CyberArk PAM

このドキュメントでは、CyberArk Privileged Access Manager(PAM)を Google Security Operations SOAR と統合する方法について説明します。

統合バージョン: 6.0

始める前に

統合で動作するように CyberArk PAM を構成するには、統合用のユーザーを作成し、必要な CyberArk PAM Vault にアクセスする権限をそのユーザーに付与する必要があります。

ユーザーを作成する

統合用のユーザーを作成する手順は次のとおりです。

  1. 管理者として PrivateArk Client にログインします。
  2. [ツール] > [管理ツール] > [ユーザーとグループ] に移動します。
  3. [ユーザーとグループ] ダイアログで、ユーザーの場所を選択し、[新規] をクリックして、[ユーザー] を選択します。
  4. [新しいユーザー] ダイアログの各タブで、必要に応じて情報を入力します。[全般] タブと [認証] タブは必須です。

ユーザーの作成について詳しくは、Vault にユーザーを追加するをご覧ください。

作成したユーザーに権限を付与する

次の手順に沿って、新しく作成したユーザーに Vault へのアクセス権を付与します。

  1. 管理者として PrivateArk Client にログインします。
  2. アクセス権を付与する Vault を選択してログインします(ダブルクリックします)。
  3. 上部のメニューで [所有者] をクリックします。
  4. 新しいユーザーを追加するには、[追加] をクリックします。
  5. ダイアログでユーザーを選択します。
  6. [承認済み] セクションで、次の権限を少なくとも選択します。
    • Monitor Safe
    • Retrieve files from Safe
    • Store files in Safe
    • Admisiter Safe
  7. 変更を保存するには、[OK] をクリックします。
  8. ダイアログ ウィンドウを閉じるには、[閉じる] をクリックします。

省略可: クライアント証明書を構成する

CyberArk PAM インスタンスと Google SecOps SOAR 間の安全な通信には、既存のクライアント証明書を使用するか、新しいクライアント証明書を作成できます。クライアント証明書の構成方法については、Central Credential Provider ウェブ サービスの構成をご覧ください。

CyberArk PAM と Google SecOps を統合する

統合には次のパラメータが必要です。

パラメータ 説明
API Root 必須

API ルート URL。

値は https://IP_ADDRESS :PORT の形式で指定します。
Username 必須

接続に使用するユーザー名。
Password 必須

接続に使用するパスワード。
Verify SSL 必須

選択すると、統合によって CyberArk サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。

デフォルトで選択されています。
CA Certificate 必須

API ルートへの安全な接続の検証に使用する CA 証明書。

このパラメータは、Base64 エンコード文字列の形式で CA 証明書を受け入れます。
Client Certificate Optional

CyberArk PAM 用に構成されている場合は、API ルートへの接続の確立に使用する CyberArk クライアント証明書を指定します。証明書を PFX ファイル(PKCS #12 形式)として提供します。
Client Certificate Passphrase Optional

クライアント証明書に必要なパスフレーズ。

Google SecOps SOAR で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

操作

CyberArk PAM 統合には、次のアクションが含まれます。

アカウントのパスワードの値を取得する

Get Account Password Value アクションを使用して、CyberArk からアカウントのパスワード値を取得します。

この操作を行うと、パスワードと SSH 認証鍵の両方を取得できます。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Get Account Password Value] アクションには、次のパラメータが必要です。

パラメータ 説明
Account 必須

パスワード値を取得するアカウントの ID。

注: アカウント ID は、アカウントを一覧表示アクションから取得できます。
Reason 必須

アカウントのパスワード値にアクセスする理由。

デフォルト値は Google SecOps SOAR から自動的に取得されます。
Ticketing System Name 省略可

チケット発行システムの名前。
Ticket ID 省略可

チケット発行システムのチケット ID。
Version 省略可

取得するアカウント パスワード値のバージョン。

アクションの出力

[Get Account Password Value] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[Get Account Password Value] アクションを使用した場合に受信される JSON 結果の出力を示しています。

{
 "content": "PASSWORD_VALUE"
}
出力メッセージ

[Get Account Password Value] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明
Successfully fetched password value for account ID ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

 アクションが成功しました。
Error executing action "Get Account Password Value". Reason: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表は、Get Account Password Value アクションを使用した場合のスクリプト結果出力の値を示しています。

スクリプトの結果名
is_success True または False

アカウントの一覧表示

List Accounts アクションを使用して、指定された条件に基づいて CyberArk PAM で使用可能なアカウントを一覧表示します。

このアクションは Google SecOps SOAR エンティティに対しては実行されません。

アクション入力

アカウントを一覧表示アクションには、次のパラメータが必要です。

パラメータ 説明
Search Query 必須

使用する検索クエリ。
Search operator 必須

指定された検索クエリに基づいて検索を実行するために使用する検索演算子。

指定できる値は次のとおりです。
  • contains
  • startswith

デフォルト値は contains です。
Max Records To Return 必須

返すレコード数。値を指定しない場合、アクションは 50 件のレコード(API のデフォルト)を返します。
Records Offset 必須

値を返すアクションのオフセット。
Filter Query 必須

使用するフィルタ クエリ。フィルタは、safeName パラメータまたは modificationTime パラメータに基づいて作成できます。
Saved Filter 必須

使用する保存済みフィルタのクエリ。

このパラメータは Filter Query パラメータよりも優先されます。

アクションの出力

アカウントを一覧表示アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

ケースウォールで [List Accounts] アクションを実行すると、次の表が表示されます。

テーブル名: Available PAM Accounts

テーブルの列:

  • ID
  • Safe Name
  • User Name(ユーザー名)
  • シークレット タイプ
JSON の結果

次の例は、List Accounts アクションを使用した場合に受信される JSON 結果の出力を示しています。

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}
出力メッセージ

アカウントを一覧表示アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

 アクションが成功しました。
Error executing action "List Accounts". Reason: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、アカウントを一覧表示アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Ping

*Ping アクションを使用して、CyberArk への接続をテストします。

このアクションは Google SecOps エンティティに対しては実行されません。

統合の入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Ping アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明
Successfully connected to the CyberArk PAM installation with the provided connection parameters! アクションが成功しました。
Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。