelfs als ze al in de standaardtabel staan.

  • RDN - Voeg de RDN van alle geautoriseerde administratieve gebruikersaccounts toe.

De resultaattabel voor deze analyse is R_UA04AD_NonAdmin_Privilege.
UA04UNIX_NonAdmin_
Bevoegdheid

Deze analyse vergelijkt actieve UNIX-gebruikersaccounts met toegang tot kritieke beveiligingsgroepen met een door de gebruiker bijgehouden parametertabel met gebruikersaccounts die geautoriseerd zijn om dergelijke toegang te hebben. Leden van deze kritieke groepen die niet vermeld staan als geautoriseerde administratieve gebruikers, worden gerapporteerd in de resultaten.

Opmerking

De parametertabel kan fictieve gebruikersaccounts bevatten om uitzonderingen te maken wanneer het programma in de voorbeeldgegevensmodus wordt uitgevoerd. Het wordt aanbevolen om de resultaten van de standaard parametertabel te bekijken om de gegevens te controleren.

Alleen actieve (ingeschakelde) accounts worden in de resultaten weergegeven. Inactieve (uitgeschakelde) accounts die door de analyse worden gemarkeerd, worden niet opgenomen in de resultaten. Accounts waarvan de status niet bepaald kan worden, worden in de resultaten als Onbepaald weergegeven.

Twee standaardparameters zijn beschikbaar voor deze analyse in de werkbladen PARAM_UNIX_Auth_Admin_Users van het Standaard analytisch configuratiebestand. Als de standaardparameters niet van toepassing zijn, of onvolledig zijn, kunt u de vereiste waarden opgeven in het Standaard analytisch configuratiebestand. Zorg ervoor dat u de opmaak en naamgevingsconventies van het Standaard analytisch configuratiebestand volgt.

  • Source_System - U kunt dit veld leeg laten als er slechts één systeem wordt geanalyseerd.

  • Account_Group - Voeg de RDN van alle geautoriseerde administratieve gebruikersaccounts toe.

De resultaattabel voor deze analyse is R_UA04AD_NonAdmin_Privilege.
UA05AD_Multiple_
Accounts

Deze analyse rapporteert Active Directory-gebruikers met meerdere actieve accounts. Terwijl administratieve gebruikers aparte accounts kunnen hebben voor administratieve bewerkingen, kunnen gewone gebruikers niet meerdere accounts hebben. U kunt de uitvoer van deze analyse gebruiken om te controleren of onbedoelde gebruikers niet meerdere actieve accounts hebben, zoals testaccounts die zijn aangemaakt tijdens systeemimplementaties, standaard systeemaccounts of geërfde accounts.

De resultaten van deze analyse kunnen verder gebruikt worden om te controleren of administratieve gebruikers aparte actieve accounts hebben voor hun administratieve en dagelijkse werkzaamheden.

De resultaattabel voor deze analyse is R_UA05AD_Multiple_Accounts.
UA06UNIX_Root_
Bevoegdheden

Deze analyse rapporteert gebruikers met root-privileges (Supergebruiker) in een UNIX-omgeving. Het bestaat uit twee delen, gecombineerd tot één resultatentabel:

  • Voor UID -tests - Identificeert alle gebruikersnamen met een UID van 0

  • Voor GID -tests - Identificeert alle gebruikersnamen met een GID van 0

De resultaattabel voor deze analyse is R_UA06UNIX_Root_Privileges.