在 Cisco Secure Workload 中设置系统配置

根据您的角色,您可以使用系统级设置。例如,只有具有站点管理员客户支持用户角色的用户才能查看用户 (Users) 选项。


注意

由于最近的 GUI 更新,用户指南中使用的某些图像或屏幕截图可能无法完全反映产品的当前设计。建议将本指南与最新版本的软件结合使用,以获得最准确的直观参考。

用户

要访问用户 (Users) 页面,站点管理员从导航窗格中选择管理用户访问(管理 (Manage) > 用户访问 (User Access))。

要访问用户 (Users) 页面,请从导航窗格中选择管理 (Manage) > 用户访问 (User Access)

用户 (Users) 页面显示运营商用户以及与页面标题范围关联的用户。

多租户

要支持多租户,请将用户分配到根范围。在根范围上具有所有者能力的用户将管理这些用户,并分配与同一范围关联的角色。

运营商用户没有范围;系统会为用户分配允许他们跨根范围执行操作的角色。

添加用户

Before you begin

  • 您必须是范围所有者才能在 Cisco Secure Workload 中添加用户。

  • 如果为用户分配了多租户范围,则只能选择分配给同一范围的角色。


Note

此页面会按在页眉上选择的范围首选项进行过滤。

Procedure

Step 1

如果适用,请从页眉中选择相应的根范围。

Step 2

从导航窗格中,选择管理用户访问用户(管理 (Manage) > 用户访问权限 (User Access) > 用户 (Users))。

Step 3

点击创建用户 (Create User)

此时将显示用户详细信息 (User Details) 页面。

Step 4

更新用户详细信息 (User Details) 下的以下字段。

Table 1. 用户新消息字段说明

字段

说明

电子邮箱或用户名

输入用户的邮件 ID。邮件地址不区分大小写。如果您的邮件包含字母,则会使用字母的小写版本。

输入用户的用户名;用户名不区分大小写,并且不能包含 @ 或空格。

名字

输入用户的名字。

姓氏 (Last Name)

输入用户的姓氏。

范围

为多租户分配给用户的根范围。(可供站点管理员使用)

Step 5

点击下一步 (Next)

Step 6

分配角色 (Assign Roles) 下,向用户添加或删除分配的角色。

  • 点击添加角色 (Add Roles) 以分配新角色,然后点击添加 (Add) 复选框。

    Figure 1. 分配的用户角色
    分配的用户角色

  • 选择分配的角色,点击编辑分配的角色 (Edit Assigned Roles),然后点击删除 (Remove) 图标。

  • 您可以使用名称租户来过滤用户角色。

    Figure 2. 过滤用户角色
    过滤用户角色

Step 7

点击下一步 (Next)

Step 8

用户查看 (User Review) 下,查看用户详细信息和分配的角色。点击创建 (Create)

如果启用了外部身份验证,则会显示身份验证详细信息。

在 Cisco Secure Workload 中添加用户后,系统会向注册的电子邮件 ID 发送激活电子邮件以设置密码。

编辑用户详细信息或角色

Before you begin

您必须是 根范围所有者才能编辑 Cisco Secure Workload 中的用户。


Note

此页面会按在页眉上选择的范围首选项进行过滤。

Procedure

Step 1

如果适用,请从页眉中选择相应的根范围。

Step 2

从导航窗格中,选择管理用户访问用户(管理 (Manage) > 用户访问权限 (User Access) > 用户 (Users))。

Step 3

对于所需的用户帐户,在操作 (Actions) 下点击编辑 (Edit)

此时将显示用户详细信息 (User Details) 页面。

Step 4

编辑以下详细信息。

  1. 更新用户详细信息 (User Details) 下的以下字段。

    Table 2. 用户新消息字段说明

    字段

    说明

    电子邮箱或用户名

    更新用户的邮件 ID。用户名不区分大小写,用户名中不能包含 @ 或空格。

    Note

     

    对于没有邮件 ID 的用户,站点管理员将使用用户的用户名。用户名的最大长度为 255 个字符。

    名字

    更新用户的名字。

    姓氏

    更新用户的姓氏。

    范围

    为多租户分配给用户的根范围。(可供站点管理员使用)

    重置 MFA

    如果用户丢失了多因素身份验证 (MFA) 设备或被 MFA 锁定,则点击重置 MFA (Reset MFA)。用户的 MFA 将在几分钟后重置。

    重新发送激活邮件

    如果用户未收到激活邮件或激活邮件链接已过期,则点击重新发送激活邮件 (Resend Activation Email)

  2. 点击下一步 (Next)

  3. 分配角色 (Assign Roles) 下,向用户添加或删除分配的角色。

    • 点击添加角色 (Add Roles) 以分配新角色,然后点击添加 (Add) 复选框。

    • 选择分配的角色,点击编辑分配的角色 (Edit Assigned Roles),然后点击删除 (Remove) 图标。

  4. 点击下一步 (Next)

  5. 用户查看 (User Review) 下,查看用户详细信息和分配的角色。点击更新 (Update) 以更新用户帐户。

    如果启用了外部身份验证,则会显示身份验证详细信息。

停用用户帐户


Note

为了保持变更日志审计的一致性,只能停用用户,而不能从数据库中删除用户。

Before you begin

您必须是站点管理员根范围所有者用户。


Note

此页面会按在页眉上选择的范围首选项进行过滤。

Procedure

Step 1

在左侧的导航栏中,点击管理 (Manage) > 用户访问权限 (User Access) > 用户 (Users)

Step 2

如果适用,请从页面右上角选择相应的根范围。

Step 3

在要停用的帐户行中,点击右列中的停用 (Deactivate) 按钮。

要查看已停用的用户,请切换隐藏已删除的用户 (Hide Deleted Users) 按钮。

重新激活用户帐户

如果用户已被停用,您可以重新激活该用户。

Before you begin

您必须是站点管理员根范围所有者用户。


Note

此页面会按在页眉上选择的范围首选项进行过滤。

Procedure

Step 1

在左侧的导航栏中,点击管理 (Manage) > 用户访问权限 (User Access) > 用户 (Users)

Step 2

如果适用,请从页面右上角选择相应的根范围。

Step 3

切换隐藏已删除用户以显示所有用户,包括已停用的用户。

Step 4

对于所需的已停用帐户,请点击右列中的恢复以重新激活该帐户。

变更日志 - 用户

站点管理员和在根范围上具有范围所有者能力的用户可以通过点击操作 (Actions) 列下的更改日志 (Change Log) 图标来查看每位用户的更改日志。

有关详细信息,请参阅更改日志。根范围所有者只能查看属于其范围的实体的变更日志条目。

角色

您可以使用基于角色的访问控制 (RBAC) 模型来限制对功能和数据的访问。

  • 用户 - 对思科 Cisco Secure Workload 具有登录访问权限的用户。

  • 角色 - 由用户创建并分配给用户的一组功能。

  • 功能 - 范围 + 功能对

  • 能力 - 操作的集合

  • 操作 - 低级别用户操作,例如“更改工作空间名称”

Figure 3. 角色模型
角色模型

用户可以具有任意数量的角色。角色可以具有任意数量的功能。例如,“力资源搜索工程师”角色可以有两种功能:“读取 HR 范围“可提供可视性和上下文,而”执行 HR 搜索"功能可让分配给该角色的工程师做出与其应用相关的特定更改。

使用用户 (Users) 页面为用户分配不同的角色。角色有多种功能,您可以为用户分配任意数量的角色。

定义系统角色是为了让用户能够更快地开始使用。它们定义了对所有范围(即系统上的所有数据)的不同访问级别。这些系统角色定义如下。

角色

说明

代理安装程序

提供管理代理生命周期(包括安装、监控、升级和转换)的功能,但无法删除代理和访问代理配置文件。

能力和功能

角色由功能组成,其中包括范围和能力。这些定义了允许的操作及其适用的数据集。例如,(HR, Read) 功能应被阅读并解释为“HR 范围的阅读能力”。此功能将允许访问 HR 范围及其所有子范围。

能力

说明

安装程序

安装、监控和升级软件代理。

审核

支持全局设备数据读取和更改日志访问。

读取所有数据,包括流、应用和资产过滤器。

对应用和资产过滤器进行更改。

执行

执行自动发现策略并发布策略以供分析。

执行

执行与给定范围关联的应用工作空间中定义的策略。

Important

功能是继承的,例如,执行功能允许所有读取、写入和执行操作。

Important

功能适用于范围及其所有子项。

组件特定的能力和功能

下表列出了组件特定的能力和功能。

Table 3. 组件特定的能力和功能

组件名称

安装程序

审核

执行

执行

所有者

安全控制面板

不适用 (Not Applicable)

不兼容

不兼容

不兼容

不兼容

不兼容

范围和资产

不适用 (Not Applicable)

只读

只读

只读

只读

只读

标签管理

不适用 (Not Applicable)

只读

只读

只读

只读

只读

资产过滤器

不适用 (Not Applicable)

只读

只读

不兼容

不兼容

不兼容
分段

不适用 (Not Applicable)

只读

只读

添加策略,但不能发布/执行策略或管理警报

添加/发布策略,但无法实施或管理警报

不兼容

执行状态

不适用 (Not Applicable)

不兼容

不兼容

不兼容

不兼容

不兼容

策略模板

不适用 (Not Applicable)

只读

只读

只读

只读

只读

取证规则

不适用 (Not Applicable)

只读

只读

只读

只读

只读

流量

不适用 (Not Applicable)

不兼容

不兼容

不兼容

不兼容

不兼容

警报

不适用 (Not Applicable)

不兼容

不兼容

不兼容

不兼容

不兼容

漏洞

不适用 (Not Applicable)

不兼容

不兼容

不兼容

不兼容

不兼容

取证

不适用 (Not Applicable)

不兼容

不兼容

不兼容

不兼容

不兼容

报告控制面板

不适用 (Not Applicable)

不兼容

不兼容

不兼容

不兼容

不兼容

代理安装

不适用 (Not Applicable)

不适用

不适用

不适用

不适用 (Not Applicable)

代理升级

不适用 (Not Applicable)

不适用

不适用

不适用

不适用 (Not Applicable)

代理转换为执行

不适用 (Not Applicable)

不适用

不适用

不适用

不适用 (Not Applicable)

代理配置

只读

不适用 (Not Applicable)

不适用

不适用

不适用

不适用 (Not Applicable)

代理监控

不适用 (Not Applicable)

不适用

不适用

不适用

不适用 (Not Applicable)

代理分布

不适用 (Not Applicable)

不适用

不适用

不适用

不适用 (Not Applicable)

代理列表

仅适用于代理的删除和服务保护令牌的生成

不适用 (Not Applicable)

不适用

不适用

不适用

不适用 (Not Applicable)

警报配置

不适用 (Not Applicable)

只读

只读

只读

只读

只读

虚拟设备

不适用 (Not Applicable)

只读

只读

只读

只读

只读

连接器

不适用 (Not Applicable)

只读

只读

只读

只读

只读

安全连接器

不适用 (Not Applicable)

只读

只读

只读

只读

只读

外部协调器

不适用 (Not Applicable)

只读

只读

只读

只读

只读

Kubernetes

不适用 (Not Applicable)

不适用

不适用

不适用

不适用

不适用 (Not Applicable)

角色

不适用 (Not Applicable)

不适用

不适用

不适用

不适用

不适用 (Not Applicable)

用户

不适用 (Not Applicable)

不适用

不适用

不适用

不适用

不适用 (Not Applicable)

许可证

不适用 (Not Applicable)

不适用

不适用

不适用

不适用

不适用 (Not Applicable)

变更日志

不适用 (Not Applicable)

不适用 (Not Applicable)

不适用 (Not Applicable)

不适用

不适用 (Not Applicable)

会话配置

不适用 (Not Applicable)

不适用

不适用

不适用

不适用

不适用 (Not Applicable)

数据分流管理员

不适用 (Not Applicable)

不适用

不适用

不适用

不适用

不适用 (Not Applicable)

收集规则

不适用 (Not Applicable)

只读

只读

只读

只读

只读

IP 地址

不适用 (Not Applicable)

不适用

不适用

不适用

不适用

不适用 (Not Applicable)

API 密钥功能

software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

按角色访问菜单

您在导航窗格中看到和使用的菜单项取决于所分配的角色:

Table 4. 概述菜单

菜单

选项

租户所有者

代理安装程序

概述

概述

Table 5. 整理菜单

菜单

选项

租户所有者

代理安装程序

整理

范围和资产

整理

使用上传的标签

整理

资产过滤器

Table 6. 防御菜单

菜单

选项

租户所有者

代理安装程序

防御

分段

防御

执行状态

防御

策略模板

防御

取证规则

Table 7. 调查菜单

菜单

选项

租户所有者

代理安装程序

调查

流量

警报

漏洞

取证

Table 8. 报告菜单

菜单

选项

租户所有者

代理安装程序

报告

报告控制面板

Table 9. 管理菜单

菜单

选项

租户所有者

代理安装程序

管理

代理

兼容

管理

警报配置

管理

变更日志

管理

连接器

管理

外部协调器

管理

安全连接器

管理

虚拟设备

管理

用户

管理

角色

管理

收集规则

兼容

管理

会话配置

兼容

管理

使用分析

兼容

管理

数据分流管理员

创建角色

Before you begin

您必须拥有站点管理员客户支持角色。

  1. 从导航窗格中,选择管理用户访问用户(管理 (Manage) > 用户访问权限 (User Access) > 角色 (Roles))。

  2. 点击创建新角色 (Create New Role)。系统将显示角色 (Roles) 面板。

使用“创建角色向导”(Create Role Wizard) 创建角色的过程分为三步。

Procedure

Step 1

  1. 在以下字段中输入适当的值:

    字段

    说明
    名称

    用于标识角色的名称。
    说明 (Description)

    用于添加有关角色的背景信息的简短说明。

  2. 点击下一步 (Next) 按钮移至下一步,或点击返回角色页面 (Back to Roles Page) 返回“角色”(Roles) 页面。

Step 2

  1. 点击添加功能 (Add Capability) 按钮,以便在第一行显示创建表单。

  2. 选择范围和功能。

  3. 点击复选标记 (Checkmark) 按钮创建新功能,或点击取消 (Cancel) 按钮取消。

  4. 点击下一步 (Next) 查看角色详细信息,或点击上一步 (Previous) 返回并进行编辑。

Figure 4. 功能分配
功能分配

Step 3

  1. 查看角色详细信息和功能。

  2. 点击创建 (Create) 以创建角色。

Figure 5. 角色审核
角色审核

编辑角色

本部分介绍站点管理员客户支持用户如何编辑角色。

Before you begin

您必须是站点管理员或客户支持用户。

  1. 在左侧的导航栏中,点击管理 (Manage) > 用户访问权限 (User Access) > 角色 (Roles)

  2. 在要编辑的角色的行中,点击右列中的编辑 (Edit) 按钮。系统将显示角色 (Roles) 面板。

使用“编辑角色向导”(Edit Role Wizard) 来编辑角色的过程可分为三步。

Procedure

Step 1

  1. 如有需要,请更新名称或说明。

  2. 点击下一步 (Next) 按钮移至下一步,或点击返回角色页面 (Back to Roles Page) 返回“角色”(Roles) 页面。

Step 2

  1. 根据需要删除任何功能。在要删除的功能的行中,点击右列中的删除 (Delete) 图标。

  2. 要添加功能,请点击添加功能 (Add Capability) 按钮以便在第一行显示创建表单。

  3. 选择范围和功能。

  4. 点击下一步 (Next) 查看角色详细信息,或点击上一步 (Previous) 返回并进行编辑。

Step 3

  1. 查看角色详细信息和功能。

  2. 点击更新 (Update) 创建角色,或点击上一步 (Previous) 返回并进行编辑。在更新后,系统会保存对角色详细信息和功能分配所做的更改。

Note

 

无法编辑功能,必须删除并重新创建功能。

变更日志

站点管理员可以访问窗口左侧导航栏中管理 (Manage) 菜单下的变更日志 (Change Log) 页面。此页面显示在思科 Cisco Secure Workload 中进行的最新更改。


Note

变更日志保留期Cisco Secure Workload 可在 SaaS 和本地部署集群上管理持续时间长达一年的变更日志。每小时作业会删除超过一年时间范围的更改日志。

Figure 6. 更改日志页面
更改日志页面

点击更改时间 (Change At) 列中的链接,可以查看每个更改日志条目的详细信息。此页面包括字段更改之前之后的快照。字段可能包含技术名称,需要对其进行一些解释,以了解它们在整个 Cisco Secure Workload 中的其他地方是如何出现的。

Figure 7. “更改日志详细信息”(Change Log Details) 页面
“更改日志详细信息”(Change Log Details) 页面

点击右上角标题为此<实体类型>的完整日志 (Full log for this <entity type>) 的按钮可查看实体更改的完整列表。此页面将显示每项更改的详细信息。它还包括实体的当前状态(如果可用)。

Figure 8. 实体的完整变更日志
实体的完整变更日志

收集规则

站点管理员客户支持用户可以访问窗口左侧导航栏中管理 (Manage) > 服务设置 (Service Settings) 菜单下的收集规则 (Collection Rules) 页面。此页面将按运行思科 Cisco Secure Workload 代理的交换机使用的 VRF 来显示硬件收集规则。每个 VRF 在表中都有一行。

规则

点击 VRF 上的编辑 (Edit) 按钮以修改其收集规则。默认情况下,每个 VRF 都配置了两个默认捕获全部规则,一个用于 IPv4 (0.0.0.0/0 INCLUDE) ,另一个用于 IPv6 (::/0 INCLUDE)可以删除这些默认规则,但要保持谨慎。

可以添加额外的包含和排除规则。输入有效的子网,选择包含或排除,然后点击添加规则 (Add Rule)。这些规则的优先级可通过拖放来进行调整。点击并按住列表中的规则,然后拖动调整其顺序。

更改可能需要几分钟才能传播到交换机。点击右上角的后退 (Back) 按钮以返回到 VRF 列表。

优先级

收集规则按优先级降序排列。确定优先级时不会进行最长前缀匹配。最先出现的规则优先于后面的所有规则。示例:

  1. 1.1.0.0/16 INCLUDE

  2. 1.0.0.0/8 EXCLUDE

  3. 0.0.0.0/0 INCLUDE

在前面的示例中,属于 1.0.0.0/8 子网的所有地址都被排除在外,只有子网 1.1.0.0/16 包括在内。

更改顺序的另一个示例:

  1. 1.0.0.0/8 EXCLUDE

  2. 1.1.0.0/16 INCLUDE

  3. 0.0.0.0/0 INCLUDE

在上例中,属于 1.0.0.0/8 子网的所有地址都被排除在外。规则 2 在这里没有被执行,因为已经为其子网络定义了一条更高级别的规则。

会话配置

可在此处配置 UI 用户身份验证空闲会话超时。此配置适用于设备的所有用户。默认空闲会话持续时间为 1 小时。空闲会话持续时间的设置范围为 5 分钟至 24 小时。保存此值后,会话超时将对用户的验证会话生效。

站点管理员客户支持用户可以访问此设置。在左侧导航窗格中,点击管理 (Manage) > 服务设置 (Service Settings) > 会话配置 (Session Configuration)

空闲会话

对于使用本地数据库进行身份验证的用户,本部分介绍失败的登录尝试如何锁定用户帐户:

Procedure

Step 1

使用邮箱和密码进行五次失败的登录尝试会导致帐户被锁定。

Note

 

作为一项防止探测的安全措施,当尝试登录被锁定的帐户时,登录界面上将不会显示具体的锁定信息。

Step 2

锁定间隔设置为 30 分钟。帐户解锁后,使用正确的密码登录或点击忘记密码?(Forgot password?)

Note

 

用户成功登录后,如果一小时内处于非活动状态,用户会被注销。此超时可在管理 (Manage) > 服务设置 (Service Settings) > 会话配置 (Session Configuration) 中进行配置。

偏好设置

首选项 (Preferences) 页面将显示您的帐户详细信息,使您能够更新显示首选项、更改登录页面、更改密码以及配置双因素身份验证。

更改登录页面首选项

要更改登录时看到的页面,请执行以下操作:

Procedure

Step 1

在窗口的右上角,点击用户图标,然后选择用户首选项 (User Preferences)

Step 2

从下拉菜单中选择登录页面。登录时,您的首选项将保存为默认页面或主页。要查看更改,请点击页面左上角的 Cisco Secure Workload 徽标。

更改密码

Procedure

Step 1

点击右上角的用户图标。

Step 2

选择用户首选项 (User Preferences)

Step 3

更改密码 (Change Password) 窗格中的旧密码 (Old Password) 字段中输入当前密码。

Step 4

密码 (Password) 字段中输入新密码。

Step 5

确认密码 (Confirm Password) 字段中再次输入新密码。

Step 6

点击更改密码 (Change Password) 以提交更改。

Note

 

密码必须为 8-128 个字符,并至少包含以下各项之一:

  • 小写字母 ( a b c d . . . )

  • 大写字母 ( A B C D . . . )

  • 数字 (0 1 2 3 4 5 6 7 8 9 )

  • 特殊字符 (! " # $ % & ’ ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ‘ { | } ~ ),包含空格

恢复密码

本部分介绍在您忘记密码时如何重置密码。

Before you begin

要重置密码,您必须先拥有一个帐户。只有站点管理员有权创建新帐户。

Procedure

Step 1

将浏览器指向思科 Cisco Secure Workload URL,然后点击忘记密码 (Forgot Password) 链接。系统将显示忘记密码?(Forgot your password?) 对话框。

Step 2

输入必须将密码发送到的邮箱 ID。

Step 3

点击重置密码 (Reset Password)

密码重置说明将被发送到您的邮箱。

Note

 

使用双因素身份验证找回密码时,需要联系网站管理员获取一次性的临时密码。

重置密码

本部分介绍如何为没有邮箱 ID 的用户重置密码。

Procedure

Step 1

站点管理员身份登录 Cisco Secure Workload,然后从导航窗格中选择管理 (Manage) > 用户访问 (User Access) > 用户 (Users)

Step 2

操作 (Actions) 列下,点击铅笔图标。此时将显示用户详细信息 (User Details) 页面。

Table 10. 用户新消息字段说明

字段

说明

电子邮箱或用户名

输入用户的用户名;用户名不区分大小写,但不能包含 @ 或空格。

基于电子邮件的身份验证

发送密码重置说明

Note

 

作为站点管理员,您可以使用 用户名为要恢复临时密码的用户生成临时密码。

用户名的最大长度不能超过 255 个字符。

名字

输入用户的名字。

姓氏 (Last Name)

输入用户的姓氏。

范围

为多租户分配给用户的根范围。(可供站点管理员使用)

SSH 公钥

(可选)点击导入 (Import) 以导入 SSH 公钥,也可以稍后导入密钥。

Step 3

点击生成密码 (Generate Password) 以生成一个临时密码。复制密码并与请求密码的用户共享。

Figure 9.

Note

 

用户可以使用用户名和临时密码登录并重置密码。

范围


Note

范围 (Scopes) 页面与资产搜索 (Inventory Search) 合并。有关详细信息,请参阅范围和资产页面。