Esta página se ha traducido con Cloud Translation API.

Trabajar con un sistema de bóveda externo

Disponible en:

SecOps de Google SOAR

En este documento se explica cómo puedes almacenar secretos (como contraseñas, claves de API o certificados) en un almacén externo, como CyberArk, y extraerlos de forma segura a la plataforma Google Security Operations para usarlos en varias configuraciones.

Puedes hacer referencia a las credenciales de Vault en las siguientes ubicaciones:

Integraciones
Conectores
Empleos

Se admiten los siguientes tipos de implementaciones:

Instancia de Cloud Vault
Instancia de Vault local (con agente remoto)

Casos prácticos

Las organizaciones empresariales pueden extraer credenciales de su almacén central para reducir el riesgo de que se usen contraseñas sin autorización.
Los proveedores de servicios de seguridad gestionados (MSSPs) pueden extraer las credenciales de los clientes directamente del vault del cliente, sin exponer las contraseñas a su personal.

Descargar y configurar la integración de Vault

Para instalar y configurar la integración de la caja fuerte, sigue estos pasos:

Ve a Marketplace (o Centro de contenido si eres cliente de Google SecOps) e instala la integración de CyberArk PAM.
Configura la integración con uno de estos métodos:

Durante la instalación (para el entorno predeterminado).
Ve a Respuesta > Configuración de integraciones y selecciona el entorno adecuado.

Si utilizas una cámara acorazada local con un agente remoto, todas las integraciones de terceros (ya sean en la nube o locales) deben configurarse en el mismo agente remoto para que pueda acceder a la cámara acorazada.
Una vez guardadas, las credenciales del gestor estarán disponibles para otras integraciones.

Usar secretos de Vault en configuraciones

Usa la siguiente sintaxis para hacer referencia de forma segura a los secretos almacenados en el almacén externo:

Sintaxis: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
EnvironmentName: nombre del entorno en el que se configura la integración (consulta Configuración > Integraciones).
VaultIntegrationName: nombre de la integración de Vault descargada de Marketplace.
VaultIntegrationInstanceName: nombre de la instancia de integración (el almacén configurado en el entorno).
PasswordID el identificador de la contraseña de tu directorio del gestor de contraseñas.

Ejemplo:
```
[Default
  Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
```

Configurar una integración con una contraseña de Vault

En el siguiente ejemplo se muestra cómo configurar la integración del correo electrónico con una contraseña de CyberArk:

Ve a Respuesta > Configuración de integraciones. Aparecerá la pantalla Integraciones.
Selecciona el entorno de destino en el que quieras configurar la integración.
Haz clic en AñadirAñadir y, a continuación, elige la integración Correo electrónico.
Rellena los parámetros de integración. En Contraseña, usa la sintaxis de Vault:
```
[DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
```
.

Nota: Como el campo Contraseña oculta la contraseña, te recomendamos que crees y verifiques la sintaxis del archivo en un campo de texto sin formato antes de copiarla en el campo Contraseña.
Seleccione la casilla Remote Agent Run Remotely (Ejecutar agente remoto de forma remota), ya que CyberArk PAM es un vault local.
Haz clic en Guardar. En el tiempo de ejecución, la plataforma obtiene la contraseña del almacén externo.

Cuestiones importantes

En el caso de los almacenes locales: asegúrate de que tanto el almacén como la integración se ejecuten de forma remota con el mismo agente.
En el caso de los almacenes en la nube con integraciones locales: asegúrate de que el agente remoto tenga acceso al almacén en la nube.

Configurar un conector con una contraseña de vault

Para configurar un conector con una contraseña de vault, sigue estos pasos:

Ve a Ajustes > Ingesta > Conectores.
Haz clic en Añadir Añadir para crear un conector. En este ejemplo, elige el conector Correo IMAP genérico.
Introduzca los parámetros adecuados.

En el campo Contraseña, añade lo siguiente:

[Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Configurar una tarea con una contraseña de la caja fuerte

Para configurar un trabajo con una contraseña de vault, sigue estos pasos:

Ve a Respuesta > Programador de trabajos.
Haz clic en Añadir Añadir y elige una integración (por ejemplo, Trabajo de sincronización de Google SecOps).
En el campo API Root (Raíz de la API), introduce la sintaxis del vault.

Crear una integración personalizada para usar las credenciales del archivo seguro

Usa Acciones, Conectores o Trabajos para extraer las credenciales del vault externo configurando el parámetro de integración correspondiente con la sintaxis del vault externo.

Usa el siguiente fragmento en tu código (Parámetro A, que debe contener el patrón del archivo):

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

Los conectores pueden extraer credenciales de un almacén externo configurando los parámetros del conector correspondiente con la sintaxis del almacén externo.

Usa el siguiente fragmento en tu código (Parámetro B, que debe contener el patrón de la caja fuerte):

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

Los trabajos pueden extraer credenciales de un almacén externo configurando el parámetro de trabajo correspondiente con la sintaxis del almacén externo.

Usa el siguiente fragmento en tu código (Param C debe contener el patrón de la caja fuerte):

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Si has configurado la configuración del archivo de claves como integración en instancias compartidas, puedes extraer las credenciales de la configuración de la integración en lugar de la configuración del trabajo. Usa el siguiente fragmento (Parámetro A debe contener el patrón del archivo):

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Información adicional

Solo se admiten integraciones de Vault comerciales de Google SecOps Marketplace.
Al actualizar la configuración del vault, las nuevas credenciales se aplican automáticamente a las acciones, las tareas y los conectores.
Hay una validación del servidor para el marcador de posición del archivo. Solo puedes guardar un marcador de posición de una cartera si la cartera a la que hace referencia existe y tienes autorización para acceder a ella.
El acceso a la caja fuerte mediante un agente solo se admite en la versión 1.4.1.52 o posterior.

Limitaciones conocidas

Cuando crees integraciones de Vault personalizadas con la función de credenciales de Vault, debes usar exactamente las versiones de las dependencias que se indican en la siguiente tabla:

Dependencias	Python 2.7 o Python 3.7
solicitudes	2.25.1
urllib3	1.26.2
seis	1.15.0
requests_toolbelt	0.10.1
pyOpenSSL	19.1.0
pycparser	2,20
idna	2.10
criptografía	3.3.1
chardet	4.0.0
cffi	1.14.4
certifi	2020.12.5
importlib-metadata	2.1.3 (Python 2.7) 4.12.0 (Python 3.7)

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.