Cortex XDR:默认查看者角色在带有自定义小组件的仪表板上显示“无法运行查询”
3904
Created On 06/17/24 13:33 PM - Last Modified 08/14/24 01:47 AM
Symptom
- 被授予名为 Viewer 的默认 Cortex XDR 角色的用户在查看仪表板或基于 Widget 运行的 XQL 查询的任何 Widget 时可能会遇到问题。
- 这可能会出现两个错误:
- “无法运行查询”
- 权限通知 - 您当前的角色阻止您使用此页面中的所有组件。 请与您的管理员联系以调整您的访问权限。
- 这可能会出现两个错误:
Environment
- Cortex XDR 或 XDR
Cause
- 默认 Dashboard 或自定义 Dashboard 正在使用的小组件可以在 XQL 查询上运行
- 默认情况下,“查看者”角色为查询中心活动提供“仅查看”访问权限,而“查看/编辑”功能需要查看/编辑才能查看正在运行 XQL 查询的任何小组件,因为从技术上讲,它是在查看仪表板时重新运行它们
- 由于这个原因,任何只有查看者角色的用户都将无法查看任何运行 XQL 查询的小部件,从而产生错误 “无法运行查询” ,然后生成错误“权限通知 - 您当前的角色正在阻止您使用此页面中的所有组件。 请与您的管理员联系以调整您的访问权限。
Resolution
租户的管理员可以克隆查看者角色并进行编辑,以获得查询中心的查看/编辑权限:
- 登录到租户
- 导航到 “设置”>“配置”>“访问管理>角色”
- 找到 查看者 角色,按住 R 键单击并选择 另存为新角色
- 提供“角色名称”,在“事件响应>调查”>“查询中心”下,选择“查看/编辑”,然后单击“保存”
- 导航到“设置”>“配置”>“访问管理>用户”,然后 R 键单击该用户,选择“编辑用户权限”
- 将用户的角色设置为新创建的自定义角色,然后单击“保存”