デュアルアカウント用のCyber​​ArkVaultとの統合

最終更新日: 11 年 2022 月 XNUMX 日

LogicMonitorCollectorをCyber​​ArkVaultと統合して、ログイン資格情報、キー、およびホスト、デバイス、サービスなどのその他の機密データなどの機密情報を保存できます。 単一のアカウントに加えて、Cyber​​Ark Vaultはデュアルアカウントもサポートしており、パスワードローテーションプロセス中に発生する可能性のあるデータ収集の損失やアカウントのロックなど、単一のアカウントを使用して発生する可能性のあるエッジケースの遅延を排除します。

要件

LogicMonitorCollectorをCyber​​ArkforDual Accountと統合するには、次の要件を満たす必要があります。

  • EACollectorバージョン32.200以降。
  • 同様の権限を持つXNUMXつのCyber​​Arkアカウント。 両方のアカウントのVirtualUsernameは同じである必要があります。
  • XNUMXつのCyber​​ArkアカウントのXNUMXつは、Cyber​​Arkポータルでアクティブとしてマークする必要があります。 Cyber​​Arkは、パスワードローテーション中にこれを自動的に処理する必要があります。

Cyber​​Arkアプリケーションの認証方法

LogicMonitor CollectorとCyber​​Arkの統合は、アプリケーション認証のために次の方法をサポートします。

  • 許可されたマシン
  • パス
  • ハッシュ
  • クライアント証明書

これらのXNUMXつの方法のうち、クライアント証明書の方法については、 Cyber​​Ark証明書の構成 のセクションから無料でダウンロードできます。

特権アクセスセキュリティ(PAS)ソリューションへの認証

Cyber​​ArkAIMWebServiceアプリケーションはIISサーバーに展開されます。 LogicMonitor CollectorとCyber​​Arkの統合では、IISサーバーに対して基本認証を使用します。

Vaultにログインするには、提供されたパスワードを使用する必要があります。 ログイン後、パスワードを変更することをお勧めします。

Cyber​​Ark統合のためのコレクターエージェント構成設定

次の表に、デュアルアカウントのコレクタエージェント構成を示します。

エージェント構成種類デフォルト説明
ボールトバイパスブーリアンTRUE値がtrueに設定されている場合、VaultAPIは呼び出されません。 
値がfalseに設定されている場合、VaultAPIが呼び出されます。
vault.credentials.cache.expirationtime整数60 minutesVaultキャッシュ内の資格情報の有効期限タイムアウト(分単位)。 この時間が経過すると、Vaultキャッシュ内の資格情報が期限切れになり、Vaultからそれらを再フェッチする必要があります。
vault.credentials.refresh.delay整数15 secondsクレデンシャルキャッシュの有効期限後の遅延時間(秒単位)。 キャッシュの有効期限が切れたら、タスクを更新してください。 
注意:コレクターのインストール中に遅延時間をカスタマイズできます。
vault.credentials.pair.enableブーリアン間違った情報このプロパティは、コレクターでCyber​​Arkデュアルアカウント構成を有効にします。 有効にするには、値を「true」に設定します。

Vaultのプロパティの構成

デバイスまたはデバイスグループレベルで、コレクターのVaultメタデータとVaultキーを含むVaultプロパティを構成する必要があります。

ご注意: Cyber​​Arkでは、\ /:*?などの特殊文字の使用は許可されていません。 ”<>セーフネームとオブジェクト名。

メタデータプロパティの構成

次のVaultメタデータプロパティを構成する必要があります。

Vaultメタデータ説明
ボールト.メタ.urlVaultのURL。 このURLには、フォルダとアプリケーションIDのみが含まれている必要があります。 
ボールト.メタセーフ安全(Cyber​​Arkの場合にのみ適用可能)。 デバイスは、SafeをXNUMXつだけ持つことができます。
ボールト.メタ.タイプVaultのタイプ。 現在、「Cyber​​Ark」Vault統合はコレクターでサポートされています。 
ボールト.メタ.ヘッダーHTTPGetRequestに必要なヘッダー。 このカスタムプロパティの値は、次の例に示すように、「&」で区切られたヘッダーになります。ヘッダーキーの値は「=」で区切られます。
vault.meta.header – Content-Type = application / json&Accept-Encoding = gzip、deflate、br
vault.meta.keystore.typeキーストアのタイプ。 キーストアタイプが指定されていない場合、キーストアのデフォルトタイプはJKSです。
vault.meta.keystore.pathキーストアファイルのパス。
vault.meta.keystore.passキーストアのパスワード。

Vaultキーの構成

Vaultキーは、サフィックス.lmvaultを付けてデバイスレベルで指定する必要があります。 たとえば、ssh.user情報には、ssh.user.lmvaultとして指定されたキーが必要です。 次のVaultキーを設定する必要があります。

ボールトキー説明
.lmvaultの接尾辞が付いたプロパティ(単一アカウントの場合)Vaultから値を取得する必要があり、接尾辞.lmvaultを追加してデバイスレベルで指定する必要があるカスタムプロパティ。 このようなプロパティの値は、Vault内のキーのパスになります。
例: 
ssh.user.lmvault = ssh \ ssh.user
ssh.user.lmvaultの場合、プロパティはVaultから取得する必要があります。 
このプロパティ「ssh\ssh.user」の値は、クレデンシャルが保存されているVault内のパスを表します。
.lmvaultの接尾辞が付いたプロパティ:Multi-Safeマルチセーフアプローチでは、Vault内のさまざまな金庫からlmvaultプロパティの値を取得できます。 
LM Vaultのプロパティ値は、safe:pathの形式で指定する必要があります。 たとえば、安全なsshcredsとオブジェクトパスをssh \ ssh.userとして参照するプロパティは、次のように指定できます。ssh.user.lmvault = sshcreds:ssh \ ssh.user
プロパティレベルで指定されたSafeは、「vault.meta.safe」プロパティを介してデバイスレベルで指定された値を上書きします。
.lmvaultの接尾辞が付いたプロパティ(デュアルアカウントの場合)safe、appid、folderなどのパラメーターは、既存のVaultメタデータから使用されます。 クエリは、DualAccountStatusがアクティブなVirtualUsernameに対して行われます。 <>内で指定された属性名は、VaultAPIJSON応答から解析されます。
デュアルアカウントAPIは、同じ応答内にユーザー名とパスワードを持っているため、このような資格情報チェーンは、コレクターの起動時にコレクターで形成されます。 
注意:LM Vaultプロパティ値は、VirtualUsernameとともにフィールド/属性で構成されている必要があります。 フィールドまたは属性は<>内で渡すことができます。 それぞれのテンプレートに存在する任意のプロパティでデュアルアカウントを使用できます。 フィールド/属性は、Cyber​​Arkから受信したAPI応答から解析されます。 
例:
jdbc.mysql.user.lmvault = VirtualUsername = Test
jdbc.mysql.pass.lmvault = VirtualUsername = Test
jdbc.mysql.port.lmvault = VirtualUsername = Test

LogicMonitorコレクターとCyber​​ArkVaultの統合

  • マルチセーフのサポート:デバイスの下に複数のセーフを指定して、マルチセーフから資格情報を取得します。 
  • マルチボールトのサポート:コレクターの下のデバイスに複数のボールトを使用できます。 各デバイスは、単一のVaultを指すことができます。 
  • Vault APIoverHTTPまたはHTTPSを呼び出すことができます。 ただし、HTTPSを介してVault APIを呼び出す場合は、RootCA証明書を構成する必要があります。 詳細については、を参照してください。 RootCA証明書。
  • Cyber​​Ark認証を完了する必要があります。 詳細については、を参照してください。 Cyber​​Arkアプリケーションの認証方法 のセクションから無料でダウンロードできます。 

ご注意: Vault APIへの頻繁なリクエストを回避するために、デバイス固有のキャッシュがコレクターに実装されています。

  • Cyber​​Arkデュアルアカウントの場合、既存のパラメーターに加えて、Cyber​​Ark API呼び出しには、「DualAccountStatus」と「VirtualUsername」のXNUMXつの追加パラメーターが必要です。 の「デュアルアカウントのプロパティ」セクションを参照してください。 Cyber​​Arkデュアルアカウント ページで見やすくするために変数を解析したりすることができます。
  • Cyber​​Arkデュアルアカウントの場合、プロパティはデバイスまたはデバイスグループレベルで指定できます。
  • デバイスの各プロパティレベルで、VirtualUsernameなどのデュアルアカウントプロパティを設定する必要があります。
  • Cyber​​Ark Vaultでデュアルアカウントが有効になっている場合、アカウントのテンプレートに基づいて、応答のさまざまなフィールドに対して応答の解析を実行できます。 
記事上で