Cette page a été traduite par l'API Cloud Translation.

Utiliser un système de coffre-fort externe

Compatible avec :

Google SecOps SOAR

Ce document explique comment stocker des secrets (tels que des mots de passe, des clés API ou des certificats) dans un coffre-fort externe (CyberArk, par exemple) et les extraire de manière sécurisée dans la plate-forme Google Security Operations pour les utiliser dans différentes configurations.

Vous pouvez faire référence aux identifiants Vault aux emplacements suivants :

Intégrations
Connecteurs
Emplois

Les types de déploiement suivants sont acceptés :

Instance de coffre-fort cloud
Instance Vault sur site (à l'aide d'un agent distant)

Cas d'utilisation

Les entreprises peuvent extraire les identifiants de leur coffre-fort central pour réduire le risque d'utilisation non autorisée des mots de passe.
Les fournisseurs de services de sécurité gérés (MSSP) peuvent extraire les identifiants client directement du coffre-fort du client, sans exposer les mots de passe à leur personnel.

Télécharger et configurer l'intégration Vault

Pour installer et configurer l'intégration de Vault, procédez comme suit :

Accédez au Marketplace (ou au Hub de contenu pour les clients Google SecOps) et installez l'intégration CyberArk PAM.
Configurez l'intégration à l'aide de l'une des méthodes suivantes :

Pendant l'installation (pour l'environnement par défaut).
Accédez à Réponse > Configuration des intégrations et sélectionnez l'environnement approprié.

Si vous utilisez un coffre-fort sur site avec un agent distant, toutes les intégrations tierces (qu'elles soient basées dans le cloud ou sur site) doivent être configurées sous le même agent distant pour qu'il puisse accéder au coffre-fort.
Une fois enregistrées, les informations d'identification du coffre-fort deviennent disponibles pour d'autres intégrations.

Utiliser des secrets Vault dans les configurations

Utilisez la syntaxe suivante pour référencer de manière sécurisée les secrets stockés dans le coffre-fort externe :

Syntaxe : [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
EnvironmentName : nom de l'environnement dans lequel l'intégration est configurée (voir Paramètres > Intégrations).
VaultIntegrationName : nom de l'intégration Vault téléchargée depuis le Marketplace.
VaultIntegrationInstanceName : nom de l'instance d'intégration (le coffre-fort configuré dans l'environnement).
PasswordID : identifiant du mot de passe dans le répertoire de votre coffre-fort.

Exemple :
```
[Default
  Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
```

Configurer une intégration avec un mot de passe de coffre

L'exemple suivant montre comment configurer l'intégration de la messagerie avec un mot de passe CyberArk :

Accédez à Réponse > Configuration des intégrations. L'écran Intégrations s'affiche.
Sélectionnez l'environnement cible dans lequel vous souhaitez configurer l'intégration.
Cliquez sur AjouterAjouter, puis sélectionnez l'intégration E-mail.
Renseignez les paramètres d'intégration. Pour Password (Mot de passe), utilisez la syntaxe Vault :
```
[DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
```
.

Remarque : Étant donné que le champ Mot de passe masque la saisie du mot de passe, nous vous recommandons de créer et de vérifier la syntaxe du coffre-fort dans un champ en texte brut avant de la copier dans le champ Mot de passe.
Cochez la case Exécuter l'agent à distance, car CyberArk PAM est un coffre-fort sur site.
Cliquez sur Enregistrer. Lors de l'exécution, la plate-forme récupère le mot de passe depuis le coffre-fort externe.

Remarques

Pour les coffres-forts sur site : assurez-vous que le coffre-fort et l'intégration s'exécutent à distance sous le même agent.
Pour les coffres-forts cloud avec intégrations sur site : assurez-vous que l'agent à distance a accès au coffre-fort cloud.

Configurer un connecteur avec un mot de passe de coffre-fort

Pour configurer un connecteur avec un mot de passe de coffre-fort, procédez comme suit :

Accédez à Paramètres> Ingestion > Connecteurs.
Cliquez sur add Ajouter pour créer un connecteur. Pour cet exemple, sélectionnez le connecteur Generic IMAP Email (Adresse e-mail IMAP générique).
Saisissez les paramètres appropriés.

Dans le champ Mot de passe, ajoutez ce qui suit :

[Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Configurer un job avec un mot de passe de coffre-fort

Pour configurer un job avec un mot de passe de coffre-fort, procédez comme suit :

Accédez à Réponse > Planificateur de tâches.
Cliquez sur add Ajouter, puis sélectionnez une intégration (par exemple, Google SecOps Sync Job).
Dans le champ Racine de l'API, saisissez la syntaxe du coffre-fort.

Créer une intégration personnalisée pour utiliser les identifiants du coffre

Utilisez Actions, Connecteurs ou Jobs pour extraire les identifiants du coffre-fort externe en configurant le paramètre d'intégration approprié avec la syntaxe du coffre-fort externe.

Utilisez l'extrait suivant dans votre code (Param A, qui doit contenir le modèle de coffre-fort) :

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

Les connecteurs peuvent extraire les identifiants d'un coffre-fort externe en configurant les paramètres de connecteur appropriés avec la syntaxe du coffre-fort externe.

Utilisez l'extrait suivant dans votre code (Param B, qui doit contenir le modèle de coffre-fort) :

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

Les jobs peuvent extraire des identifiants d'un coffre externe en configurant le paramètre de job correspondant avec la syntaxe du coffre externe.

Utilisez l'extrait suivant dans votre code (Param C doit contenir le modèle de coffre-fort) :

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Si vous avez configuré la configuration du coffre-fort en tant qu'intégration dans les instances partagées, vous pouvez extraire les identifiants de la configuration de l'intégration au lieu de la configuration du job. Utilisez l'extrait suivant (Param A doit contenir le modèle de coffre-fort) :

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Informations supplémentaires

Seules les intégrations de coffres commerciaux du Google SecOps Marketplace sont acceptées.
La mise à jour de la configuration du coffre-fort applique automatiquement les nouvelles identifiants aux actions, aux jobs et aux connecteurs.
Une validation du serveur est effectuée pour l'espace réservé du coffre-fort. Vous ne pouvez enregistrer un espace réservé pour un coffre-fort que si le coffre-fort référencé existe et que vous êtes autorisé à y accéder.
L'accès à Vault à l'aide d'un agent n'est compatible qu'avec la version 1.4.1.52 ou ultérieure.

Limitations connues

Lorsque vous créez des intégrations de coffre-fort personnalisées avec la fonctionnalité d'identifiants de coffre-fort, vous devez faire correspondre exactement les versions des dépendances au tableau suivant :

Dépendances	Python 2.7 / Python 3.7
requests	2.25.1
urllib3	1.26.2
six	1.15.0
requests_toolbelt	0.10.1
pyOpenSSL	19.1.0
pycparser	2.20
idna	2.10
cryptographie	3.3.1
chardet	4.0.0
cffi	1.14.4
certifi	2020.12.5
importlib-metadata	2.1.3 (Python 2.7) 4.12.0 (Python 3.7)

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.