PAM da CyberArk

Este documento fornece orientações sobre como integrar o CyberArk Privileged Access Manager (PAM) ao Google Security Operations SOAR.

Versão da integração: 6.0

Antes de começar

Para configurar o PAM do CyberArk para funcionar com a integração, crie um usuário para a integração e conceda a ele as permissões necessárias para acessar os cofres do PAM do CyberArk.

Criar um usuário

Siga estas etapas para criar um usuário para a integração:

  1. Faça login no PrivateArk Client como administrador.
  2. Acesse Ferramentas > Ferramentas administrativas > Usuários e grupos.
  3. Na caixa de diálogo Usuários e grupos, selecione o local do usuário, clique em Novo e selecione Usuário.
  4. Nas diferentes guias da caixa de diálogo Novo usuário, preencha as informações conforme necessário. As guias Geral e Autenticação são obrigatórias.

Para mais informações sobre como criar um usuário, consulte Adicionar um usuário a um Vault.

Conceder permissões ao usuário criado

Siga estas etapas para adicionar acesso a um cofre a um usuário recém-criado:

  1. Faça login no PrivateArk Client como administrador.
  2. Selecione o cofre a que você quer dar acesso e faça login nele (clique duas vezes).
  3. No menu da parte de cima, clique em Proprietários.
  4. Para adicionar um novo usuário, clique em Adicionar.
  5. Na caixa de diálogo, selecione o usuário.
  6. Na seção Autorizado a, selecione pelo menos as seguintes permissões:
    • Monitor Safe
    • Retrieve files from Safe
    • Store files in Safe
    • Admisiter Safe
  7. Para salvar as mudanças, clique em OK.
  8. Para sair da janela de diálogo, clique em Fechar.

Opcional: configurar o certificado do cliente

Você pode usar um certificado de cliente existente ou criar um novo para comunicações seguras entre a instância do CyberArk PAM e o Google SecOps SOAR. Para mais informações sobre como configurar o certificado do cliente, consulte Configuração do serviço da Web do Central Credential Provider.

Integrar o PAM do CyberArk e o Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros Descrição
API Root Obrigatório

O URL raiz da API.

Informe o valor no seguinte formato: https://IP_ADDRESS :PORT.
Username Obrigatório

O nome de usuário para se conectar.
Password Obrigatório

A senha para se conectar.
Verify SSL Obrigatório

Se selecionada, a integração verifica se o certificado SSL para a conexão com o servidor CyberArk é válido.

Essa opção é selecionada por padrão.
CA Certificate Obrigatório

O certificado da CA a ser usado para validar a conexão segura com a raiz da API.

Esse parâmetro aceita o certificado da CA na forma de uma string codificada em Base64.
Client Certificate Opcional

Se configurado para o CyberArk PAM, especifique o certificado do cliente do CyberArk a ser usado para estabelecer uma conexão com a raiz da API. Forneça o certificado como o arquivo PFX (no formato PKCS #12).
Client Certificate Passphrase Opcional

A senha necessária para o certificado do cliente.

Para mais informações sobre como configurar a integração no Google SecOps SOAR, consulte Configurar integrações.

Ações

A integração do CyberArk PAM inclui as seguintes ações:

Receber o valor da senha da conta

Use a ação Get Account Password Value para receber o valor da senha da conta do CyberArk.

Com essa ação, é possível recuperar a senha e a chave SSH.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber valor da senha da conta requer os seguintes parâmetros:

Parâmetros Descrição
Account Obrigatório

O ID da conta para recuperar o valor da senha.

Observação: o ID da conta pode ser recuperado na ação List Accounts.
Reason Obrigatório

O motivo para acessar o valor da senha da conta.

O valor padrão é recuperado automaticamente do Google SecOps SOAR.
Ticketing System Name Opcional

O nome do sistema de tíquetes.
Ticket ID Opcional

O ID do tíquete do sistema de emissão de tíquetes.
Version Opcional

A versão do valor da senha da conta a ser recuperada.

Saídas de ação

A ação Receber valor da senha da conta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Get Account Password Value:

{
 "content": "PASSWORD_VALUE"
}
Mensagens de saída

A ação Receber valor da senha da conta fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully fetched password value for account ID ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

 A ação foi concluída.
Error executing action "Get Account Password Value". Reason: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Get Account Password Value:

Nome do resultado do script Valor
is_success True ou False

Listar contas

Use a ação Listar contas para listar as contas disponíveis no CyberArk PAM com base nos critérios fornecidos.

Essa ação não é executada em entidades do Google SecOps SOAR.

Entradas de ação

A ação List Accounts exige os seguintes parâmetros:

Parâmetros Descrição
Search Query Obrigatório

A consulta de pesquisa a ser usada.
Search operator Obrigatório

O operador de pesquisa a ser usado para executar uma pesquisa com base na consulta de pesquisa fornecida.

Os valores possíveis são:
  • contains
  • startswith
.

O valor padrão é contains.
Max Records To Return Obrigatório

O número de registros a serem retornados. Se você não fornecer um valor, a ação vai retornar 50 registros (padrão da API).
Records Offset Obrigatório

O deslocamento da ação para retornar os valores.
Filter Query Obrigatório

A consulta de filtro a ser usada. É possível basear o filtro nos parâmetros safeName ou modificationTime.
Saved Filter Obrigatório

A consulta de filtro salvo a ser usada.

Esse parâmetro tem prioridade sobre o Filter Query.

Saídas de ação

A ação List Accounts fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Disponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela do painel de casos

Em um quadro de casos, a ação Listar contas fornece a seguinte tabela:

Nome da tabela: Contas PAM disponíveis

Colunas da tabela:

  • ID
  • Nome seguro
  • User Name
  • Tipo de secret
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Accounts:

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}
Mensagens de saída

A ação List Accounts fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

 A ação foi concluída.
Error executing action "List Accounts". Reason: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Accounts:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação *Ping para testar a conectividade com o CyberArk.

Essa ação não é executada em entidades do Google SecOps.

Entradas de integração

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully connected to the CyberArk PAM installation with the provided connection parameters! A ação foi concluída.
Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.