PAM360とCortex XSOARの統合

PAM360はManageEngineの統一された特権アクセス管理製品で、ケース管理、オートメーション、リアルタイムコラボレーション、および脅威インテリジェンス管理を組み込む技術で作成されたコマンドを使って、標準化された応答を作成できるrobotic process automation (RPA)ツールであるPalo Alto NetworksによりCortex XSOARと統合し、インシデントライフサイクル全体でセキュリティチームの役割を果たします。本書の終わりには、以下について学ぶことになります:

  1. 統合の主な利点
  2. 統合はどのように機能しますか?
  3. PAM360インスタンスのCortex XSOAR出のセットアップ
  4. Cortex XSOARのPAM360での構成

1.統合の主な利点

PAM360 - Cortex XSOAR統合では、PAM360が提供したコマンドで、リソースとアカウントの作成、パスワードの取り込み、およびリソースとアカウント詳細の更新等、各種のパスワードに関連する操作を自動化できます。これらの操作は、Cortex XSOARでも使用し、自動化タスクを実行できます。

この統合では、PAM360 Vaultに保存された認証情報を使って、Cortex XSOARでインスタンスを安全に構成できます。Cortex XSOARインスタンスから、アカウントパスワードをリセと、リソースとアカウント詳細をパスワード公開しないで取り込む、パスワードにアクセスするため自動化した承認ワークフローを実行できます。

2.統合はどのように機能しますか?

PAM360-Cortex XSOAR統合は、コマンドを利用して、PAM360のvaultからリソースとアカウント詳細から、パスワードを自動的に取り込みます。PAM360は、組み合わせて完全エンドポイント管理ワークフローを作成できる各種のトートメーションタスクを対象とする各種コマンドを提供します。
お使いの環境で指定エンドポイントでスキャンをトリガーするのにオートメーションタスクが必要なシナリオを想定してみましょう。エンドポイントに接続するための認証情報はPAM360 vaultに保存されています。PAM360をCortex XSOARと統合することで、,PAM360が提供したコマンドを使う自動セットアップを作成でき、要件にあわせて使用できるPAM360 vaultからパスワードおよびその他のアカウント詳細を取り込むことができます。

3.PAM360インスタンスのCortex XSOAR出のセットアップ

前提条件

Cortex XSOARの作動インスタンスは、PAM360との統合を完了するのに必要です。

初回ユーザーは、ここをクリックしてCortex XSOARにサインアップしてから、はじめます。

下の手順にしたがって、Cortex XSOARポータルをセットアップし、PAM360インスタンスをそこに追加します:

  1. Cortex XSOARポータルにログインし、左ペインにあるマーケットプレイスに移動します。
  2. ここで、ManageEngine PAM360アプリケーションを検索し、[インストール]をクリックします。
  3. インストール後、[設定] >> [統合]の順に進み、サーバーとサービス category.カテゴリで探します。
    4. cortex-portal
  4. PAM360をインスタンスとして追加するには、PAM360アプリケーションで、[インスタンスを追加]をクリックします。
  5. ここ、インスタンス設定で、PAM360インターフェイスから生成された名前、PAM360 Server URL、およびアプリトークン等のパラメーターを追加します。完了したら、[テスト]オプションをクリックして、接続をチェックします。成功メッセージが表示されたら、セットアップが完了です。
    6. cortex-portal
    cortex-portal
  6. PAM360インスタンスをCortexポータルにセットアップしたら、関連する入力パラメーターを追加して、PAM360コマンドを表示および実行できます。PAM360のコマンドは、REST APIを使って作動するため、中断されない結果を出すため、適切な入力データの入力することが重要です。
  7. Playground - War RoomページのコマンドとスクリプトでPAM360インスタンスを検索します。.ここで、PAM360が提供したすべてのコマンドを表示できます。各コマンドの横の[実行]をクリックして、各コマンドに必要なパラメーターを追加します。例えば、コマンドpam360-create-resourceの場合、新しいリソースを正常に作成するには、以下の属性を入力します:リソース名、リソースタイプ、アカウント名、アカウントパスワード、およびCortexポータルに追加された有効なPAM360インスタンスを選択します。次に、[実行]をクリックして、コマンドを実行します。
    8. cortex-portal
    cortex-portal
    cortex-portal
  8. 呼び出された各コマンドについて、ステータスがPlayground - War Room ページにDBotメッセージで表示されます。コマンドの詳細な出力結果を表示するには、上部の操作オプションの横の省略記号をクリックし、[コンテクストデータ]をクリックします。
    cortex-portal
  9. 以下は、PAM360が提供したコマンドのリストです。各コマンドの入力と出力データのサンプルは、各リンクをクリックします:

    コマンド

    		 説明

    pam360-create-resource

    リソースを作成する。

    pam360-create-account

    アカウントを作成する。

    pam360-update-resource

    リソースの属性を更新する。

    pam360-update-account

    アカウントの属性を更新する。

    pam360-list-all-resources

    ユーザーが所有しユーザーに共有したすべてのリソースを一覧表示する。

    pam360-list-all-accounts

    ユーザーが所有しユーザーに共有したすべてのアカウントを一覧表示する。

    pam360-fetch-account-details

    アカウントの詳細を取り込む。

    pam360-fetch-resource-account-id

    リソースとアカウントIDを取り込む。

    pam360-fetch-password

    パスワードを取り込む。

    pam360-update-account-password

    アカウントのパスワードを更新する。

4.Cortex XSOARのPAM360での構成

    注記:Robotic Process Automationオプションは、RPA権限があるユーザーのみに表示されます - カスタムロールが有効になっている管理者、特権管理者およびユーザー。


  1. PAM360のWebインターフェイスにログインし、[管理者] >> [統合] >> [Robotic Process Automation]の順に移動します。
    管理者ページ
  2. Cortex XSOAR有効化をクリックします。
    管理者ページ
  3. 新しいウインドウには、3つのオプションがあります:追加、保留中の要求削除.

4.1 エントリの追加

  1. [追加]をクリックし、以下の属性を入力して、ユーザーに新しいRPAエントリを追加します。
    エントリの追加
    1. RPA名:参照として、一意の名前を入力します。例. Password-Retrieval-Bot。
    2. ユーザー名:PAM360にWebアクセスするすべてのユーザーは、ドロップダウンに一覧表示されます。ここで選択したユーザーは、次の手順で指定したホスト名からCortex XSOARのアプリトークンを使用できるユーザーです。アプリトークンを使用する前に、要求が承認メカニズムを通過します。 各種ユーザーの承認のしくみについての詳細は、RPAエントリセクションの承認ワークフローを参照してください。各自のユーザー名を選択した場合、RPAエントリは自動承認され、生成されるアプリトークンはすぐにアクティブになりますので、注意してください。
    3. ホスト名:生成されたアプリトークンが承認された後、選択したユーザーがPAM360コマンドを使用できるホスト名を入力します。一意のユーザー名には1つのRPAエントリのみ可能です - ホスト名コンボ。
    4. アプリトークン:[生成]をクリックして、アプリトークンを生成します。このアプリトークンは、選択したユーザーによりRPAエントリ要求が承認された後でのみアクティブになります。デフォルトでは、アプリトークンは無期限で有効です。ただし、アプリトークンの有効期間は次の手順で定義できます。
    5. アプリトークンの有効期間:有効期限なしが自動的に選択され、アプリトークンは無期限で有効になります。[有効期限日]をクリックして、アプリトークンの有億期限日を設定します。[保存]をクリックして、新しいエントリを追加します。

4.2 エントリの編集

RPAエントリを編集するには、下の手順に従います:

  1. 必要なRPA名の横にある操作下の[編集]アイコンをクリックします。
  2. RPA名、ホスト名アプリトークンを編集します。詳細が編集されたら、要求が承認メカニズムを再通過します。要求が承認されたら、新しいアプリトークンまたはホスト名がアクティブになります。
    エントリの追加

4.3 RPAエントリの承認ワークフロー

追加ウインドウで選択したユーザー名は、管理者ユーザー名、別のユーザー名または非管理者ユーザー(パスワードユーザーまたはパスワード監査者)にすることができます

ケースI -自動承認: 各自のユーザー名を選択した場合、エントリは自動的に承認され、アプリトークンがすぐにアクティブになります。

ケースII - RPA特権ユーザーの承認待ち:RPAオーナーがRPA権限があるユーザーの場合、承認要求がRPAオーナーに送信され、保留中の要求に表示されます。ユーザー名ホスト名作成者等の詳細をレビューし、要求を承認または拒否するか選択できます。承認されたら、RPAオーナーは、新しいアプリトークンを生成するか、エントリが追加されたときに生成されたのと同じものを使用できます。RPAオーナーのみ、アプリトークンを適応でき、PAM360コマンドをCortex XSOARで使用できますので、注意してください。要求が拒否されたら、RPAエントリはメニューから削除されます。

ケースIII - RPA権限なしでユーザーへの承認待ち:RPAオーナーがRPA権限がないユーザーの場合、RPAエントリ以外のすべての管理者は、承認要求を取得します—管理者のいずれか1人が要求を承認または拒否できます。アプリトークンをコピーして、管理者の1人による承認後、RPAオーナーに提供することができます。

アプリトークンは、以下のいずれかのケースが正しい場合、有効になりません:

  1. アプリトークンが正しくない。
  2. アプリトークンの有効期限が切れた。
  3. Cortex XSOAR統合は、[管理者] >> [統合] >> [Robotic Process Automation]の順に移動し、無効にします。.
  4. アプリトークンをRPAエントリの作成時に指定したものと異なるホストから使用している場合。

4.4 エントリの削除

  1. RPAエントリを削除するには、RPA名の横の操作下にある[削除]アイコンをクリックします。複数のエントリを削除するには、RPA名の横のチェックボックスを選択し、トップバーの[ユーザーを削除]をクリックします。
  2. 確認のダイアログボックスで、[削除]をクリックします。