Esta página se ha traducido con Cloud Translation API.

CyberArk PAM

En este documento se explica cómo integrar CyberArk Privileged Access Manager (PAM) con Google Security Operations SOAR.

Versión de integración: 6.0

Antes de empezar

Para configurar CyberArk PAM de forma que funcione con la integración, debes crear un usuario para la integración y proporcionarle los permisos necesarios para acceder a los almacenes de CyberArk PAM.

Crear un usuario

Sigue estos pasos para crear un usuario para la integración:

Inicia sesión en el cliente PrivateArk como administrador.
Ve a Herramientas > Herramientas administrativas > Usuarios y grupos.
En el cuadro de diálogo Usuarios y grupos, seleccione la ubicación del usuario, haga clic en Nuevo y, a continuación, en Usuario.
En las diferentes pestañas del cuadro de diálogo Nuevo usuario, rellena la información que se te pida. Las pestañas General y Autenticación son obligatorias.

Para obtener más información sobre cómo crear un usuario, consulta Añadir un usuario a una bóveda.

Conceder permisos al usuario creado

Sigue estos pasos para añadir el acceso a un archivo a un usuario recién creado:

Inicia sesión en el cliente PrivateArk como administrador.
Selecciona la caja fuerte a la que quieras dar acceso e inicia sesión en ella (haz doble clic en ella).
En el menú de la parte superior, haz clic en Propietarios.
Para añadir un usuario, haz clic en Añadir.
En el cuadro de diálogo, selecciona el usuario.
En la sección Autorizado para, selecciona al menos los siguientes permisos:
- Monitor Safe
- Retrieve files from Safe
- Store files in Safe
- Admisiter Safe
Para guardar los cambios, haz clic en Aceptar.
Para cerrar la ventana del cuadro de diálogo, haz clic en Cerrar.

Opcional: Configurar el certificado de cliente

Puedes usar un certificado de cliente que ya tengas o crear uno nuevo para establecer comunicaciones seguras entre la instancia de CyberArk PAM y Google SecOps SOAR. Para obtener más información sobre cómo configurar el certificado de cliente, consulta el artículo Configuración del servicio web del proveedor de credenciales centralizado.

Integrar CyberArk PAM y Google SecOps

La integración requiere los siguientes parámetros:

Parámetros	Descripción
`API Root`	Obligatorio La URL raíz de la API. Proporciona el valor en el siguiente formato: `https://IP_ADDRESS :PORT`.
`Username`	Obligatorio Nombre de usuario con el que conectarse.
`Password`	Obligatorio La contraseña para conectarse.
`Verify SSL`	Obligatorio Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de CyberArk sea válido. Esta opción está seleccionada de forma predeterminada.
`CA Certificate`	Obligatorio El certificado de AC que se usará para validar la conexión segura a la raíz de la API. Este parámetro acepta el certificado de la AC en forma de cadena codificada con Base64.
`Client Certificate`	Optional Si se ha configurado para CyberArk PAM, especifica el certificado de cliente de CyberArk que se usará para establecer una conexión con la raíz de la API. Proporciona el certificado como archivo PFX (en formato PKCS #12).
`Client Certificate Passphrase`	Optional La contraseña necesaria para el certificado de cliente.

Para obtener más información sobre cómo configurar la integración en Google SecOps SOAR, consulta el artículo Configurar integraciones.

Acciones

La integración de CyberArk PAM incluye las siguientes acciones:

Obtener el valor de la contraseña de la cuenta
List Accounts (Lista de cuentas)
Ping

Obtener el valor de la contraseña de la cuenta

Usa la acción Obtener valor de contraseña de cuenta para obtener el valor de la contraseña de la cuenta de CyberArk.

Con esta acción, puedes recuperar tanto la contraseña como la clave SSH.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener valor de contraseña de cuenta requiere los siguientes parámetros:

Parámetros	Descripción
`Account`	Obligatorio ID de la cuenta de la que se quiere obtener el valor de la contraseña. Nota: El ID de la cuenta se puede obtener mediante la acción List Accounts (Listar cuentas).
`Reason`	Obligatorio El motivo para acceder al valor de la contraseña de la cuenta. El valor predeterminado se obtiene automáticamente de Google SecOps SOAR.
`Ticketing System Name`	Optional Nombre del sistema de asistencia.
`Ticket ID`	Optional El ID de la incidencia del sistema de incidencias.
`Version`	Optional Versión del valor de la contraseña de la cuenta que se va a obtener.

Resultados de la acción

La acción Obtener valor de contraseña de cuenta proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Get Account Password Value (Obtener valor de contraseña de cuenta):

{
 "content": "PASSWORD_VALUE"
}

Mensajes de salida

La acción Obtener valor de contraseña de cuenta proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully fetched password value for account ID ACCOUNT_ID` `Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.`	La acción se ha realizado correctamente.
`Error executing action "Get Account Password Value". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully fetched password value for account ID
      ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

La acción se ha realizado correctamente.

Error executing action "Get Account Password Value". Reason:
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Obtener valor de contraseña de cuenta:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Mostrar cuentas

Usa la acción List Accounts (Listar cuentas) para enumerar las cuentas disponibles en CyberArk PAM según los criterios proporcionados.

Esta acción no se ejecuta en entidades de Google SecOps SOAR.

Entradas de acciones

La acción List Accounts requiere los siguientes parámetros:

Parámetros	Descripción
`Search Query`	Obligatorio Consulta de búsqueda que quiere utilizar.
`Search operator`	Obligatorio El operador de búsqueda que se va a usar para realizar una búsqueda basada en la consulta de búsqueda proporcionada. Estos son los valores posibles: `contains` `startswith` El valor predeterminado es `contains`.
`Max Records To Return`	Obligatorio Número de registros que se devolverán. Si no proporcionas ningún valor, la acción devuelve 50 registros (valor predeterminado de la API).
`Records Offset`	Obligatorio Desplazamiento de la acción para devolver los valores.
`Filter Query`	Obligatorio Consulta de filtro que se va a usar. Puede basar el filtro en los parámetros `safeName` o `modificationTime`.
`Saved Filter`	Obligatorio La consulta del filtro guardado que se va a usar. Este parámetro tiene prioridad sobre el parámetro `Filter Query`.

Resultados de la acción

La acción List Accounts (Listar cuentas) proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	Disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Tabla del panel de casos

En un muro de casos, la acción Lista de cuentas proporciona la siguiente tabla:

Nombre de la tabla: Cuentas PAM disponibles

Columnas de la tabla:

ID
Nombre seguro
Nombre de usuario
Tipo de secreto

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción List Accounts (Listar cuentas):

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}

Mensajes de salida

La acción List Accounts (Listar cuentas) proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully found accounts for the criteria provided in CyberArk PAM.` `No accounts were found for the criteria provided in CyberArk PAM.` `Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.`	La acción se ha realizado correctamente.
`Error executing action "List Accounts". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

La acción se ha realizado correctamente.

Error executing action "List Accounts". Reason:
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Accounts (Listar cuentas):

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Ping

Usa la acción *Ping para probar la conectividad con CyberArk.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de integración

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Mensajes de salida

La acción Ping proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the CyberArk PAM installation with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the CyberArk PAM installation with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the CyberArk PAM installation! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.