Cette page a été traduite par l'API Cloud Translation.

CyberArk PAM

Ce document explique comment intégrer CyberArk Privileged Access Manager (PAM) à Google Security Operations SOAR.

Version de l'intégration : 6.0

Avant de commencer

Pour configurer CyberArk PAM afin qu'il fonctionne avec l'intégration, vous devez créer un utilisateur pour l'intégration et lui accorder les autorisations nécessaires pour accéder aux coffres CyberArk PAM requis.

Créer un compte utilisateur

Pour créer un utilisateur pour l'intégration, procédez comme suit :

Connectez-vous au client PrivateArk en tant qu'administrateur.
Accédez à Outils > Outils d'administration > Utilisateurs et groupes.
Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez l'emplacement de l'utilisateur, cliquez sur Nouveau, puis sélectionnez Utilisateur.
Dans les différents onglets de la boîte de dialogue Nouvel utilisateur, saisissez les informations nécessaires. Les onglets Général et Authentification sont obligatoires.

Pour savoir comment créer un utilisateur, consultez Ajouter un utilisateur à un espace Vault.

Accorder des autorisations à l'utilisateur créé

Pour ajouter l'accès à un coffre-fort à un utilisateur nouvellement créé, procédez comme suit :

Connectez-vous au client PrivateArk en tant qu'administrateur.
Sélectionnez le coffre-fort auquel vous souhaitez donner accès et connectez-vous (double-cliquez dessus).
Dans le menu supérieur, cliquez sur Propriétaires.
Pour ajouter un utilisateur, cliquez sur Ajouter.
Dans la boîte de dialogue, sélectionnez l'utilisateur.
Dans la section Autorisé à, sélectionnez au moins les autorisations suivantes :
- Monitor Safe
- Retrieve files from Safe
- Store files in Safe
- Admisiter Safe
Pour enregistrer les modifications, cliquez sur OK.
Pour fermer la boîte de dialogue, cliquez sur Fermer.

Facultatif : Configurer le certificat client

Vous pouvez utiliser un certificat client existant ou en créer un pour sécuriser les communications entre l'instance CyberArk PAM et Google SecOps SOAR. Pour en savoir plus sur la configuration du certificat client, consultez Configuration du service Web Central Credential Provider.

Intégrer CyberArk PAM et Google SecOps

L'intégration nécessite les paramètres suivants :

Paramètres	Description
`API Root`	Obligatoire URL racine de l'API. Indiquez la valeur au format suivant : `https://IP_ADDRESS :PORT`.
`Username`	Obligatoire Nom d'utilisateur à utiliser pour la connexion.
`Password`	Obligatoire Mot de passe à utiliser pour la connexion.
`Verify SSL`	Obligatoire Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur CyberArk est valide. Cette option est sélectionnée par défaut.
`CA Certificate`	Obligatoire Certificat de l'autorité de certification à utiliser pour valider la connexion sécurisée à la racine de l'API. Ce paramètre accepte le certificat CA sous la forme d'une chaîne encodée en base64.
`Client Certificate`	Optional Si vous avez configuré CyberArk PAM, spécifiez le certificat client CyberArk à utiliser pour établir une connexion à la racine de l'API. Fournissez le certificat sous forme de fichier PFX (au format PKCS #12).
`Client Certificate Passphrase`	Optional Phrase secrète requise pour le certificat client.

Pour savoir comment configurer l'intégration dans Google SecOps SOAR, consultez Configurer des intégrations.

Actions

L'intégration CyberArk PAM inclut les actions suivantes :

Obtenir la valeur du mot de passe du compte
Lister les comptes
Ping

Obtenir la valeur du mot de passe du compte

Utilisez l'action Get Account Password Value (Obtenir la valeur du mot de passe du compte) pour obtenir la valeur du mot de passe du compte à partir de CyberArk.

Cette action vous permet de récupérer le mot de passe et la clé SSH.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir la valeur du mot de passe du compte nécessite les paramètres suivants :

Paramètres	Description
`Account`	Obligatoire ID du compte pour lequel récupérer la valeur du mot de passe. Remarque : L'ID de compte peut être récupéré à partir de l'action Lister les comptes.
`Reason`	Obligatoire Raison de l'accès à la valeur du mot de passe du compte. La valeur par défaut est automatiquement récupérée à partir de Google SecOps SOAR.
`Ticketing System Name`	Optional Nom du système de tickets.
`Ticket ID`	Optional ID du ticket dans le système de gestion des demandes.
`Version`	Optional Version de la valeur du mot de passe du compte à récupérer.

Sorties d'action

L'action Obtenir la valeur du mot de passe du compte fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant décrit le résultat JSON obtenu lors de l'utilisation de l'action Obtenir la valeur du mot de passe du compte :

{
 "content": "PASSWORD_VALUE"
}

Messages de sortie

L'action Obtenir la valeur du mot de passe du compte fournit les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully fetched password value for account ID ACCOUNT_ID` `Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.`	Action effectuée.
`Error executing action "Get Account Password Value". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully fetched password value for account ID
      ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

Action effectuée.

Error executing action "Get Account Password Value". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Obtenir la valeur du mot de passe du compte :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Répertorier les comptes

Utilisez l'action List Accounts (Lister les comptes) pour lister les comptes disponibles dans CyberArk PAM en fonction des critères fournis.

Cette action ne s'exécute pas sur les entités Google SecOps SOAR.

Entrées d'action

L'action List Accounts nécessite les paramètres suivants :

Paramètres	Description
`Search Query`	Obligatoire Requête de recherche à utiliser.
`Search operator`	Obligatoire Opérateur de recherche à utiliser pour effectuer une recherche en fonction de la requête de recherche fournie. Les valeurs possibles sont les suivantes : `contains` `startswith` La valeur par défaut est `contains`.
`Max Records To Return`	Obligatoire Nombre d'enregistrements à renvoyer. Si vous ne fournissez aucune valeur, l'action renvoie 50 enregistrements (valeur par défaut de l'API).
`Records Offset`	Obligatoire Décalage de l'action pour renvoyer les valeurs.
`Filter Query`	Obligatoire Requête de filtre à utiliser. Vous pouvez baser le filtre sur les paramètres `safeName` ou `modificationTime`.
`Saved Filter`	Obligatoire Requête de filtre enregistré à utiliser. Ce paramètre est prioritaire sur le paramètre `Filter Query`.

Sorties d'action

L'action List Accounts (Lister les comptes) fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Tableau du mur des cas

Sur un mur de cas, l'action Lister les comptes fournit le tableau suivant :

Nom de la table : Available PAM Accounts (Comptes PAM disponibles)

Colonnes du tableau :

ID
Nom du coffre-fort
User Name (Nom d'utilisateur)
Type de code secret

Résultat JSON

L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action List Accounts (Lister les comptes) :

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}

Messages de sortie

L'action List Accounts (Lister les comptes) fournit les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully found accounts for the criteria provided in CyberArk PAM.` `No accounts were found for the criteria provided in CyberArk PAM.` `Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.`	Action effectuée.
`Error executing action "List Accounts". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

Action effectuée.

Error executing action "List Accounts". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Lister les comptes :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Ping

Utilisez l'action *Ping pour tester la connectivité à CyberArk.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'intégration

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Ping fournit les messages de sortie suivants :

Message affiché Description du message

Successfully connected to the CyberArk PAM installation with the provided connection parameters! Action effectuée.

Message affiché	Description du message
`Successfully connected to the CyberArk PAM installation with the provided connection parameters!`	Action effectuée.
`Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Failed to connect to the CyberArk PAM installation! Error is
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.