CyberArk PAM

Este documento fornece orientações sobre como integrar o CyberArk Privileged Access Manager (PAM) com o SOAR do Google Security Operations.

Versão da integração: 6.0

Antes de começar

Para configurar o CyberArk PAM para funcionar com a integração, tem de criar um utilizador para a integração e conceder a esse utilizador as autorizações para aceder aos cofres do CyberArk PAM necessários.

Crie um utilizador

Conclua os passos seguintes para criar um utilizador para a integração:

  1. Inicie sessão no PrivateArk Client como administrador.
  2. Aceda a Ferramentas > Ferramentas administrativas > Utilizadores e grupos.
  3. Na caixa de diálogo Utilizadores e grupos, selecione a localização do utilizador, clique em Novo e selecione Utilizador.
  4. Nos diferentes separadores da caixa de diálogo Novo utilizador, preencha as informações necessárias. Os separadores Geral e Autenticação são obrigatórios.

Para mais informações sobre como criar um utilizador, consulte o artigo Adicione um utilizador a um Vault.

Conceda autorizações ao utilizador criado

Conclua os passos seguintes para adicionar acesso a um cofre a um utilizador recém-criado:

  1. Inicie sessão no PrivateArk Client como administrador.
  2. Selecione o cofre ao qual quer conceder acesso e inicie sessão no mesmo (clique duas vezes).
  3. No menu superior, clique em Proprietários.
  4. Para adicionar um novo utilizador, clique em Adicionar.
  5. Na caixa de diálogo, selecione o utilizador.
  6. Na secção Autorizado a, selecione, pelo menos, as seguintes autorizações:
    • Monitor Safe
    • Retrieve files from Safe
    • Store files in Safe
    • Admisiter Safe
  7. Para guardar as alterações, clique em OK.
  8. Para sair da janela de diálogo, clique em Fechar.

Opcional: configure o certificado de cliente

Pode usar um certificado de cliente existente ou criar um novo para comunicações seguras entre a instância do CyberArk PAM e o Google SecOps SOAR. Para mais informações sobre como configurar o certificado de cliente, consulte a configuração do serviço Web do fornecedor de credenciais central.

Integre o CyberArk PAM e o Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros Descrição
API Root Obrigatório

O URL raiz da API.

Indique o valor no seguinte formato: https://IP_ADDRESS :PORT.
Username Obrigatório

O nome de utilizador com o qual estabelecer ligação.
Password Obrigatório

A palavra-passe para estabelecer ligação.
Verify SSL Obrigatório

Se esta opção estiver selecionada, a integração verifica se o certificado SSL para a ligação ao servidor CyberArk é válido.

Selecionado por predefinição.
CA Certificate Obrigatório

O certificado da AC a usar para validar a ligação segura à raiz da API.

Este parâmetro aceita o certificado da AC sob a forma de uma string codificada em Base64.
Client Certificate Opcional

Se estiver configurado para o CyberArk PAM, especifique o certificado do cliente CyberArk a usar para estabelecer uma ligação à raiz da API. Faculte o certificado como o ficheiro PFX (no formato PKCS #12).
Client Certificate Passphrase Opcional

A frase secreta necessária para o certificado de cliente.

Para mais informações sobre como configurar a integração no Google SecOps SOAR, consulte o artigo Configure integrações.

Ações

A integração do CyberArk PAM inclui as seguintes ações:

Obtenha o valor da palavra-passe da conta

Use a ação Get Account Password Value para obter o valor da palavra-passe da conta do CyberArk.

Com esta ação, pode obter a palavra-passe e a chave SSH.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Get Account Password Value requer os seguintes parâmetros:

Parâmetros Descrição
Account Obrigatório

O ID da conta para a qual pretende obter o valor da palavra-passe.

Nota: pode obter o ID da conta através da ação List Accounts (Listar contas).
Reason Obrigatório

O motivo para aceder ao valor da palavra-passe da conta.

O valor predefinido é obtido automaticamente do Google SecOps SOAR.
Ticketing System Name Opcional

O nome do sistema de emissão de bilhetes.
Ticket ID Opcional

O ID do pedido do sistema de emissão de bilhetes.
Version Opcional

A versão do valor da palavra-passe da conta a obter.

Resultados da ação

A ação Get Account Password Value fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Account Password Value:

{
 "content": "PASSWORD_VALUE"
}
Mensagens de saída

A ação Get Account Password Value (Obter valor da palavra-passe da conta) fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully fetched password value for account ID ACCOUNT_ID

Password value for account with ID ACCOUNT_ID and supplied version VERSION was not found in the CyberArk PAM.

 Ação efetuada com êxito.
Error executing action "Get Account Password Value". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Account Password Value:

Nome do resultado do script Valor
is_success True ou False

Listar contas

Use a ação List Accounts para listar as contas disponíveis no CyberArk PAM com base nos critérios fornecidos.

Esta ação não é executada em entidades SOAR do Google SecOps.

Dados de ações

A ação List Accounts requer os seguintes parâmetros:

Parâmetros Descrição
Search Query Obrigatório

A consulta de pesquisa a usar.
Search operator Obrigatório

O operador de pesquisa a usar para executar uma pesquisa com base na consulta de pesquisa fornecida.

Os valores possíveis são os seguintes:
  • contains
  • startswith
.

O valor predefinido é contains.
Max Records To Return Obrigatório

O número de registos a devolver. Se não fornecer nenhum valor, a ação devolve 50 registos (predefinição da API).
Records Offset Obrigatório

O desvio para a ação devolver os valores.
Filter Query Obrigatório

A consulta de filtro a usar. Pode basear o filtro nos parâmetros safeName ou modificationTime.
Saved Filter Obrigatório

A consulta de filtro guardada a usar.

Este parâmetro tem prioridade sobre o parâmetro Filter Query.

Resultados da ação

A ação List Accounts fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela de parede da caixa

Numa Case Wall, a ação List Accounts apresenta a seguinte tabela:

Nome da tabela: Available PAM Accounts

Colunas da tabela:

  • ID
  • Nome seguro
  • Nome de utilizador
  • Tipo de segredo
Resultado JSON

O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Accounts:

{
   "value": [
       {
           "categoryModificationTime": 1672051160,
           "platformId": "WinDomain",
           "safeName": "UserTestSafe",
           "id": "33_3",
           "name": "user@example.com",
           "address": "user@example.com",
           "userName": "user",
           "secretType": "password",
           "platformAccountProperties": {},
           "secretManagement": {
               "automaticManagementEnabled": true,
               "lastModifiedTime": 1672051160
           },
           "createdTime": 1672051160
       }
   ],
   "count": 1
}
Mensagens de saída

A ação List Accounts apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully found accounts for the criteria provided in CyberArk PAM.

No accounts were found for the criteria provided in CyberArk PAM.

Both the Filter Query and Saved Filter parameters are provided, Saved Filter takes priority.

 Ação efetuada com êxito.
Error executing action "List Accounts". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação List Accounts:

Nome do resultado do script Valor
is_success True ou False

Tchim-tchim

Use a ação *Ping para testar a conetividade com o CyberArk.

Esta ação não é executada em entidades do Google SecOps.

Entradas de integração

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully connected to the CyberArk PAM installation with the provided connection parameters! Ação efetuada com êxito.
Failed to connect to the CyberArk PAM installation! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.