PAM360とCortex XSOARの統合

注意:本ドキュメントに掲載しているサードパーティー製品の画面上の項目名は、英語表記の場合があります。

ManageEngineの統合型特権アクセス管理製品であるPAM360は、Palo Alto NetworksのCortex XSOARと統合されています。Cortex XSOARは、ケース管理、オートメーション、リアルタイムコラボレーション、脅威インテリジェンス管理を組み込んだ技術によって作成されたコマンドを使用して標準化された応答を構築できるロボティックプロセスオートメーション(RPA)ツールであり、インシデントライフサイクル全体にわたってセキュリティチームを支援します。

本書を読み終えると、以下のトピックについて知識が付きます:

  1. ロールと権限
  2. 統合の主なメリット
  3. 統合はどのように機能しますか?
  4. PAM360インスタンスのCortex XSOARでのセットアップ
  5. Cortex XSOARのPAM360での構成

1.ロールと権限

デフォルトでは、特権管理者管理者Cloud Administratorのユーザーロールを持つユーザーは、Cortexを統合してセットアップできます。これらの事前定義されたロールに加えて、カスタム設定ロボティック・プロセス・オートメーション権限が有効になっているカスタムロールを持つユーザーは、統合および設定を行うことができます。

2.統合の主なメリット

PAM360 - Cortex XSOAR統合では、PAM360が提供したコマンドで、リソースとアカウントの作成、パスワードの取り込み、およびリソースとアカウント詳細の更新等、各種のパスワードに関連する操作を自動化できます。これらの操作は、Cortex XSOARでも使用し、自動化タスクを実行できます。

この統合では、PAM360 Vaultに保存された認証情報を使って、Cortex XSOARでインスタンスを安全に構成できます。Cortex XSOARインスタンスから、アカウントパスワードをリセットし、リソースとアカウント詳細をパスワード公開しないで取り込む、パスワードにアクセスするため自動化した承認ワークフローを実行できます。

3.統合はどのように機能しますか?

PAM360-Cortex XSOAR統合は、コマンドを利用して、PAM360のvaultからリソースとアカウント詳細から、パスワードを自動的に取り込みます。PAM360は、組み合わせて完全エンドポイント管理ワークフローを作成できる各種のオートメーションタスクを対象とする各種コマンドを提供します。

お使いの環境で指定エンドポイントでスキャンをトリガーするのにオートメーションタスクが必要なシナリオを想定してみましょう。エンドポイントに接続するための認証情報はPAM360 vaultに保存されています。PAM360をCortex XSOARと統合することで、PAM360が提供したコマンドを使う自動セットアップを作成でき、要件にあわせて使用できるPAM360 vaultからパスワードおよびその他のアカウント詳細を取り込むことができます。

4.PAM360インスタンスのCortex XSOARでのセットアップ

メモ:

Cortex XSOARの作動インスタンスは、PAM360との統合を完了するのに必要です。初めてご利用の方は、こちらをクリックしてCortex XSOARに登録し、使い始めてください。

下の手順にしたがって、Cortex XSOARポータルをセットアップし、PAM360インスタンスをそこに追加します:

  1. Cortex XSOARポータルにログインし、左パネルにあるMarketplaceに移動します。
  2. ここで、ManageEngine PAM360アプリケーションを検索し、[Install]をクリックします。
  3. インストール後、[Settings] >> [Integration]の順に進み、Servers & Services カテゴリで探します。
    cortex-portal-1
  4. PAM360をインスタンスとして追加するには、PAM360アプリケーションで、[Add Instance]をクリックします。
  5. Instance Settingsで、Name、PAM360 Server URL、PAM360インターフェースから生成されたAPP TOKENなどのパラメーターを追加します。完了したら、[Test]オプションをクリックして、接続をチェックします。[Success]メッセージが表示されたら、セットアップが完了です。
    cortex-portal-2

    cortex-portal-3
  6. PAM360インスタンスをCortexポータルにセットアップしたら、関連する入力パラメーターを追加して、PAM360コマンドを表示および実行できます。PAM360のコマンドは、REST APIを使って作動するため、中断されない結果を出すため、適切な入力データの入力することが重要です。
  7. Playground - War RoomページのCommands and ScriptsでPAM360インスタンスを検索します。ここで、PAM360が提供したすべてのコマンドを表示できます。各コマンドの横の[Run]をクリックして、各コマンドに必要なパラメーターを追加します。例えば、コマンドpam360-create-resourceの場合、新しいリソースを正常に作成するには、以下の属性を入力します:resource_name、resource_type、account_name、password、およびCortexポータルに追加された有効なPAM360インスタンスを選択します。次に、[Run]をクリックして、コマンドを実行します。
    cortex-portal-4

    cortex-portal-5

    cortex-portal-5a
  8. 呼び出された各コマンドについて、ステータスがPlayground - War Room ページにDBotメッセージで表示されます。コマンドの詳細な出力結果を表示するには、上部のActionsオプションの横の、点3つの記号をクリックし、[Context Data]をクリックします。
    cortex-portal-6
  9. 以下は、PAM360が提供したコマンドのリストです。各コマンドの入力と出力データのサンプルは、各リンクをクリックします:

    コマンド

    説明

    pam360-create-resource

    リソースを作成

    pam360-create-account

    アカウントを作成

    pam360-update-resource

    リソースの属性を更新

    pam360-update-account

    アカウントの属性を更新

    pam360-list-all-resources

    ユーザーが所有する、および共有されているすべてのリソースを一覧表示

    pam360-list-all-accounts

    特定のリソースに属するすべてのアカウントを一覧表示

    pam360-fetch-account-details

    アカウントの詳細を取得

    pam360-fetch-resource-account-id

    リソースIDとアカウントIDを取得

    pam360-fetch-password

    パスワードを取得

    pam360-update-account-password

    アカウントのパスワードを更新


5.Cortex XSOARのPAM360での構成

RPA統合を有効にするには、以下の手順に従ってください。

  1. PAM360のWebインターフェースにログインし、[管理] >> [ワークフローオーケストレーション] >> [ロボティック・プロセス・オートメーション]に移動します。
  2. Cortex XSOAR有効にするをクリックします。
    cortex-1
  3. 新しいウィンドウから、RPAエントリの追加、編集、削除、および保留中の要求の承認を行うことができます。新しい RPA エントリを追加するには、[追加] をクリックし、次の属性を入力して、ユーザーの新しい RPA エントリを追加します。
    1. RPA名:参照として、一意の名前を入力します。例. Password-Retrieval-Bot。
    2. ユーザー名:PAM360にWebアクセスするすべてのユーザーは、ドロップダウンに一覧表示されます。ここで選択したユーザーは、次の手順で指定したホスト名からCortex XSOARのアプリトークンを使用できるユーザーです。アプリトークンを使用する前に、要求が承認メカニズムを通過します。さまざまなユーザータイプに対する承認の仕組みについては、「RPAエントリの承認ワークフロー」セクションを参照してください。各自のユーザー名を選択した場合、RPAエントリは自動承認され、生成されるアプリトークンはすぐにアクティブになりますので、注意してください。
    3. ホスト名:生成されたアプリトークンが承認された後、選択したユーザーがPAM360コマンドを使用できるホスト名を入力します。一意のユーザー名とホスト名のコンビには1つのRPAエントリのみ可能です。
    4. アプリトークン:[生成]をクリックして、アプリトークンを生成します。このアプリトークンは、選択されたユーザーによってRPA入力要求が承認された後にのみ有効になります。デフォルトでは、アプリトークンは無期限で有効です。ただし、アプリトークンの有効期間は次の手順で定義できます。
    5. アプリトークンの有効無期限が自動的に選択され、アプリトークンは永久に有効な状態を維持します。[有効期限日]をクリックして、アプリトークンの有益期限日を設定します。
    6. 「保存」をクリックして新しいエントリを追加します。
      cortex-2

RPAエントリを編集するには、該当するRPA名の横にある「アクション」の下の編集アイコンをクリックし、必要に応じて値を編集します。詳細が編集されたら、要求が承認メカニズムを再通過します。新しいアプリトークンまたはホスト名は、要求が承認されると有効になります。

RPAエントリを削除するには、RPA名の横にある「アクション」の下にある削除アイコンをクリックします。複数のエントリを削除するには、RPA名の横にあるチェックボックスを選択し、上部のバーから「削除」をクリックします。次に、確認ダイアログボックスで「削除」をクリックして、削除プロセスを完了します。

cortex-3

5.1 RPAエントリの承認ワークフロー

追加ウインドウで選択したユーザー名は、管理者ユーザー名、別の管理者ユーザー名または非管理者ユーザー(パスワードユーザーまたはパスワード監査担当者)にすることができます

ケースI -自動承認: 各自のユーザー名を選択した場合、エントリは自動的に承認され、アプリトークンがすぐにアクティブになります。

ケースII - 特権ユーザーのための承認待ち:RPAの所有者がRPA権限を持つユーザーである場合、承認要求はRPAの所有者に送信され、「承認待ち」の下に表示されます。ユーザー名ホスト名作成者等の詳細をレビューし、要求を承認または拒否するか選択できます。承認されたら、RPAオーナーは、新しいアプリトークンを生成するか、エントリが追加されたときに生成されたのと同じものを使用できます。RPAオーナーのみ、アプリトークンを適応でき、PAM360コマンドをCortex XSOARで使用できますので、注意してください。要求が拒否されたら、RPAエントリはメニューから削除されます。

ケースIII - RPA権限が無いユーザーのための承認待ち:RPAの所有者がRPA権限を持つユーザーでない場合、RPAエントリを作成した管理者以外のすべての管理者に承認要求が送信されます。そして、いずれかの管理者が要求を承認または拒否できます。アプリトークンをコピーして、管理者の1人による承認後、RPAオーナーに提供することができます。

メモ:

以下のいずれかのケースに該当する場合、アプリトークンは無効となります。

  • アプリトークンが正しくないか、有効期限が切れている。
  • Cortex XSOARとの統合は、[管理] >> [ワークフローオーケストレーション] >> [ロボティック・プロセス・オートメーション]で無効になっている。
  • アプリトークンをRPAエントリの作成時に指定したものと異なるホストから使用している。
cortex-4