Juego de herramientas Robot User access controls testing

El juego de herramientas robot User access controls testing analysis (comprobación de los controles de acceso de los usuarios) es una solución de estudio analítico como servicio que permite monitorear los controles de acceso de los usuarios. Compara las listas de usuarios de Active Directory, los sistemas de administración de Recursos Humanos y otras aplicaciones, como SAP, Oracle y Salesforce.

El juego de herramientas llega como una solución preconfigurada que se aplica a la mayoría de los clientes. Una vez implementado, puede actualizar el juego de herramientas del robot de análisis con nuevos scripts a medida que los lanzamos. Puede personalizar el juego de herramientas aún más agregando scripts personalizados para perfeccionarlo. Los datos importados pueden enviarse a archivos de Resultados o Excel.

Nota

El robot User access controls testing analysis no admite lo siguiente:

  • Analytics Exchange (AX)
  • Agente de Robots en la nube para fines de producción
  • Orígenes de datos y estudios analíticos personalizados
  • Ningún reporte, excepto por las salidas de Resultados y Excel

Requisitos del sistema y de suscripción

Asegúrese de cumplir con los siguientes requisitos del sistema y de suscripción para usar el juego de herramientas User Access Controls Testing Analysis.

Requisito Notas
ACL Robotics Enterprise Edition Se pueden adquirir juegos de herramientas de Robot como complementos

Agente de Robots en las instalaciones físicas versión 15

Verifique la versión que se instalará (Unicode o No Unicode)

ACL para Windows Versión 15
  • Asegúrese de que la instalación utilice la misma codificación que el Agente de Robots (Unicode o No Unicode).
  • Puede resultar útil contar con una instalación local de ACL para Windows con fines de resolución de problemas o para desarrollar scripts personalizados.
Robot Data Integration para la aplicación de origen Asegúrese de que el Robot Data Integration (Integración de datos) para la aplicación de origen se haya instalado correctamente en su organización y que esté funcionando.

Acerca del juego de herramientas

El juego de herramientas instala varios componentes en HighBond.

Componente Recuento Nombre
Colección 2

User Access Controls Testing Analysis - Modo de desarrollo

User Access Controls Testing Analysis - Modo de producción

Análisis

2

User Access Controls Testing Analysis (uno por colección)
Robot 1 User Access Controls Testing Analysis
Tablas de estudios analíticos 10 Si desea obtener más información, consulte Estudios analíticos para User Access Controls Testing.

Robot de análisis de las pruebas de controles de acceso de los usuarios

El robot User access controls testing analysis se crea automáticamente al instalar el juego de herramientas. Este robot contiene lo siguiente:

  • Scripts de estudios analíticos: contiene los scripts centrales para importar y procesar datos.

    Nota

    No debe modificar los scripts de estudios analíticos. La modificación de los scripts puede provocar fallas al ejecutar las tareas. Todas las modificaciones necesarias se deben configurar en el archivo User Analytic Configuration (configuración de estudios analíticos del usuario) o se deben cargar como scripts de estudios analíticos personalizados.

  • (Opcional) Scripts de estudios analíticos personalizados: scripts que se cargan manualmente para agregar al robot nuevas capacidades de análisis específicas para el cliente o para realizar cambios en la lógica de los datos. Estos scripts reemplazan a los scripts de estudios analíticos predeterminados y se deben revisar minuciosamente.

  • Archivos de configuración: todos los archivos de configuración que se incluyen en la siguiente tabla están disponibles en la ficha Entrada/Salida del robot.

    Nombre del archivo Descripción Modo
    UA_Default_
    Analytic_Configuration.xlsx

    Contiene las configuraciones predeterminadas

    Nota

    No debe modificar este archivo. Si modifica el archivo, puede provocar fallas al ejecutar las tareas. Todas las modificaciones necesarias se deben configurar en el archivo User Analytic Configuration (configuración de estudios analíticos del usuario) o se deben cargar como scripts de estudios analíticos personalizados.

    Generado automáticamente por el robot
    Result_Table_IDs.csv Contiene los destinos para las tablas que se exportan a Resultados, dentro de las colecciones de Desarrollo y Producción correspondientes.

    Generado automáticamente por el robot

    Archivo User Analytic Configuration

    Contiene configuraciones personalizadas que deben reemplazar a las configuraciones que se incluyen en el archivo de configuración de estudio analítico predeterminado.

    Las configuraciones de este archivo reemplazan los datos del archivo de configuración del estudio analítico predeterminado.

    NOTA: Si las personalizaciones superan las capacidades del archivo de configuración del estudio analítico del usuario, puede agregar un script personalizado.

    Se carga manualmente al implementar el juego de herramientas
  • Tarea del robot: ejecuta los scripts predeterminados y personalizados dentro del robot y cuenta con la siguiente información.

    Parámetro Descripción
    Export to HighBond Results? (¿Exportar a Resultados de HighBond?)

    Especifica si exportar los datos importados a Resultados. Las opciones disponibles son las siguientes:

    • Export to Results - Sobrescribir (Exportar a Resultados - Sobrescribir): sobrescribe los datos en las tablas de resultados cada vez que se exportan los datos.
    • Export to Results - Append (Exportar a Resultados - Anexar): anexa los datos a las tablas de resultados.
    • Do not export (No exportar): no exporta los datos a Resultados.
    Export to Excel (¿Exportar a Excel?)

    Especifica si exportar los resultados actuales a un archivo de Excel o no hacerlo. Las opciones disponibles son las siguientes:

    • Exportar a Excel
    • Do not export (No exportar)
    Token de acceso de HighBond

    Token necesario para conectarse a Resultados. Si la exportación a Resultados está desactivada, se puede proporcionar cualquier valor aleatorio para este parámetro.

Tablas enlazadas

Las tablas compartidas necesarias del Robot Data Integration se enlazan al robot User Access Controls Testing Analysis en la ficha Entrada/Salida. Cuando se ejecuta la tarea del robot de análisis, esta obtiene datos de las tablas enlazadas y los utiliza para procesar la lógica del estudio analítico que se definió.

Nota

Puede crear varios robots de análisis y enlazarlos únicamente con las tablas necesarias para aislar los robots a fin de que realicen tareas especializadas o un conjunto de tareas.

Estudios analíticos para User Access Controls Testing

En la siguiente tabla, se incluyen los estudios analíticos para el juego de herramientas User access controls testing.

Registro de errores

Los errores que se detectan al ejecutar la tarea se registran en la tabla Log de errores de cada estudio analítico. Si el recuento de registros es igual a 0, se escribe un mensaje de error en la tabla Log de errores.

Consejo

Revise el log de errores después de ejecutar las tareas, aun cuando el estudio analítico no haya arrojado ninguna excepción, a fin de asegurarse de que la tabla no se marcó como una tabla con 0 registros. Por ejemplo, si el archivo de configuración del estudio analítico del usuario no tiene el formato correcto, es posible que se ignoren los parámetros de entrada del usuario.

Qué hace cada estudio analítico

Nombre del estudio analítico Descripción
UA01AD_No_
Expiry_Passwords

Este estudio analítico reporta las cuentas de Active Directory con contraseñas que están configuradas para no caducar. Estas cuentas se identifican por medio de valores específicos en el campo UserAccountControl. Los resultados incluyen tanto cuentas activadas como desactivadas.

Los valores predeterminados para el campo UserAccountControl se mantienen como un parámetro en el archivo Default Analytic Configuration. Si agrega más campos de reporte al estudio analítico, los scripts de preparación y análisis de los datos que trasladan el campo Member pueden generar errores en la longitud del registro, especialmente cuando se utilizan con agentes de robot UNICODE.

v_no_expiry es un parámetro predeterminado disponible para este estudio analítico en la hoja de cálculo Default_Config_Params (Parámetros de configuración predeterminados) del archivo Default Analytic Configuration (Configuración del estudio analítico predeterminado). Si el parámetro predeterminado no es aplicable o está incompleto, puede declarar los valores necesarios en el archivo User Analytic Configuration. Asegúrese de respetar el formato y las convenciones de nombres del archivo Default Analytic Configuration. Puede utilizar un formato delimitado por espacios sin ninguna comilla para cada valor individual y encerrar toda la cadena entre comillas.

La tabla de resultados para este estudio analítico es R_UA01AD_No_Expiry_Passwords.

UA02AD_Active_
Default_Accounts

Este estudio analítico compara una lista de cuentas predeterminadas definidas por el usuario con la tabla de Usuarios de Active Directory y reporta a los usuarios con cuentas predeterminadas que están activas (habilitadas). Las cuentas predeterminadas que se deben analizar suelen ser cuentas predefinidas asociadas con accesos con privilegios.

En los resultados se muestra la fecha en la que se configuró por última vez la contraseña y la cantidad de días desde la última reconfiguración de la contraseña. En el análisis, solo se incluyen cuentas habilitadas sobre la base del valor del campo UserAccountControl.

Account_List es un parámetro predeterminado disponible para este estudio analítico en la hoja de cálculo PARAM_AD_Default_Accounts del archivo Default Analytic Configuration (Configuración del estudio analítico predeterminado). Si el parámetro predeterminado no es aplicable o está incompleto, puede declarar los valores necesarios en el archivo User Analytic Configuration. Asegúrese de respetar el formato y las convenciones de nombres del archivo Default Analytic Configuration.

Nota

En el campo RDN, se quita CN= u otros prefijos para realizar la unión entre la tabla Active Directory User y las cuentas predeterminadas. Por lo tanto, al indicar los nombres de las cuentas predeterminadas en la tabla de parámetros se deben quitar los prefijos, como CN= u otros (por ejemplo, indicar el valor como Administrador en lugar de CN=Administrador).

La tabla de resultados para este estudio analítico es R_UA02_AD_Active_Default_Accounts.

UA02UNIX_Active_
Default_Accounts

Este estudio analítico compara una lista de cuentas predeterminadas definidas por el usuario con el campo User_Name del archivo /etc/Passwd y reporta las cuentas que están activas (habilitadas). Las cuentas predeterminadas que se deben analizar suelen ser cuentas predefinidas asociadas con accesos con privilegios.

En los resultados se muestra la fecha en la que se configuró por última vez la contraseña y la cantidad de días desde la última reconfiguración. Solo se reportan cuentas activas (habilitadas) en los resultados. El estudio analítico marca las cuentas inactivas (deshabilitadas) y las excluye de los resultados.

Nota

Este estudio analítico requiere el archivo /etc/shadow. Si el archivo no está presente en la versión de UNIX que está en uso, es posible que deba agregar un script de estudio analítico personalizado para comprobar el estado de la cuenta habilitada. Tal vez sea necesario un script personalizado si el archivo etc/shadow existe, pero su codificación para contraseñas deshabilitadas o bloqueadas es diferente.

Account_List es un parámetro predeterminado disponible para este estudio analítico en la hoja de cálculo PARAM_UNIX_Default_Accounts del archivo Default Analytic Configuration (Configuración del estudio analítico predeterminado). Si el parámetro predeterminado no es aplicable o está incompleto, puede declarar los valores necesarios en el archivo User Analytic Configuration. Asegúrese de respetar el formato y las convenciones de nombres del archivo Default Analytic Configuration.

La tabla de resultados para este estudio analítico es R_UA02UNIX_Active_Default_Accounts.

UA03ORCL_Oracle_
AD_Mismatch

Este estudio analítico identifica instancias en las que las cuentas de usuario de Oracle ERP no se pueden equiparar a una cuenta de usuario activa de Active Directory. Excluye las cuentas de usuario de Oracle en las que la dirección de correo electrónico es nobody@localhost.

La tabla de resultados para este estudio analítico es R_UA03ORCL_Oracle_AD_Mismatch.

UA03SAP_SAP_AD_
Mismatch

Este estudio analítico identifica instancias en las que las cuentas de usuario de SAP ERP no se pueden equiparar a una cuenta de usuario activa de Active Directory. El Robot SAP ERP Data Integration filtra la tabla de datos USR02 por tipo de usuario ‘A' (Diálogo) o 'C’ (Comunicación).

La tabla de resultados para este estudio analítico es R_UA03SAP_SAP_AD_Mismatch.

UA03SF_SF_AD_
Mismatch

Este estudio analítico identifica instancias en las que las cuentas de usuario de Salesforce CRM no se pueden equiparar a una cuenta de usuario activa de Active Directory. Las cuentas activas de Salesforce se identifican con el valor T en el campo IsActive.

La tabla de resultados para este estudio analítico es R_UA03SF_SF_AD_Mismatch.

UA04AD_NonAdmin_
Privilegio

Este estudio analítico compara los integrantes de grupos críticos de Active Directory asociados con privilegios administrativos con una tabla de parámetros mantenida por el usuario que contiene cuentas de usuarios autorizados para tener ese tipo de acceso. En los resultados, se reporta a los integrantes de esos grupos críticos que no figuran como usuarios administrativos autorizados.

Actualmente, se admiten grupos anidados y el estudio analítico analiza únicamente el campo Member de la tabla Group.

Las cuentas de usuarios administrativos incluidas en la tabla de parámetros PARAM_AD_Auth_Admin_Users se consideran cuentas autorizadas para todos los grupos con privilegios incluidos en PARAM_AD_Critical_Groups. Por el momento, este estudio analítico no permite comprobar el acceso en un grupo específico.

El proceso de importación de Active Directory establece un límite sobre la cantidad máxima de caracteres que se pueden importar. La longitud de algunas listas de integrantes tal vez supere este límite de caracteres y la lista quedará inconclusa. La tabla Error_Log incluye las listas de los grupos que se ven afectados por esta limitación.

Hay dos parámetros predeterminados disponibles para este estudio analítico en las hojas de cálculo PARAM_AD_Critical_Groups y PARAM_AD_Auth_Admin_Users del archivo Default Analytic Configuration (Configuración del estudio analítico predeterminado). Si los parámetros predeterminados no son aplicables o están incompletos, puede declarar los valores necesarios en el archivo User Analytic Configuration. Asegúrese de respetar el formato y las convenciones de nombres del archivo Default Analytic Configuration.

  • Group_List, NonAdmin_Privilege: Usted puede agregar el nombre de cuenta sAMAccountName de todos los grupos con privilegios que corresponda, incluso si ya están incluidos en la tabla predeterminada.

  • RDN: Agregue el RDN de todas las cuentas de usuario administrativas autorizadas.

La tabla de resultados para este estudio analítico es R_UA04AD_NonAdmin_Privilege.

UA04UNIX_NonAdmin_
Privilegio

Este estudio analítico compara las cuentas de usuario de UNIX con acceso a los grupos de seguridad crítica con una tabla de parámetros mantenida por el usuario que contiene cuentas de usuarios autorizados para tener ese tipo de acceso. En los resultados, se reporta a los integrantes de esos grupos críticos que no figuran como usuarios administrativos autorizados.

Nota

La tabla de parámetros puede contener cuentas de usuario ficticias para crear excepciones al ejecutar el estudio analítico en el modo de datos de muestra. Se recomienda revisar los resultados de la tabla de parámetros predeterminados para verificar los datos.

Solo se reportan cuentas activas (habilitadas) en los resultados. El estudio analítico marca las cuentas inactivas (deshabilitadas) y las excluye de los resultados. Las cuentas de las que no es posible determinar el estado se incluyen como Undetermined (Sin determinar) en los resultados.

Hay dos parámetros predeterminados disponibles para este estudio analítico en la hoja de cálculo PARAM_UNIX_Auth_Admin_Users del archivo Default Analytic Configuration (Configuración del estudio analítico predeterminado). Si los parámetros predeterminados no son aplicables o están incompletos, puede declarar los valores necesarios en el archivo User Analytic Configuration. Asegúrese de respetar el formato y las convenciones de nombres del archivo Default Analytic Configuration.

  • Source_System: Puede dejar este campo vacío si se está analizando un solo sistema.

  • Account_Group: Agregue el RDN de todas las cuentas de usuario administrativas autorizadas.

La tabla de resultados para este estudio analítico es R_UA04AD_NonAdmin_Privilege.

UA05AD_Multiple_
Cuentas

Este estudio analítico reporta a los usuarios de Active Directory con varias cuentas activas. Si bien los usuarios administrativos pueden tener cuentas independientes para las operaciones administrativas, los usuarios regulares no pueden tener varias cuentas. Puede utilizar la salida de este estudio analítico para verificar que los usuarios no autorizados no tengan varias cuentas activas, como cuentas de prueba creadas durante la implementación del sistema, cuentas predeterminadas del sistema o cuentas heredadas.

Los resultados de este estudio analítico se pueden usar más tarde para verificar que los usuarios administrativos tengan cuentas activas independientes para sus operaciones administrativas y diarias.

La tabla de resultados para este estudio analítico es R_UA05AD_Multiple_Accounts.

UA06UNIX_Root_
Privilegios

Este estudio analítico reporta a los usuarios con privilegios de superusuario (Root) en un entorno de UNIX. Está conformado por dos partes, que se combinan en una única tabla de resultados:

  • Comprobación de UID: Identifica todos los nombres de usuario con un UID de 0

  • Comprobación de GID: Identifica todos los nombres de usuario con un GID de 0

La tabla de resultados para este estudio analítico es R_UA06UNIX_Root_Privileges.