Kit de ressources du robot User access

Le kit de ressources du robot User access controls testing analysis est une solution AaaS pour la supervision des contrôles d’accès des utilisateurs. Il compare les listes d'utilisateurs dans Active Directory, les systèmes de gestion des ressources humaines et d'autres applications telles que SAP, Oracle et Salesforce.

Le kit de ressources correspond à une solution préconfigurée qui est applicable à la plupart des clients. Une fois déployée, vous pouvez mettre à jour le kit de ressources du robot d'analyse avec les nouveaux scripts une fois que nous les avons lancés. Vous pouvez poursuivre leur personnalisation en ajoutant des scripts personnalisés pour affiner le kit de ressources. Les données importées peuvent être éditées vers Résultats ou des fichiers Excel.

Remarque

Le robot User access controls testing analysis ne prend pas en charge les éléments suivants :

  • Analytics Exchange (AX)
  • Agent Robots Cloud à des fins de production
  • Outils d'analyse et sources de données personnalisées
  • Toute création de rapport autre que des sorties Excel/Résultats

Configuration système requise et conditions requises pour l'abonnement

Assurez-vous que vous répondez à la configuration système requise et aux conditions d'abonnement requises pour utiliser le robot Analyse pour les tests des contrôles d'accès utilisateur.

Condition requise Commentaires
Édition ACL Robotics Enterprise Les kits de ressources pour robot sont disponibles sous forme de composantes complémentaires

Agent Robots sur site version 15

Vérifiez la version à installer, Unicode ou Non-Unicode
ACL pour Windows version 15
  • Assurez-vous que l'installation utilise le même encodage que l'Agent Robots (Unicode ou Non-Unicode).
  • Une installation locale d'ACL pour Windows peut être utile à des fins de dépannage ou pour le développement de scripts personnalisés.
Robot d'intégration des données pour l'application source Assurez-vous que le robot d'intégration des données de l'application source a été déployé avec succès dans votre organisation et qu'il est en cours d'exécution.

À propos du kit de ressources

Le kit de ressources installe plusieurs composants dans Diligent One.

Composant Compte Nom
Collection 2

User Access Controls Testing Analysis - Mode développement

User Access Controls Testing Analysis - Mode production
Analyse

2

 User Access Controls Testing Analysis (un par collection)
Robot 1 User Access Controls Testing Analysis
Tableaux analytiques 10 Pour plus d'informations, consultez la section Outils d'analyse pour les tests des contrôles d'accès.

Robot d’analyse des tests des contrôles d’accès utilisateur

Le robot User Access Controls Testing Analysis est automatiquement créé lors de l'installation du kit de ressources. Ce robot contient les éléments suivants :

  • Scripts d'outils d'analyse : contient les scripts de base pour l'importation et le traitement des données.

    Remarque

    Vous ne devez pas modifier les scripts d'outils d'analyse. La modification des scripts peut entraîner des échecs lors de l'exécution des tâches. Toute modification requise doit être configurée dans le fichier de configuration d'outil d'analyse de l'utilisateur ou téléchargée sous forme de scripts d'outil d'analyse personnalisés.

  • (Facultatif) Scripts d'outils d'analyse personnalisés : scripts qui sont téléchargés manuellement pour ajouter au robot de nouvelles capacités analytiques propres au client ou pour apporter des modifications à la logique des données. Ces scripts ont la priorité sur les scripts d'outils d'analyse par défaut et doivent être examinés en profondeur.

  • Fichiers de configuration : tous les fichiers de configuration figurant dans le tableau suivant sont disponibles dans l'onglet Entrée/Sortie du robot.

    Nom de fichier Description Mode
    UA_Default_
    Analytic_Configuration.xlsx

    Contient les configurations par défaut

    Remarque

    Vous ne devez pas modifier ce fichier. La modification du fichier peut entraîner des échecs lors de l'exécution des tâches. Toute modification requise doit être configurée dans le fichier de configuration d'outil d'analyse de l'utilisateur ou téléchargée sous forme de scripts d'outil d'analyse personnalisés.

    		 Généré automatiquement par le robot
    Result_Table_IDs.csv Contient les destinations des tables exportées vers Résultats, dans les collections respectives Développement et Production.

    Généré automatiquement par le robot
    Fichier de configuration d'outil d'analyse de l'utilisateur

    Contient des configurations personnalisées qui doivent remplacer les configurations fournies dans le fichier de configuration d'outil d'analyse par défaut.

    Les configurations de ce fichier ont la priorité sur les entrées du fichier de configuration d'outil d'analyse par défaut.

    REMARQUE : Si les personnalisations dépassent les capacités du fichier de configuration d'outil d'analyse de l'utilisateur, un script personnalisé peut être ajouté.

    		 Chargement manuel lors de l'implémentation du kit de ressources

  • Tâche du robot : exécute les scripts par défaut et les scripts personnalisés du robot ; contient les informations suivantes.

    Paramètre Description
    Export to HighBond Results? (Exporter vers HighBond Résultats ?)

    Précise s'il faut exporter les données importées vers Résultats. Les options disponibles sont les suivantes :

    • Export to Results - Overwrite (Exporter vers Résultats - Écraser) : écrasez les données dans des tables de résultats à chaque fois que des données sont exportées.
    • Export to Results - Append (Exporter vers Résultats - Concaténer) : concatène les données aux tables de résultats.
    • Do not export (Ne pas exporter) : n'exporte pas les données vers Résultats.
    Export to Excel? (Exporter vers Excel ?)

    Indique s'il faut exporter les résultats actuels vers un fichier Excel ou non. Les options disponibles sont les suivantes :

    • Exporter vers Excel
    • Ne pas exporter
    Jeton d'accès à HighBond

    Jeton nécessaire pour se connecter à Résultats. Si l'exportation vers Résultats est désactivée, toute valeur aléatoire peut être fournie pour ce paramètre.

Tables liées

Les tables partagées requises des robots d'intégration des données sont liées au robot d'analyse pour les tests des contrôles d'accès utilisateur dans l'onglet Entrée/Sortie. Lorsque la tâche du robot d'analyse s'exécute, elle extrait les données des tables liées et les utilise pour traiter la logique analytique de base définie.

Remarque

Vous pouvez créer plusieurs robots d'analyse et ne lier que les tables nécessaires pour séparer les robots pour des tâches spécialisées ou un ensemble de tâches.

Outils d'analyse pour les tests de contrôle d'accès des utilisateurs

Le tableau suivant présente la liste des outils d'analyse pour le test des contrôles d'accès des utilisateurs.

Journalisation des erreurs

Toutes les erreurs détectées pendant l'exécution de la tâche sont journalisées dans la table Journal des erreurs pour chaque analyse. Si le nombre d'enregistrements est égal à 0, un message d'erreur est écrit dans la table Journal des erreurs.

Astuce

Examinez le journal des erreurs après l'exécution de la tâche, même si l'outil d'analyse n'a renvoyé aucune exception, afin de vous assurer que la table n'a pas été marquée comme ayant 0 enregistrement. Par exemple, les paramètres de saisie de l'utilisateur du fichier de configuration des outils d'analyse de l'utilisateur peuvent être ignorés si le fichier n'est pas mis en forme correctement.

Ce que fait chaque outil d'analyse

Nom de l'outil d'analyse Description
UA01AD_No_
Expiry_Passwords

Cet outil d'analyse fait état des comptes Active Directory dont les mots de passe sont définis pour ne pas expirer. Ces comptes sont identifiés par des valeurs spécifiques dans le champ UserAccountControl. Les résultats comprennent les comptes activés et désactivés.

Les valeurs par défaut du champ UserAccountControl sont gérées comme un paramètre dans le fichier de configuration d'outil d'analyse par défaut. Si vous ajoutez d'autres champs de rapport à l'outil d'analyse, les scripts de préparation et d'analyse des données qui reportent le champ Membre peuvent générer des erreurs de longueur d'enregistrement, en particulier lorsqu'ils sont utilisés avec des agents robots UNICODE.

v_no_expiry est un paramètre par défaut disponible pour cet outil d'analyse dans la feuille de calcul Default_Config_Params du Fichier de configuration d'outil d'analyse par défaut. Si le paramètre par défaut ne s'applique pas ou s'il est incomplet, vous pouvez déclarer les valeurs requises dans le fichier de configuration d'outil d'analyse de l'utilisateur. Veillez à respecter le format et les conventions d'appellation tels qu'ils figurent dans le fichier de configuration d'outil d'analyse par défaut. Vous pouvez utiliser un format délimité par des espaces sans guillemets autour de chaque valeur individuelle et entourer la chaîne complète de guillemets doubles.

La table de résultats de cet outil d'analyse est R_UA01AD_No_Expiry_Passwords.
UA02AD_Active_
Default_Accounts

Cet outil d'analyse fait correspondre une liste de comptes par défaut définis par l'utilisateur avec la table Utilisateurs dans Active Directory et signale les utilisateurs dont les comptes par défaut semblent être actifs (activés). Les comptes par défaut à analyser sont généralement des comptes prédéfinis associés à un accès privilégié.

La date à laquelle le mot de passe a été défini pour la dernière fois et le nombre de jours depuis la dernière réinitialisation du mot de passe sont indiqués dans les résultats. Seuls les comptes activés sont inclus dans l'analyse, à partir de la valeur du champ UserAccountControl.

Account_List est un paramètre par défaut disponible pour cet outil d'analyse dans la feuille de calcul PARAM_AD_Default_Accounts du Fichier de configuration d'outil d'analyse par défaut. Si le paramètre par défaut ne s'applique pas ou s'il est incomplet, vous pouvez déclarer les valeurs requises dans le fichier de configuration d'outil d'analyse de l'utilisateur. Veillez à respecter le format et les conventions d'appellation tels qu'ils figurent dans le fichier de configuration d'outil d'analyse par défaut.

Remarque

Le champ RDN est dépouillé de CN= ou d'autres préfixes pour la jointure entre la table Active Directory User et les comptes par défaut. Par conséquent, les noms de compte par défaut dans la table des paramètres doivent être fournis sans le préfixe CN= ou d'autres préfixes (par exemple, fournir la valeur Administrateur au lieu de CN=Administrateur).

La table de résultats de cet outil d'analyse est R_UA02_AD_Active_Default_Accounts.
UA02UNIX_Active_
Default_Accounts

Cet outil d'analyse fait correspondre une liste de comptes par défaut définis par l'utilisateur avec le champ User_Name dans le fichier /etc/Passwd et signale les comptes qui semblent être actifs (activés). Les comptes par défaut à analyser sont généralement des comptes prédéfinis associés à un accès privilégié.

La date à laquelle le mot de passe a été défini pour la dernière fois et le nombre de jours depuis la dernière réinitialisation sont indiqués dans les résultats. Seuls les comptes actifs (activés) sont signalés dans les résultats. Les comptes inactifs (désactivés) signalés par l'outil d'analyse sont exclus des résultats.

Remarque

Cet outil d'analyse nécessite le fichier /etc/shadow. Si ce fichier n'est pas présent dans la version d'UNIX utilisée, vous devrez peut-être ajouter un script d'outil d'analyse personnalisé pour tester l'état du compte activé. Un script personnalisé peut être requis si le etc/shadow existe, mais son encodage pour le mot de passe désactivé ou verrouillé diffère.

Account_List est un paramètre par défaut disponible pour cet outil d'analyse dans la feuille de calcul PARAM_UNIX_Default_Accounts du Fichier de configuration d'outil d'analyse par défaut. Si le paramètre par défaut ne s'applique pas ou s'il est incomplet, vous pouvez déclarer les valeurs requises dans le fichier de configuration d'outil d'analyse de l'utilisateur. Veillez à respecter le format et les conventions d'appellation tels qu'ils figurent dans le fichier de configuration d'outil d'analyse par défaut.

La table de résultats de cet outil d'analyse est R_UA02UNIX_Active_Default_Accounts.
UA03ORCL_Oracle_
AD_Mismatch

Cet outil d'analyse identifie les cas où les comptes utilisateurs Oracle ERP actifs ne peuvent pas être associés à un compte utilisateur Active Directory actif. Elle exclut les comptes utilisateurs Oracle dont l'adresse électronique est nobody@localhost.

La table de résultats de cet outil d'analyse est R_UA03ORCL_Oracle_AD_Mismatch.
UA03SAP_SAP_AD_
Mismatch

Cette analyse identifie les cas où les comptes utilisateurs SAP ERP actifs ne peuvent pas être associés à un compte utilisateur Active Directory actif. Le robot d'intégration des données SAP ERP filtre la table source USR02 sur le type d'utilisateur "A" (dialogue) ou "C" (communication).

La table de résultats de cet outil d'analyse est R_UA03SAP_SAP_AD_Mismatch.
UA03SF_SF_AD_
Mismatch

Cet outil d'analyse identifie les cas où les comptes utilisateurs Salesforce CRM actifs ne peuvent pas être associés à un compte utilisateur Active Directory actif. Les comptes utilisateurs actifs de Salesforce sont identifiés par la valeur T dans le champ IsActive.

La table de résultats de cet outil d'analyse est R_UA03SF_SF_AD_Mismatch.
UA04AD_NonAdmin_
Privilège

Cet outil d'analyse compare les membres des groupes Active Directory critiques associés à des privilèges administratifs à une table de paramètres gérée par l'utilisateur et contenant les comptes utilisateurs autorisés à avoir un tel accès. Les membres de ces groupes critiques qui ne sont pas répertoriés comme utilisateurs administratifs autorisés sont signalés dans les résultats.

Actuellement, les groupes imbriqués sont pris en charge et l'outil d'analyse ne porte que sur le champ Membre dans la table Groupe.

Les comptes d'utilisateurs administratifs énumérés dans la table de paramètres PARAM_AD_Auth_Admin_Users sont considérés comme autorisés pour tous les groupes privilégiés énumérés dans PARAM_AD_Critical_Groups. Les tests d'accès à un groupe spécifique ne sont actuellement pas pris en charge par cet outil d'analyse.

Le processus d'importation d'Active Directory fixe une limite au nombre maximum de caractères à importer. La longueur de certaines listes de membres peut dépasser cette limite de caractères et peut être tronquée. La table Error_Log énumère les groupes concernés par cette limitation.

Deux paramètres par défaut sont disponibles pour cet outil d'analyse dans les feuilles de calcul PARAM_AD_Critical_Groups et PARAM_AD_Auth_Admin_Users du fichier de configuration d'outil d'analyse par défaut. Si les paramètres par défaut ne s'appliquent pas ou s'ils sont incomplets, vous pouvez déclarer les valeurs requises dans le fichier de configuration d'outil d'analyse de l'utilisateur. Veillez à respecter le format et les conventions d'appellation tels qu'ils figurent dans le fichier de configuration d'outil d'analyse par défaut.

  • Group_List, NonAdmin_Privilege : vous pouvez ajouter le sAMAccountName de tous les groupes privilégiés applicables, même s'ils figurent déjà dans le tableau par défaut.

  • RDN : ajouter le RDN de tous les comptes d'utilisateurs administratifs autorisés.

La table de résultats de cet outil d'analyse est R_UA04AD_NonAdmin_Privilege.
UA04UNIX_NonAdmin_
Privilège

Cet outil d'analyse compare les comptes d'utilisateurs UNIX actifs ayant accès à des groupes de sécurité critiques à une table de paramètres tenue par l'utilisateur et contenant les comptes utilisateurs autorisés à avoir un tel accès. Les membres de ces groupes critiques qui ne sont pas répertoriés comme utilisateurs administratifs autorisés sont signalés dans les résultats.

Remarque

La table de paramètres peut contenir des comptes utilisateurs fictifs pour créer des exceptions lorsqu'elle est exécutée en mode de données d'échantillon. Il est recommandé d'examiner les résultats de la table des paramètres par défaut pour vérifier les données.

Seuls les comptes actifs (activés) sont signalés dans les résultats. Les comptes inactifs (désactivés) signalés par l'analyse sont exclus des résultats. Les comptes dont le statut ne peut pas être déterminé sont classés comme indéterminés dans les résultats.

Deux paramètres par défaut sont disponibles pour cet outil d'analyse dans la feuille de calcul PARAM_UNIX_Auth_Admin_Users du fichier de configuration d'outil d'analyse par défaut. Si les paramètres par défaut ne s'appliquent pas ou s'ils sont incomplets, vous pouvez déclarer les valeurs requises dans le fichier de configuration d'outil d'analyse de l'utilisateur. Veillez à respecter le format et les conventions d'appellation tels qu'ils figurent dans le fichier de configuration d'outil d'analyse par défaut.

  • Source_System : vous pouvez laisser ce champ vide si un seul système est analysé.

  • Account_Group : ajoutez le RDN de tous les comptes utilisateurs administratifs autorisés.

La table de résultats de cet outil d'analyse est R_UA04AD_NonAdmin_Privilege.
UA05AD_Multiple_
Comptes

Cet outil d'analyse signale les utilisateurs d'Active Directory ayant plusieurs comptes actifs. Si les utilisateurs administratifs peuvent avoir des comptes séparés pour les opérations administratives, les utilisateurs réguliers ne peuvent pas avoir plusieurs comptes. Vous pouvez utiliser les résultats de cet outil d'analyse pour vérifier que les utilisateurs non prévus n'ont pas plusieurs comptes actifs, tels que les comptes tests créés lors de la mise en œuvre du système, les comptes par défaut du système ou les comptes hérités.

Les résultats de cet outil d'analyse peuvent en outre être utilisés pour vérifier que les utilisateurs administratifs disposent de comptes actifs distincts pour leurs opérations administratives et quotidiennes.

La table de résultats de cet outil d'analyse est R_UA05AD_Multiple_Accounts.
UA06UNIX_Root_
Privilèges

Cet outil d'analyse signale les utilisateurs ayant des privilèges racine (super-utilisateur) dans un environnement UNIX. Il se compose de deux parties, combinées en une seule table de résultats :

  • Pour les tests UID : identifie tous les noms d'utilisateur avec un UID de 0

  • Pour les tests GID : identifie tous les noms d'utilisateur avec un GID de 0

La table de résultats de cet outil d'analyse est R_UA06UNIX_Root_Privileges.