Se usó la API de Cloud Translation para traducir esta página.

Trabajar con un sistema de bóveda externo

Compatible con:

Google SecOps SOAR

En este documento, se explica cómo puedes almacenar secretos (como contraseñas, claves de API o certificados) en una bóveda externa, como CyberArk, y extraerlos de forma segura a la plataforma de Operaciones de seguridad de Google para usarlos en varias configuraciones.

Puedes hacer referencia a las credenciales de la bóveda en las siguientes ubicaciones:

Integraciones
Conectores
Trabajos

Se admiten los siguientes tipos de implementación:

Instancia de Cloud Vault
Instancia de bóveda local (con agente remoto)

Casos de uso

Las organizaciones empresariales pueden extraer credenciales de su bóveda central para reducir el riesgo de uso no autorizado de contraseñas.
Los proveedores de servicios de seguridad administrados (MSSP) pueden extraer las credenciales del cliente directamente de su bóveda, sin exponer las contraseñas a su personal.

Descarga y configura la integración de Vault

Para instalar y configurar la integración de la bóveda, sigue estos pasos:

Ve a Marketplace (o Content Hub para los clientes de Google SecOps) y, luego, instala la integración de CyberArk PAM.
Configura la integración con uno de estos métodos:

Durante la instalación (para el entorno predeterminado)
Ve a Response > Integrations Setup y selecciona el entorno adecuado.

Si usas una bóveda local con un agente remoto, todas las integraciones de terceros (ya sean basadas en la nube o locales) deben configurarse en el mismo agente remoto para que pueda acceder a la bóveda.
Una vez guardadas, las credenciales de la bóveda estarán disponibles para otras integraciones.

Usa secretos de Vault en las configuraciones

Usa la siguiente sintaxis para hacer referencia de forma segura a los secretos almacenados en la bóveda externa:

Sintaxis: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
EnvironmentName: Es el nombre del entorno en el que se configura la integración (consulta Configuración > Integraciones).
VaultIntegrationName: Es el nombre de la integración de la bóveda que se descargó de Marketplace.
VaultIntegrationInstanceName: Es el nombre de la instancia de integración (la bóveda configurada dentro del entorno).
PasswordID: Es el identificador de la contraseña del directorio de tu bóveda.

Ejemplo:
```
[Default
  Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
```

Configura una integración con una contraseña de bóveda

En el siguiente ejemplo, se muestra cómo configurar la integración de correo electrónico con una contraseña de CyberArk:

Ve a Response > Integrations Setup. Aparecerá la pantalla Integrations.
Selecciona el entorno de destino en el que deseas configurar la integración.
Haz clic en AgregarAgregar y, luego, elige la integración de Correo electrónico.
Completa los parámetros de integración. Para Contraseña, usa la sintaxis de la bóveda:
```
[DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
```
.

Nota: Debido a que el campo Contraseña enmascara la entrada de la contraseña, recomendamos crear y verificar la sintaxis de la bóveda en un campo de texto sin formato antes de copiarla en el campo Contraseña.
Selecciona la casilla de verificación Remote Agent Run Remotely, ya que CyberArk PAM es una bóveda local.
Haz clic en Guardar. En el tiempo de ejecución, la plataforma recupera la contraseña de la bóveda externa.

Consideraciones

Para las bóvedas locales: Asegúrate de que tanto la bóveda como la integración se ejecuten de forma remota con el mismo agente.
Para las bóvedas en la nube con integraciones locales: Asegúrate de que el agente remoto tenga acceso a la bóveda en la nube.

Configura un conector con una contraseña de bóveda

Para configurar un conector con una contraseña de bóveda, sigue estos pasos:

Ve a Configuración > Ingestión > Conectores.
Haz clic en add Agregar para crear un conector nuevo. Para este ejemplo, elige el conector Generic IMAP Email.
Ingresa los parámetros adecuados.

En el campo Contraseña, agrega lo siguiente:

[Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Cómo configurar un trabajo con una contraseña de bóveda

Para configurar un trabajo con una contraseña de bóveda, sigue estos pasos:

Ve a Response > Jobs Scheduler.
Haz clic en add Agregar y elige una integración (por ejemplo, Trabajo de sincronización de Google SecOps).
En el campo API Root, ingresa la sintaxis de la bóveda.

Crea una integración personalizada para usar las credenciales de la bóveda

Usa Actions, Connectors o Jobs para extraer las credenciales de la bóveda externa. Para ello, configura el parámetro de integración pertinente con la sintaxis de la bóveda externa.

Usa el siguiente fragmento en tu código (Parámetro A, que debe contener el patrón de la bóveda):

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

Los conectores pueden extraer credenciales de una bóveda externa configurando los parámetros del conector pertinentes con la sintaxis de la bóveda externa.

Usa el siguiente fragmento en tu código (Parámetro B, que debe contener el patrón de la bóveda):

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

Los trabajos pueden extraer credenciales de una bóveda externa configurando el parámetro de trabajo pertinente con la sintaxis de la bóveda externa.

Usa el siguiente fragmento en tu código (Param C debe contener el patrón de la bóveda):

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Si configuraste la bóveda como integración en Instancias compartidas, puedes extraer las credenciales de la configuración de la integración en lugar de la configuración del trabajo. Usa el siguiente fragmento (Parámetro A debe contener el patrón de la bóveda):

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Información adicional

Solo se admiten las integraciones de bóvedas comerciales de Google SecOps Marketplace.
Cuando se actualiza la configuración de la bóveda, se aplican automáticamente las nuevas credenciales en acciones, trabajos y conectores.
Hay una validación del servidor para el marcador de posición de la bóveda. Solo puedes guardar un marcador de posición de bóveda si la bóveda a la que se hace referencia existe y tienes autorización para acceder a ella.
El acceso a la bóveda con un agente solo se admite en la versión 1.4.1.52 o posterior.

Limitaciones conocidas

Cuando crees integraciones de bóveda personalizadas con la función de credenciales de bóveda, debes hacer coincidir las versiones de dependencia exactamente con la siguiente tabla:

Dependencias	Python 2.7 o Python 3.7
requests	2.25.1
urllib3	1.26.2
six	1.15.0
requests_toolbelt	0.10.1
pyOpenSSL	19.1.0
pycparser	2.20
idna	2.10
criptografía	3.3.1
chardet	4.0.0
cffi	1.14.4
certifi	2020.12.5
importlib-metadata	2.1.3 (Python 2.7) 4.12.0 (Python 3.7)

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.