Diese Seite wurde von der Cloud Translation API übersetzt.

CyberArk PAM

In diesem Dokument wird beschrieben, wie Sie CyberArk Privileged Access Manager (PAM) in Google Security Operations SOAR einbinden.

Integrationsversion: 6.0

Hinweise

Damit CyberArk PAM mit der Integration funktioniert, müssen Sie einen Nutzer für die Integration erstellen und diesem Nutzer die Berechtigungen für den Zugriff auf die erforderlichen CyberArk PAM-Tresore gewähren.

Nutzer erstellen

Führen Sie die folgenden Schritte aus, um einen Nutzer für die Integration zu erstellen:

Melden Sie sich als Administrator im PrivateArk-Client an.
Klicken Sie auf Tools > Verwaltungstools > Nutzer und Gruppen.
Wählen Sie im Dialogfeld Nutzer und Gruppen den Nutzerstandort aus, klicken Sie auf Neu und wählen Sie Nutzer aus.
Geben Sie auf den verschiedenen Tabs des Dialogfelds Neuer Nutzer die erforderlichen Informationen ein. Die Tabs Allgemein und Authentifizierung sind Pflichtfelder.

Weitere Informationen zum Erstellen eines Nutzers finden Sie unter Nutzer zu einem Vault hinzufügen.

Dem erstellten Nutzer Berechtigungen gewähren

Führen Sie die folgenden Schritte aus, um einem neu erstellten Nutzer Zugriff auf einen Tresor zu gewähren:

Melden Sie sich als Administrator im PrivateArk-Client an.
Wählen Sie den Tresor aus, auf den Sie Zugriff gewähren möchten, und melden Sie sich darin an (doppelklicken Sie darauf).
Klicken Sie im Menü oben auf Inhaber.
Klicken Sie auf Hinzufügen, um einen neuen Nutzer hinzuzufügen.
Wählen Sie im Dialogfeld den Nutzer aus.
Wählen Sie im Bereich Autorisiert für mindestens die folgenden Berechtigungen aus:
- Monitor Safe
- Retrieve files from Safe
- Store files in Safe
- Admisiter Safe
Klicken Sie zum Speichern der Änderungen auf OK.
Klicken Sie auf Schließen, um das Dialogfeld zu schließen.

Optional: Clientzertifikat konfigurieren

Sie können ein vorhandenes oder ein neues Clientzertifikat für die sichere Kommunikation zwischen der CyberArk PAM-Instanz und Google SecOps SOAR verwenden. Weitere Informationen zum Konfigurieren des Clientzertifikats finden Sie unter Konfiguration des Webdiensts für den zentralen Anmeldedatenanbieter.

CyberArk PAM und Google SecOps einbinden

Für die Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`API Root`	Erforderlich Die API-Stamm-URL. Geben Sie den Wert im folgenden Format an: `https://IP_ADDRESS :PORT`.
`Username`	Erforderlich Der Nutzername für die Verbindung.
`Password`	Erforderlich Das Passwort für die Verbindung.
`Verify SSL`	Erforderlich Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum CyberArk-Server gültig ist. Standardmäßig ausgewählt.
`CA Certificate`	Erforderlich Das Zertifizierungsstellenzertifikat, das zum Validieren der sicheren Verbindung zum API-Stamm verwendet werden soll. Dieser Parameter akzeptiert das CA-Zertifikat in Form einer Base64-codierten Zeichenfolge.
`Client Certificate`	Optional Wenn CyberArk PAM konfiguriert ist, geben Sie das CyberArk-Clientzertifikat an, das zum Herstellen einer Verbindung zum API-Stamm verwendet werden soll. Geben Sie das Zertifikat als PFX-Datei (im PKCS #12-Format) an.
`Client Certificate Passphrase`	Optional Die für das Clientzertifikat erforderliche Passphrase.

Weitere Informationen zum Konfigurieren der Integration in Google SecOps SOAR finden Sie unter Integrationen konfigurieren.

Aktionen

Die CyberArk PAM-Integration umfasst die folgenden Aktionen:

Kontopasswort abrufen
Konten auflisten
Ping

Kontopasswortwert abrufen

Verwenden Sie die Aktion Get Account Password Value (Kontopasswortwert abrufen), um den Kontopasswortwert von CyberArk abzurufen.

Mit dieser Aktion können Sie sowohl das Passwort als auch den SSH-Schlüssel abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Kontopasswortwert abrufen sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Account`	Erforderlich Die Konto-ID, für die der Passwortwert abgerufen werden soll. Hinweis: Die Konto-ID kann über die Aktion List Accounts (Konten auflisten) abgerufen werden.
`Reason`	Erforderlich Der Grund für den Zugriff auf den Wert des Kontopassworts. Der Standardwert wird automatisch aus Google SecOps SOAR abgerufen.
`Ticketing System Name`	Optional Der Name des Ticketsystems.
`Ticket ID`	Optional Die Ticket-ID des Ticketsystems.
`Version`	Optional Die Version des Kontopasswortwerts, die abgerufen werden soll.

Aktionsausgaben

Die Aktion Get Account Password Value (Kontopasswortwert abrufen) gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Account Password Value (Kontopasswortwert abrufen) empfangen wird:

{
 "content": "PASSWORD_VALUE"
}

Ausgabemeldungen

Die Aktion Get Account Password Value (Kontopasswortwert abrufen) gibt die folgenden Ausgabemeldungen zurück:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully fetched password value for account ID ACCOUNT_ID` `Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.`	Aktion erfolgreich.
`Error executing action "Get Account Password Value". Reason: ERROR_REASON`	Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully fetched password value for account ID
      ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

Aktion erfolgreich.

Error executing action "Get Account Password Value". Reason:
      ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Account Password Value beschrieben:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Konten auflisten

Mit der Aktion List Accounts (Konten auflisten) können Sie Konten auflisten, die in CyberArk PAM auf Grundlage der angegebenen Kriterien verfügbar sind.

Diese Aktion wird nicht für Google SecOps SOAR-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Konten auflisten sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Search Query`	Erforderlich Die zu verwendende Suchanfrage.
`Search operator`	Erforderlich Der Suchoperator, der für die Ausführung einer Suche auf Grundlage der angegebenen Suchanfrage verwendet werden soll. Folgende Werte sind möglich: `contains` `startswith` . Der Standardwert ist `contains`.
`Max Records To Return`	Erforderlich Die Anzahl der zurückzugebenden Datensätze. Wenn Sie keinen Wert angeben, gibt die Aktion 50 Datensätze zurück (API-Standard).
`Records Offset`	Erforderlich Der Offset für die Aktion, um die Werte zurückzugeben.
`Filter Query`	Erforderlich Die zu verwendende Filterabfrage. Sie können den Filter auf den Parametern `safeName` oder `modificationTime` basieren lassen.
`Saved Filter`	Erforderlich Die zu verwendende gespeicherte Filterabfrage. Dieser Parameter hat Vorrang vor dem Parameter `Filter Query`.

Aktionsausgaben

Die Aktion Konten auflisten gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Tabelle „Fall-Repository“

In einer Case Wall wird mit der Aktion Konten auflisten die folgende Tabelle bereitgestellt:

Tabellenname: Verfügbare PAM-Konten

Tabellenspalten:

ID
Sicherer Name
Nutzername
Secret-Typ

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Konten auflisten empfangen wird:

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}

Ausgabemeldungen

Die Aktion List Accounts (Konten auflisten) gibt die folgenden Ausgabemeldungen zurück:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully found accounts for the criteria provided in CyberArk PAM.` `No accounts were found for the criteria provided in CyberArk PAM.` `Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.`	Aktion erfolgreich.
`Error executing action "List Accounts". Reason: ERROR_REASON`	Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

Aktion erfolgreich.

Error executing action "List Accounts". Reason:
      ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Konten auflisten beschrieben:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Ping

Verwenden Sie die Aktion *Ping, um die Verbindung zu CyberArk zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Integrationseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the CyberArk PAM installation with the provided connection parameters! Aktion erfolgreich.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully connected to the CyberArk PAM installation with the provided connection parameters!`	Aktion erfolgreich.
`Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON`	Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Failed to connect to the CyberArk PAM installation! Error is
      ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten