CyberArk PAM

Questo documento fornisce indicazioni su come integrare CyberArk Privileged Access Manager (PAM) con Google Security Operations SOAR.

Versione integrazione: 6.0

Prima di iniziare

Per configurare CyberArk PAM in modo che funzioni con l'integrazione, devi creare un utente per l'integrazione e concedere a questo utente le autorizzazioni per accedere ai vault CyberArk PAM necessari.

Crea un utente

Completa i seguenti passaggi per creare un utente per l'integrazione:

  1. Accedi a PrivateArk Client come amministratore.
  2. Vai a Strumenti > Strumenti di amministrazione > Utenti e gruppi.
  3. Nella finestra di dialogo Utenti e gruppi, seleziona la posizione dell'utente, fai clic su Nuovo e seleziona Utente.
  4. Nelle diverse schede della finestra di dialogo Nuovo utente, inserisci le informazioni necessarie. Le schede Generale e Autenticazione sono obbligatorie.

Per saperne di più sulla creazione di un utente, vedi Aggiungere un utente a un Vault.

Concedi autorizzazioni all'utente creato

Completa i seguenti passaggi per aggiungere l'accesso a un vault a un utente appena creato:

  1. Accedi a PrivateArk Client come amministratore.
  2. Seleziona il vault a cui vuoi fornire l'accesso e accedi (fai doppio clic).
  3. Nel menu in alto, fai clic su Proprietari.
  4. Per aggiungere un nuovo utente, fai clic su Aggiungi.
  5. Nella finestra di dialogo, seleziona l'utente.
  6. Nella sezione Autorizzato a, seleziona almeno le seguenti autorizzazioni:
    • Monitor Safe
    • Retrieve files from Safe
    • Store files in Safe
    • Admisiter Safe
  7. Per salvare le modifiche, fai clic su Ok.
  8. Per uscire dalla finestra di dialogo, fai clic su Chiudi.

(Facoltativo) Configura il certificato client

Puoi utilizzare un certificato client esistente o crearne uno nuovo per comunicazioni sicure tra l'istanza CyberArk PAM e Google SecOps SOAR. Per saperne di più su come configurare il certificato client, vedi Configurazione del servizio web del provider di credenziali centrale.

Integra CyberArk PAM e Google SecOps

L'integrazione richiede i seguenti parametri:

Parametri Descrizione
API Root Obbligatorio

L'URL radice dell'API.

Fornisci il valore nel seguente formato: https://IP_ADDRESS :PORT.
Username Obbligatorio

Il nome utente con cui connettersi.
Password Obbligatorio

La password per la connessione.
Verify SSL Obbligatorio

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server CyberArk sia valido.

Questa opzione è selezionata per impostazione predefinita.
CA Certificate Obbligatorio

Il certificato CA da utilizzare per la convalida della connessione sicura alla radice dell'API.

Questo parametro accetta il certificato CA sotto forma di stringa con codifica Base64.
Client Certificate Optional

Se configurato per CyberArk PAM, specifica il certificato client CyberArk da utilizzare per stabilire una connessione alla radice dell'API. Fornisci il certificato come file PFX (in formato PKCS #12).
Client Certificate Passphrase Optional

La passphrase richiesta per il certificato client.

Per ulteriori informazioni su come configurare l'integrazione in Google SecOps SOAR, consulta Configurare le integrazioni.

Azioni

L'integrazione di CyberArk PAM include le seguenti azioni:

Ottenere il valore della password dell'account

Utilizza l'azione Ottieni valore password account per ottenere il valore della password dell'account da CyberArk.

Con questa azione, puoi recuperare sia la password che la chiave SSH.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ottieni valore password account richiede i seguenti parametri:

Parametri Descrizione
Account Obbligatorio

L'ID account per cui recuperare il valore della password.

Nota: l'ID account può essere recuperato dall'azione Elenca account.
Reason Obbligatorio

Il motivo per accedere al valore della password dell'account.

Il valore predefinito viene recuperato automaticamente da Google SecOps SOAR.
Ticketing System Name Optional

Il nome del sistema di gestione dei ticket.
Ticket ID Optional

L'ID ticket del sistema di gestione dei ticket.
Version Optional

La versione del valore della password dell'account da recuperare.

Output dell'azione

L'azione Ottieni valore password account fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni valore password account:

{
 "content": "PASSWORD_VALUE"
}
Messaggi di output

L'azione Ottieni valore password account fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully fetched password value for account ID ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

 Azione riuscita.
Error executing action "Get Account Password Value". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Ottieni valore password account:

Nome del risultato dello script Valore
is_success True o False

Elenco account

Utilizza l'azione Elenca account per elencare gli account disponibili in CyberArk PAM in base ai criteri forniti.

Questa azione non viene eseguita sulle entità Google SecOps SOAR.

Input azione

L'azione Elenca account richiede i seguenti parametri:

Parametri Descrizione
Search Query Obbligatorio

La query di ricerca da utilizzare.
Search operator Obbligatorio

L'operatore di ricerca da utilizzare per eseguire una ricerca in base alla query di ricerca fornita.

I valori possibili sono:
  • contains
  • startswith

Il valore predefinito è contains.
Max Records To Return Obbligatorio

Il numero di record da restituire. Se non fornisci alcun valore, l'azione restituisce 50 record (valore predefinito dell'API).
Records Offset Obbligatorio

L'offset per l'azione per restituire i valori.
Filter Query Obbligatorio

La query di filtro da utilizzare. Puoi basare il filtro sui parametri safeName o modificationTime.
Saved Filter Obbligatorio

La query del filtro salvato da utilizzare.

Questo parametro ha la priorità sul parametro Filter Query.

Output dell'azione

L'azione Elenca account fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Tabella della bacheca casi

In una bacheca dei casi, l'azione Elenca account fornisce la seguente tabella:

Nome tabella: Available PAM Accounts

Colonne della tabella:

  • ID
  • Safe Name
  • Nome utente
  • Tipo di secret
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca account:

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}
Messaggi di output

L'azione Elenca account fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

 Azione riuscita.
Error executing action "List Accounts". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Elenca account:

Nome del risultato dello script Valore
is_success True o False

Dindin

Utilizza l'azione *Ping per verificare la connettività a CyberArk.

Questa azione non viene eseguita sulle entità Google SecOps.

Input di integrazione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Ping fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully connected to the CyberArk PAM installation with the provided connection parameters! Azione riuscita.
Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.