CyberArk PAM

이 문서에서는 CyberArk Privileged Access Manager (PAM)를 Google Security Operations SOAR와 통합하는 방법을 안내합니다.

통합 버전: 6.0

시작하기 전에

통합과 함께 작동하도록 CyberArk PAM을 구성하려면 통합용 사용자를 만들고 해당 사용자에게 필요한 CyberArk PAM 보관함에 액세스할 수 있는 권한을 제공해야 합니다.

사용자 생성

다음 단계에 따라 통합 사용자를 만듭니다.

  1. 관리자로 PrivateArk Client에 로그인합니다.
  2. 도구 > 관리 도구 > 사용자 및 그룹으로 이동합니다.
  3. 사용자 및 그룹 대화상자에서 사용자 위치를 선택하고 새로 만들기를 클릭한 다음 사용자를 선택합니다.
  4. New User 대화상자의 여러 탭에서 필요한 정보를 입력합니다. 일반인증 탭은 필수입니다.

사용자 생성에 대한 자세한 내용은 보관함에 사용자 추가하기를 참고하세요.

생성된 사용자에게 권한 부여

다음 단계를 완료하여 새로 만든 사용자에게 보관 파일 액세스 권한을 추가합니다.

  1. 관리자로 PrivateArk Client에 로그인합니다.
  2. 액세스 권한을 부여할 보관소를 선택하고 로그인합니다(더블클릭).
  3. 상단 메뉴에서 소유자를 클릭합니다.
  4. 새 사용자를 추가하려면 추가를 클릭합니다.
  5. 대화상자에서 사용자를 선택합니다.
  6. 권한 부여 대상 섹션에서 다음 권한을 하나 이상 선택합니다.
    • Monitor Safe
    • Retrieve files from Safe
    • Store files in Safe
    • Admisiter Safe
  7. 변경사항을 저장하려면 OK(확인)를 클릭합니다.
  8. 대화상자를 닫으려면 닫기를 클릭합니다.

선택사항: 클라이언트 인증서 구성

CyberArk PAM 인스턴스와 Google SecOps SOAR 간의 보안 통신을 위해 기존 클라이언트 인증서를 사용하거나 새 클라이언트 인증서를 만들 수 있습니다. 클라이언트 인증서를 구성하는 방법에 대한 자세한 내용은 중앙 사용자 인증 정보 제공업체 웹 서비스 구성을 참고하세요.

CyberArk PAM 및 Google SecOps 통합

통합에는 다음 매개변수가 필요합니다.

매개변수 설명
API Root 필수

API 루트 URL입니다.

https://IP_ADDRESS :PORT 형식으로 값을 제공합니다.
Username 필수

연결할 사용자 이름입니다.
Password 필수

연결할 비밀번호입니다.
Verify SSL 필수

선택하면 통합에서 CyberArk 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되어 있습니다.
CA Certificate 필수

API 루트에 대한 보안 연결을 검증하는 데 사용할 CA 인증서입니다.

이 매개변수는 Base64로 인코딩된 문자열 형식의 CA 인증서를 허용합니다.
Client Certificate 선택사항

CyberArk PAM에 대해 구성된 경우 API 루트에 연결하는 데 사용할 CyberArk 클라이언트 인증서를 지정합니다. 인증서를 PFX 파일 (PKCS #12 형식)로 제공합니다.
Client Certificate Passphrase 선택사항

클라이언트 인증서에 필요한 암호입니다.

Google SecOps SOAR에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

작업

CyberArk PAM 통합에는 다음 작업이 포함됩니다.

계정 비밀번호 값 가져오기

계정 비밀번호 값 가져오기 작업을 사용하여 CyberArk에서 계정 비밀번호 값을 가져옵니다.

이 작업을 사용하면 비밀번호와 SSH 키를 모두 검색할 수 있습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

계정 비밀번호 값 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Account 필수

비밀번호 값을 가져올 계정 ID입니다.

참고: 계정 ID는 계정 목록 작업에서 가져올 수 있습니다.
Reason 필수

계정 비밀번호 값에 액세스하는 이유입니다.

기본값은 Google SecOps SOAR에서 자동으로 가져옵니다.
Ticketing System Name 선택사항

티켓팅 시스템의 이름입니다.
Ticket ID 선택사항

티켓 시스템 티켓 ID입니다.
Version 선택사항

가져올 계정 비밀번호 값 버전입니다.

작업 출력

계정 비밀번호 값 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예에서는 계정 비밀번호 값 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.

{
 "content": "PASSWORD_VALUE"
}
출력 메시지

계정 비밀번호 값 가져오기 작업은 다음 출력 메시지를 제공합니다.

출력 메시지 메시지 설명
Successfully fetched password value for account ID ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

 작업이 완료되었습니다.
Error executing action "Get Account Password Value". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에서는 계정 비밀번호 값 가져오기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.

스크립트 결과 이름
is_success True 또는 False

계정 나열

계정 나열 작업을 사용하여 제공된 기준에 따라 CyberArk PAM에서 사용 가능한 계정을 나열합니다.

이 작업은 Google SecOps SOAR 항목에서 실행되지 않습니다.

작업 입력

계정 목록 표시 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Search Query 필수

사용할 검색어입니다.
Search operator 필수

제공된 검색어를 기반으로 검색을 실행하는 데 사용할 검색 연산자입니다.

가능한 값은 다음과 같습니다.
  • contains
  • startswith

기본값은 contains입니다.
Max Records To Return 필수

반환할 레코드 수입니다. 값을 제공하지 않으면 작업에서 50개의 레코드 (API 기본값)를 반환합니다.
Records Offset 필수

값을 반환하는 작업의 오프셋입니다.
Filter Query 필수

사용할 필터 쿼리입니다. safeName 또는 modificationTime 매개변수를 기반으로 필터를 만들 수 있습니다.
Saved Filter 필수

사용할 저장된 필터 쿼리입니다.

이 매개변수는 Filter Query 매개변수보다 우선 적용됩니다.

작업 출력

계정 나열 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용 가능
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
케이스 월 테이블

케이스 월에서 계정 나열 작업을 사용하면 다음 표가 제공됩니다.

표 이름: 사용 가능한 PAM 계정

표 열:

  • ID
  • 안전한 이름
  • User Name(사용자 이름)
  • 보안 비밀 유형
JSON 결과

다음 예에서는 계정 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}
출력 메시지

계정 나열 작업은 다음 출력 메시지를 제공합니다.

출력 메시지 메시지 설명

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

 작업이 완료되었습니다.
Error executing action "List Accounts". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에서는 계정 나열 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.

스크립트 결과 이름
is_success True 또는 False

*Ping 작업을 사용하여 CyberArk와의 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

통합 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Ping 작업은 다음 출력 메시지를 제공합니다.

출력 메시지 메시지 설명
Successfully connected to the CyberArk PAM installation with the provided connection parameters! 작업이 완료되었습니다.
Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에서는 Ping 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.

스크립트 결과 이름
is_success True 또는 False

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.