创建和管理CyberArk证书

凭据扫描允许您访问网络上的资产以收集您可能无法访问的信息,从而使您能够更深入地了解您的环境。通过利用CyberArk Vault技术,CyberArk集成使您能够轻松地运行凭据扫描,并动态地为多个站点分配凭据进行身份验证。它允许您全局管理您的特权帐户,而不必直接通过安全控制台提供它们。

配置以CyberArk作为身份验证源的凭据扫描与配置任何其他类型的凭据扫描几乎相同。与其他凭据扫描一样,您可以设置共享扫描凭据,以便跨多个站点使用,或仅能由特定站点使用的凭据。当扫描运行时,向CyberArk请求访问目标资产所需的凭据,CyberArk将提供所请求的凭据,以便扫描能够对这些资产进行身份验证和评估。

提示

在这个CyberArk证书查找功能的上下文中,前面描述的“目标资产”是使用以下方法在您的站点配置中指定的资产:

  • 通过IP地址
  • 通过IP地址范围
  • 由主机名
  • 通过资产组

以下部分将帮助您了解如何将CyberArk设置为凭据扫描的身份验证源。

支持服务

CyberArk支持以下服务的认证源:

  • Kerberos
  • Microsoft Windows / Samba (SMB / CIFS)
  • Secure Shell (SSH)
  • SSH公钥
  • IBM AS / 400

当您添加任何这些凭据类型时,可以将CyberArk配置为凭据管理源。

当将CyberArk选择为凭据管理时,您可以对共享凭据和站点级别凭据使用SSH、SSH公钥的特权升级。

您可以使用Test Credential函数来测试升级的凭据。

在添加CyberArk作为认证源之前

在您添加CyberArk作为身份验证源之前,您需要:

  • 向CyberArk注册您的安全控制台- 任何请求密码的机器必须在Cyber​​ark Vault中定义为应用程序。注册安全控制台使提供程序能够为控制台分配AppID并检索它的密码。
  • 安装CyberArk应用程序标识管理器—Application Identity Manager或AIM必须安装在与InsightVM实例相同的机器上。
  • 在赛博方舟中定义“用户DN”字段-请确保您在CyberArk中为您想要用于扫描的帐户填写了“用户DN”字段。

有关这些先决条件的帮助,请访问Cyber​​汉字文档或联系其支持团队。

了解CyberArk保险库选项

将Cyber​​ark添加为凭证扫描的身份验证源是一个简单的过程。您可以设置Cyber​​Ark以提供共享扫描凭据以跨多个站点或特定于站点的凭据。无论您创建的凭据的范围如何,可用于创建它们的选项将是相同的。

下表提供了所有CyberArk Vault选项的说明:

选项

描述

Appid.

已被授权提供访问Cyber​​Ark并检索凭据的AppID。需要此选项。

查找类型

用于从保险库选择凭据的方法。您可以选择静态绑定或动态绑定。

查找属性

查找属性允许您为将检索的凭据指定标准。您可以使用以下属性的组合创建查找:资产的IP地址,对象名称,用户名,策略ID和自定义属性。

查找位置

您希望在Vault中搜索凭据的位置。您可以搜索所有保险箱或指定您想要搜索的保险箱和文件夹。

安全

Cyber​​Ark Safe的ID包含将被扫描的资产的凭据。

文件夹

Cyber​​Ark文件夹的ID包含将被扫描的资产的凭据。默认文件夹是root。

用户帐号的可选域名。如果启用,该域还可以用于在扫描期间对适用的资产进行身份验证。

在网络方舟金库查证件

查找允许您根据一组条件匹配凭据。有两种类型的查找可以执行:

  • 静态绑定-使用查找属性从保险库获取单个凭据。
  • 动态绑定-使用查找属性为每个资产获取凭证。当您不知道资产所需的凭证,并希望指定在扫描期间查找所需凭证的标准时,这是非常有用的。

如果您正在动态添加凭据,则应将其限制为不包含许多非Cyber​​Ark凭据的站点。否则,将在站点中的每个目标上执行Cyber​​Ark查找,这将导致大量失败的查找。为防止发生这种情况,您可以创建可以使用Cyber​​Ax凭据的自定义网站列表。来自共享扫描凭据配置佩奇,去现场作业标签并选择创建一个可以使用这些凭证的自定义站点列表选择。

除了查找类型,您还可以使用查找属性来指定标准,该标准标识在扫描期间可用于资产的凭据。您可以通过以下属性查询CyberArk Vault:

  • 地址—资产的IP地址或完全限定域名。
  • 对象名称—存储凭据的对象的名称。
  • 用户名- 将检索帐户的用户名。
  • 政策ID-分配给将要检索的凭据的策略ID。
  • 自定义属性-自定义属性使您能够从CyberArk密码对象中添加密钥和值。在InsightVM中可用的查找属性包括最常见的请求参数;但是,如果您想从CyberArk密码对象请求其他参数,则可以使用自定义属性指定它们。

为CyberArk添加共享扫描凭据

共享扫描凭据是在安全控制台中全局管理的,可以由多个站点使用。要配置共享凭据,您必须是全局管理员角色或具有“管理站点”权限的角色。

  1. 单击政府选项卡。
  2. 政府页面,单击创建链接共享凭据
  3. 一般选项卡,将与Cyber​​Ark一起使用的新凭据集名。
  4. 账户选项卡,选择以下服务之一:Microsoft Windows / Samba(SMB / CIFS),Secure Shell(SSH)或Secure Shell(SSH)公钥。这些服务支持Cyber​​Ark作为身份验证源。
  5. 凭证管理下拉,选择CyberArk。
  1. 出现Cyber​​ark选项时,必须提供AppID,该AppID将标识请求凭据的应用程序。
  1. 此外,如果您希望将扫描配置为从特定的保险箱或基于CyberArk中的特定标准集检索凭证,则可以提供查找属性和查找位置。请参阅了解CyberArk保险库选项更多细节。
  • 可能需要为连接指定至少两个查找属性,以提取适当的凭据。例如,在配置连接时,考虑同时指定“用户名”和“地址”属性。

使用域名的地址查找

完全限定域名和IP地址之间的优先级在CyberArk中是不同的。在无法解析域名或IP地址的情况下,可以使用“address”查找属性与指定的域一起检索凭据。为此,找到“Lookup Attributes”字段,验证是否选择了“Address”,并为资产输入IP地址或完全限定域。

如果域和地址都是有效的,InsightVM将优先选择与域关联的凭据。

  1. 现场作业选项卡可以选择将这些扫描凭据添加到所有现有和新站点,或者您可以选择将有权访问这些凭据的站点集。最好的做法是使用创建一个可以使用这些凭证的自定义站点列表选择。这将允许您控制访问CyberArk证书的站点,并防止对站点中的每个目标执行CyberArk查找,这将导致大量失败查找。你应该将网站的范围缩小到那些你知道会包含返回CyberArk证书的目标的网站。
  1. 保存您的更改。

当您完成时,您将能够选择您为任何已授予访问权限的网站添加的凭据。

为Cyber​​Ark添加特定于网站的凭据

扫描凭据可以是特定于站点的,这意味着它们被限制在单个站点使用。要配置特定于站点的凭据,您必须是全局管理员或站点所有者。

添加CyberArk作为认证源:

  1. 创建或编辑站点。
  2. 身份验证选项卡。
  3. 添加凭据选项卡。
  4. 一般选项卡,将与Cyber​​Ark一起使用的新凭据集名。
  5. 账户选项卡,选择以下服务之一:Microsoft Windows / Samba(SMB / CIFS),Secure Shell(SSH)或Secure Shell(SSH)公钥。这些服务支持Cyber​​Ark作为身份验证源。
  6. 凭证管理下拉,选择CyberArk。
  1. 出现Cyber​​ark选项时,必须提供AppID,该AppID将标识请求凭据的应用程序。
  1. 此外,如果您希望配置扫描以根据CyberArk中的特定标准集从特定保险箱检索凭证,则可以提供查找属性和查找位置。请参阅了解CyberArk保险库选项更多细节。
  • 可能需要为连接指定至少两个查找属性,以提取适当的凭据。例如,在配置连接时,考虑同时指定“用户名”和“地址”属性。

使用域名的地址查找

完全限定域名和IP地址之间的优先级在CyberArk中是不同的。在无法解析域名或IP地址的情况下,可以使用“address”查找属性与指定的域一起检索凭据。为此,找到“Lookup Attributes”字段,验证是否选择了“Address”,并为资产输入IP地址或完全限定域。

如果域和地址都是有效的,InsightVM将优先选择与域关联的凭据。

  1. 保存您的更改。

当您完成时,您已经添加了凭证的网站将能够使用它们进行身份验证扫描。