此页面由 Cloud Translation API 翻译。

CyberArk PAM

本文档提供了有关如何将 CyberArk Privileged Access Manager (PAM) 与 Google Security Operations SOAR 集成的指南。

集成版本：6.0

准备工作

如需配置 CyberArk PAM 以与集成搭配使用，您需要为集成创建一个用户，并向该用户授予访问所需 CyberArk PAM 保险库的权限。

创建用户

请按以下步骤为集成创建用户：

以管理员身份登录 PrivateArk Client。
依次前往工具 > 管理工具 > 用户和群组。
在用户和群组对话框中，选择用户位置，点击新建，然后选择用户。
在新用户对话框的不同标签页中，根据需要填写信息。常规和身份验证标签页是必需的。

如需详细了解如何创建用户，请参阅向 Vault 添加用户。

向创建的用户授予权限

如需向新创建的用户授予保险箱访问权限，请完成以下步骤：

以管理员身份登录 PrivateArk Client。
选择要授予访问权限的保险箱，然后登录该保险箱（双击该保险箱）。
在顶部菜单中，点击所有者。
如需添加新用户，请点击添加。
在对话框中，选择相应用户。
在授权部分，至少选择以下权限：
- Monitor Safe
- Retrieve files from Safe
- Store files in Safe
- Admisiter Safe
要保存更改，请点击确定。
如需退出对话框窗口，请点击关闭。

可选：配置客户端证书

您可以使用现有客户端证书，也可以创建新证书，以在 CyberArk PAM 实例和 Google SecOps SOAR 之间建立安全通信。如需详细了解如何配置客户端证书，请参阅中央凭据提供方 Web 服务配置。

集成 CyberArk PAM 和 Google SecOps

集成需要以下参数：

参数	说明
`API Root`	必需 API 根网址。请按以下格式提供值：`https://IP_ADDRESS :PORT`。
`Username`	必需用于连接的用户名。
`Password`	必需用于连接的密码。
`Verify SSL`	必需如果选择此项，集成会验证与 CyberArk 服务器的连接所用的 SSL 证书是否有效。此选项将会默认选中。
`CA Certificate`	必需用于验证与 API 根的安全连接的 CA 证书。此参数接受以 Base64 编码字符串形式表示的 CA 证书。
`Client Certificate`	可选如果配置为使用 CyberArk PAM，请指定用于建立与 API 根的连接的 CyberArk 客户端证书。以 PFX 文件（PKCS #12 格式）的形式提供证书。
`Client Certificate Passphrase`	可选客户端证书所需的口令。

如需详细了解如何在 Google SecOps SOAR 中配置集成，请参阅配置集成。

操作

CyberArk PAM 集成包括以下操作：

获取账号密码值
列出账号
Ping

获取账号密码值

使用 Get Account Password Value 操作从 CyberArk 获取账号密码值。

通过此操作，您可以检索密码和 SSH 密钥。

此操作不适用于 Google SecOps 实体。

操作输入

获取账号密码值操作需要以下参数：

参数	说明
`Account`	必需要检索密码值的账号 ID。注意：可以通过列出账号操作检索账号 ID。
`Reason`	必需访问账号密码值的原因。默认值会自动从 Google SecOps SOAR 中检索。
`Ticketing System Name`	可选工单系统的名称。
`Ticket ID`	可选工单系统工单 ID。
`Version`	可选要检索的账号密码值版本。

操作输出

获取账号密码值操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例介绍了使用 Get Account Password Value 操作时收到的 JSON 结果输出：

{
 "content": "PASSWORD_VALUE"
}

输出消息

获取账号密码值操作提供以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully fetched password value for account ID ACCOUNT_ID` `Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.`	操作成功。
`Error executing action "Get Account Password Value". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully fetched password value for account ID
      ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

操作成功。

Error executing action "Get Account Password Value". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表介绍了使用 Get Account Password Value 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

列出账号

使用 List Accounts 操作根据提供的条件列出 CyberArk PAM 中可用的账号。

此操作不会在 Google SecOps SOAR 实体上运行。

操作输入

列出账号操作需要以下参数：

参数	说明
`Search Query`	必需要使用的搜索查询。
`Search operator`	必需用于根据提供的搜索查询运行搜索的搜索运算符。可能的值如下： `contains` `startswith` 。默认值为 `contains`。
`Max Records To Return`	必需要返回的记录数。如果您未提供任何值，该操作会返回 50 条记录（API 默认值）。
`Records Offset`	必需操作返回值的偏移量。
`Filter Query`	必需要使用的过滤查询。您可以根据 `safeName` 或 `modificationTime` 参数设置过滤条件。
`Saved Filter`	必需要使用的已保存过滤查询。此参数的优先级高于 `Filter Query` 参数。

操作输出

列出账号操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

案例墙表格

在“问题墙”上，“列出账号”操作会提供下表：

表格名称：Available PAM Accounts

表列：

ID
保险箱名称
用户名
密钥类型

JSON 结果

以下示例介绍了使用 列出账号操作时收到的 JSON 结果输出：

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}

输出消息

列出账号操作提供以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully found accounts for the criteria provided in CyberArk PAM.` `No accounts were found for the criteria provided in CyberArk PAM.` `Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.`	操作成功。
`Error executing action "List Accounts". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

操作成功。

Error executing action "List Accounts". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表介绍了使用 List Accounts 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

Ping

使用 Ping 操作测试与 CyberArk 的连接。

此操作不适用于 Google SecOps 实体。

集成输入

无。

操作输出

Ping 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

Ping 操作提供以下输出消息：

输出消息消息说明

Successfully connected to the CyberArk PAM installation with the provided connection parameters! 操作成功。

输出消息	消息说明
`Successfully connected to the CyberArk PAM installation with the provided connection parameters!`	操作成功。
`Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Failed to connect to the CyberArk PAM installation! Error is
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表介绍了使用 Ping 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`