Kit de ferramentas controles de acesso de usuário

O kit de ferramentas do robô Análise de teste de controles de acesso de usuário é uma solução de análise como serviço para o monitoramento de controles de acesso de usuários. Ele compara listas de usuários no Active Directory, em sistemas de gerenciamento de RH e outros aplicativos, como SAP, Oracle e Salesforce.

O kit de ferramentas vem como uma solução pré-configurada aplicável à maioria dos clientes. Depois de implantado, você pode atualizar o kit de ferramentas do robô de análise com novos scripts à medida que os liberamos. Você pode personalizá-lo ainda mais adicionando scripts personalizados para refinar o kit de ferramentas. Os dados importados podem ser enviados para o Resultados ou arquivos do Excel.

Observação

O robô User Access Controls Testing Analysis não é compatível com:

  • Analytics Exchange (AX)
  • Agente em nuvem do Robôs para fins de produção
  • Análises e origens de dados personalizadas
  • Qualquer relatório, exceto os gerados pelo Excel/Resultados

Requisitos de sistema e assinatura

Para usar o kit de ferramentas do robô User Access Controls Testing Analysis, você precisa cumprir os requisitos de assinatura e sistema a seguir.

Requisitos Notas
ACL Robotics Enterprise Os kits de ferramentas do robô estão disponíveis como complementos

Agente do Robôs local versão 15

Verifique a versão a ser instalada, Unicode ou não Unicode
ACL para Windows Versão 15
  • Verifique se a instalação usa a mesma codificação que o Agente do Robôs (Unicode ou não Unicode).
  • Uma instalação local do ACL para Windows pode ser útil para fins de resolução de problemas ou desenvolvimento de scripts personalizados.
Robô Data Integration para o aplicativo de origem Verifique se o robô Data Integration para o aplicativo de origem foi implantado corretamente na organização e está em execução.

Sobre o kit de ferramentas

O kit de ferramentas instala vários componentes no Diligent One.

Componente Contagem Nome
Coleção 2

User Access Controls Testing Analysis - Modo de desenvolvimento

User Access Controls Testing Analysis - Modo de produção
Análise

2

 User Access Controls Testing Analysis (um por coleção)
Robô 1 User Access Controls Testing Analysis
Tabelas de análises 10 Para obter mais informações, consulte Análises para o User Access Controls Testing.

Robô User Access Controls Testing Analysis

O robô User Access Controls Testing Analysis é criado automaticamente durante a instalação do kit de ferramentas. Esse robô contém:

  • Analytic scripts (Scripts de análise) - Contém os scripts principais para importar e processar dados.

    Observação

    Você não deve modificar os scripts de análise. A modificação desses scripts pode resultar em falhas durante a execução de tarefas. Qualquer modificação necessária deve ser configurada no User Analytic Configuration File (Arquivo de configuração de análise do usuário) ou carregada como scripts de análise personalizados.

  • (Opcional) Custom analytic scripts (Scripts de análise personalizados) - Scripts carregados manualmente para adicionar recursos de análise específicos do cliente ao robô ou alterar a lógica de dados. Esses scripts têm precedência sobre os scripts de análise padrão e devem ser inteiramente revisados.

  • Configuration files (Arquivos de configuração) - Todos os arquivos de configuração listados na tabela a seguir estão disponíveis na guia Entrada/Saída do robô.

    Nome do Arquivo Descrição Modo
    UA_Default_
    Analytic_Configuration.xlsx

    Contém configurações padrão

    Observação

    Você não deve modificar esse arquivo. A modificação desse arquivo pode resultar em falhas durante a execução de tarefas. Qualquer modificação necessária deve ser configurada no User Analytic Configuration File (Arquivo de configuração de análise do usuário) ou carregada como scripts de análise personalizados.

    		 Gerado automaticamente pelo robô
    Result_Table_IDs.csv Contém os destinos das tabelas exportadas para o Resultados, com as respectivas coleções de desenvolvimento e produção.

    Gerado automaticamente pelo robô
    User Analytic Configuration File (Arquivo de configuração de análise do usuário)

    Contém configurações personalizadas que devem substituir as configurações fornecidas no arquivo de configuração de análise padrão.

    As configurações nesse arquivo têm precedência sobre as entradas no arquivo de configuração de análise padrão.

    NOTA: se as personalizações excederem os recursos do User Analytic Configuration File (Arquivo de configuração de análise do usuário), um script personalizado poderá ser adicionado.

    		 Carregado manualmente na implementação do kit de ferramentas

  • Robot task (Tarefa do robô) - Executa os scripts padrão e personalizados no robô e contém as informações a seguir.

    Parâmetro Descrição
    Export to HighBond Results? (Exportar para o Resultados do HighBond?)

    Especifica se os dados importados devem ser exportados para o Resultados. As opções disponíveis são as seguintes:

    • Export to Results - Overwrite (Exportar para o Resultados - Sobrescrever) - Sobrescreve os dados nas tabelas de resultados a cada exportação de dados.
    • Export to Results - Append (Exportar para o Resultados - Anexar) - Anexa os dados às tabelas de resultados.
    • Do not export (Não exportar) - Não exporta os dados para o Resultados.
    Export to Excel? (Exportar para o Excel?)

    Especifica se os resultados atuais devem ser exportados para um arquivo Excel. As opções disponíveis são as seguintes:

    • Export to Excel (Exportar para o Excel)
    • Do not export (Não exportar)
    Token de acesso da Diligent One

    Token necessário para conexão com o Resultados. Se a exportação para os Resultados for desativada, qualquer valor aleatório poderá ser fornecido para esse parâmetro.

Tabelas vinculadas

As tabelas necessárias compartilhadas dos robôs Data Integration são vinculadas ao robô User Access Controls Testing Analysis na guia Entrada/Saída. Quando a tarefa do robô de análise é executada, extrai dados das tabelas vinculadas e os usa para processar a lógica de análise principal definida.

Observação

Você pode criar vários robôs de análise e vincular apenas as tabelas necessárias a fim de segregar robôs para tarefas ou conjuntos de tarefas especializados.

Análises para o User Access Controls Testing

As análises para o kit de ferramentas do User Access Controls Testing estão listadas na tabela abaixo.

Registro de erros

Todos os erros detectados durante a execução de tarefas são registrados na tabela Error Log para cada análise. Se a contagem de registros for 0, será gravada uma mensagem de erro na tabela Error Log.

Dica

Analise o registro de erros após a execução da tarefa, mesmo que a análise não retorne nenhum erro, para garantir que a tabela não foi sinalizada como tendo 0 registros. Por exemplo, os parâmetros de entrada do usuário do User Analytic Configuration File (Arquivo de configuração de análise do usuário) podem ser ignorados se o arquivo não estiver formatado adequadamente.

O que cada análise faz

Nome da análise Descrição
UA01AD_No_
Expiry_Passwords

Esta análise relata as contas do Active Directory com senhas que foram definidas para não expirar. Essas contas são identificadas por valores específicos no campo UserAccountControl. Os resultados incluem contas ativadas e desativadas.

Os valores padrão para o campo UserAccountControl são mantidos como um parâmetro no Default Analytic Configuration File (Arquivo de configuração de análise padrão). Se você adicionar mais campos de relatório à análise, os scripts de preparação de dados e análises que propagam o campo Member podem gerar erros de comprimento de registro, particularmente quando usados com agentes de robôs UNICODE.

v_no_expiry é um parâmetro padrão disponível para esta análise na planilha Default_Config_Params do Default Analytic Configuration File (Arquivo de configuração de análise padrão). Se o parâmetro padrão não se aplicar ou estiver incompleto, você poderá declarar os valores obrigatórios no User Analytic Configuration File (Arquivo de configuração de análise do usuário). Assegure a conformidade com as convenções de formato e nomenclatura atuais do Default Analytic Configuration File (Arquivo de configuração de análise padrão). Você pode usar um formato delimitado por espaços sem colocar cada valor individual entre aspas e colocar toda a cadeia entre aspas duplas.

A tabela de resultados desta análise é R_UA01AD_No_Expiry_Passwords.
UA02AD_Active_
Default_Accounts

Esta análise corresponde uma lista de contas padrão definidas pelo usuário à tabela User no Active Directory e relata os usuários com contas padrão que aparentam estar ativas (habilitadas). As contas padrão a serem analisadas costumam ser contas predefinidas associadas a acessos privilegiados.

A data da última definição de senha e o número de dias desde a última redefinição de senha são mostrados nos resultados. Somente contas ativadas são incluídas na análise, com base no valor do campo UserAccountControl.

Account_List é um parâmetro padrão disponível para esta análise na planilha PARAM_AD_Default_Accounts do Default Analytic Configuration File (Arquivo de configuração de análise padrão). Se o parâmetro padrão não se aplicar ou estiver incompleto, você poderá declarar os valores obrigatórios no User Analytic Configuration File (Arquivo de configuração de análise do usuário). Assegure a conformidade com as convenções de formato e nomenclatura atuais do Default Analytic Configuration File (Arquivo de configuração de análise padrão).

Observação

CN= ou outros prefixos são eliminados do campo RDN antes da associação entre a tabela User do Active Directory e as contas padrão. Portanto, os nomes de contas padrão na tabela de parâmetros devem ser fornecidos sem CN= ou outros prefixos (por exemplo, forneça o valor como Administrator em vez de CN=Administrator).

A tabela de resultados desta análise é R_UA02_AD_Active_Default_Accounts.
UA02UNIX_Active_
Default_Accounts

Esta análise corresponde uma lista de contas padrão definidas pelo usuário ao campo User_Name no arquivo /etc/Passwd e relata as contas que aparentam estar ativas (habilitadas). As contas padrão a serem analisadas costumam ser contas predefinidas associadas a acessos privilegiados.

A data da última definição de senha e o número de dias desde a última redefinição são mostrados nos resultados. Somente contas ativas (habilitadas) são relatadas nos resultados. Todas as contas inativas (desabilitadas) sinalizadas pela análise são excluídas nos resultados.

Observação

Esta análise exige o arquivo /etc/shadow. Se este arquivo não está presente na versão do UNIX sendo utilizada, pode ser necessário adicionar um script de análise personalizado para testar o status da conta ativada. Um script personalizado poderá ser necessário se etc/shadow existir, mas sua codificação para senhas desativadas ou bloqueadas for diferente.

Account_List é um parâmetro padrão disponível para esta análise na planilha PARAM_UNIX_Default_Accounts do Default Analytic Configuration File (Arquivo de configuração de análise padrão). Se o parâmetro padrão não se aplicar ou estiver incompleto, você poderá declarar os valores obrigatórios no User Analytic Configuration File (Arquivo de configuração de análise do usuário). Assegure a conformidade com as convenções de formato e nomenclatura atuais do Default Analytic Configuration File (Arquivo de configuração de análise padrão).

A tabela de resultados desta análise é R_UA02UNIX_Active_Default_Accounts.
UA03ORCL_Oracle_
AD_Mismatch

Esta análise identifica instâncias em que contas de usuário ativas do Oracle ERP não podem ser correspondidas a uma conta de usuário ativa do Active Directory. Ela exclui contas de usuários do Oracle em que o endereço de e-mail é nobody@localhost.

A tabela de resultados desta análise é R_UA03ORCL_Oracle_AD_Mismatch.
UA03SAP_SAP_AD_
Mismatch

Esta análise identifica instâncias em que contas de usuário ativas do SAP ERP não podem ser correspondidas a uma conta de usuário ativa do Active Directory. O robô SAP ERP Data Integration filtra a tabela de origem USR02 por User Type "A" (diálogo) ou "C" (comunicação).

A tabela de resultados desta análise é R_UA03SAP_SAP_AD_Mismatch.
UA03SF_SF_AD_
Mismatch

Esta análise identifica instâncias em que contas de usuário ativas do Salesforce CRM não podem ser correspondidas a uma conta de usuário ativa do Active Directory. As contas de usuário ativas do Salesforce são identificadas pelo valor T no campo IsActive.

A tabela de resultados desta análise é R_UA03SF_SF_AD_Mismatch.
UA04AD_NonAdmin_
Privilégio

Esta análise compara os membros de grupos cruciais do Active Directory associados a privilégios administrativos com uma tabela de parâmetros mantida pelo usuário que contém contas de usuário autorizadas a ter esse acesso. Os membros desses grupos cruciais que não estão listados como usuários administrativos autorizados são relatados nos resultados.

No momento, grupos aninhados são permitidos e a análise analisa apenas o campo Member na tabela Group.

As contas de usuários administrativos listadas na tabela de parâmetros PARAM_AD_Auth_Admin_Users são consideradas autorizadas para todos os grupos privilegiados listados em PARAM_AD_Critical_Groups. No momento, o teste de acesso a um grupo específico não é permitido por esta análise.

O processo de importação do Active Directory define um limite para o número máximo de caracteres a serem importados. O comprimento de algumas listas de membros pode exceder esse limite de caracteres, causando truncamento. A tabela Error_Log lista os grupos afetados por essa limitação.

Dois parâmetros padrão estão disponíveis para esta análise nas planilhas PARAM_AD_Critical_Groups e PARAM_AD_Auth_Admin_Users do Default Analytic Configuration File (Arquivo de configuração de análise padrão). Se os parâmetros padrão não se aplicarem ou estiverem incompletos, você poderá declarar os valores obrigatórios no User Analytic Configuration File (Arquivo de configuração de análise do usuário). Assegure a conformidade com as convenções de formato e nomenclatura atuais do Default Analytic Configuration File (Arquivo de configuração de análise padrão).

  • Group_List, NonAdmin_Privilege - Você pode adicionar o sAMAccountName de todos os grupos privilegiados aplicáveis, mesmo se já estiverem listados na tabela padrão.

  • RDN - Adicione o RDN de todas as contas de usuário administrativos autorizadas.

A tabela de resultados desta análise é R_UA04AD_NonAdmin_Privilege.
UA04UNIX_NonAdmin_
Privilégio

Esta análise compara contas de usuário UNIX ativas que têm acesso a grupos de segurança cruciais com uma tabela de parâmetros mantida pelo usuário que contém contas de usuário autorizadas a ter esse acesso. Os membros desses grupos cruciais que não estão listados como usuários administrativos autorizados são relatados nos resultados.

Observação

A tabela de parâmetros pode conter contas de usuário fictícias para criar exceções quando executada no modo de amostra de dados. Recomendamos revisar os resultados da tabela de parâmetros padrão para verificar os dados.

Somente contas ativas (habilitadas) são relatadas nos resultados. Todas as contas inativas (desabilitadas) sinalizadas pela análise são excluídas dos resultados. As contas cujo status não é possível determinar são listadas nos resultados como Undetermined.

Dois parâmetros padrão estão disponíveis para esta análise na planilha PARAM_UNIX_Auth_Admin_Users do Default Analytic Configuration File (Arquivo de configuração de análise padrão). Se os parâmetros padrão não se aplicarem ou estiverem incompletos, você poderá declarar os valores obrigatórios no User Analytic Configuration File (Arquivo de configuração de análise do usuário). Assegure a conformidade com as convenções de formato e nomenclatura atuais do Default Analytic Configuration File (Arquivo de configuração de análise padrão).

  • Source_System - Você pode deixar este campo em branco se um único sistema está sendo analisado.

  • Account_Group - Adicione o RDN de todas as contas de usuário administrativo autorizadas.

A tabela de resultados desta análise é R_UA04AD_NonAdmin_Privilege.
UA05AD_Multiple_
Contas

Esta análise relata usuários do Active Directory com várias contas ativas. Embora os usuários administrativos possam ter contas separadas para operações administrativas, os usuários normais não podem ter várias contas. Você pode usar a saída desta análise para confirmar se usuários têm várias contas quando deveriam ter apenas uma, como contas de teste criadas durante implementações de sistema, contas de sistema padrão ou contas herdadas.

Os resultados desta análise também podem ser usados para verificar se usuários administrativos têm contas ativas separadas para operações administrativas e cotidianas.

A tabela de resultados desta análise é R_UA05AD_Multiple_Accounts.
UA06UNIX_Root_
Privilégios

Esta análise relata usuários com privilégios de raiz (Super User) em um ambiente UNIX. Ela consiste em duas partes, combinadas em uma única tabela de resultados:

  • Para testes de UID - Identifica todos os nomes de usuário com UID 0

  • Para testes de GID - Identifica todos os nomes de usuário com GID 0

A tabela de resultados desta análise é R_UA06UNIX_Root_Privileges.