创建和管理CyberArk凭据
经认证的扫描允许您访问网络上的资产,以收集可能无法访问的信息,从而使您能够更深入地了解您的环境。CyberArk集成使您能够通过利用CyberArk Vault技术轻松运行认证扫描,并为多个站点动态分配认证凭据。它允许您全局管理您的特权帐户,而无需直接通过安全控制台提供这些帐户。
将CyberArk配置为认证源的认证扫描与配置任何其他类型的认证扫描几乎相同。与其他认证扫描一样,您可以设置共享扫描凭据以跨多个站点使用,或者设置只能由特定站点使用的凭据。扫描运行时,向CyberArk请求访问目标资产所需的凭据,CyberArk将提供请求的凭据,以便扫描能够对这些资产进行身份验证和评估。
提示
在CyberArk凭证查找功能的上下文中,前面描述的“目标资产”是您在站点配置中使用以下方法指定的资产:
- 按IP地址
- 按IP地址范围
- 按主机名
- 通过资产组
以下部分将帮助您了解如何将CyberArk设置为凭据扫描的身份验证源。
支持服务
CyberArk支持以下服务的认证源:
- Kerberos
- Microsoft Windows / Samba (SMB / CIFS)
- 安全Shell(SSH)
- SSH公钥
- IBM AS / 400
当您添加任何这些凭据类型时,可以将CyberArk配置为凭据管理源。
当将CyberArk选择为凭据管理时,您可以对共享凭据和站点级别凭据使用SSH、SSH公钥的特权升级。
您可以使用Test Credential函数来测试升级的凭据。
在添加CyberArk作为认证源之前
在您添加CyberArk作为身份验证源之前,您需要:
- 向CyberArk注册您的安全控制台-任何请求密码的机器必须在CyberArk保险库中定义为应用程序。注册安全控制台使提供程序能够为控制台分配一个AppID并检索它的密码。
- 安装CyberArk应用程序标识管理器-应用程序标识管理器或AIM必须安装在与Nexpose实例相同的计算机上。
- 在赛博方舟中定义“用户DN”字段-确保您在CyberArk中为要用于扫描的帐户填写“用户DN”字段。
如需这些先决条件中的任何帮助,请访问CyberArk文档或联系他们的支持团队。
了解CyberArk保险库选项
添加CyberArk作为凭据扫描的认证源是一个简单的过程。您可以设置CyberArk以提供共享扫描凭据,以便跨多个站点或特定站点的凭据使用。无论您创建的凭据的范围如何,用于创建凭据的选项都是相同的。
下表提供了所有CyberArk Vault选项的说明:
选项 |
描述 |
|---|---|
AppID |
已被授权提供访问CyberArk和检索凭证的AppID。此选项是必需的。 |
查询类型 |
用于从vault中选择凭据的方法。您可以选择静态绑定或动态绑定。 |
查找属性 |
查找属性允许您为将要检索的凭据指定标准。您可以使用以下属性的组合创建查找:资产的IP地址、对象名称、用户名、策略ID和自定义属性。 |
查找位置 |
您希望在Vault中搜索凭据的位置。您可以搜索所有保险箱或指定您想要搜索的保险箱和文件夹。 |
安全 |
CyberArk保险箱的ID,包含要扫描的资产的凭据。 |
文件夹 |
包含要扫描的资产的凭据的CyberArk文件夹的ID。默认文件夹为Root。 |
领域 |
用户帐号的可选域名。如果启用,该域还可以用于在扫描期间对适用的资产进行身份验证。 |
在赛博方舟保险库中查找凭证
查找允许您根据一组条件匹配凭据。有两种类型的查找可以执行:
- 静态绑定-使用查找属性从vault中获取单个凭据。
- 动态绑定-使用查找属性为每个资产获取凭证。当您不知道资产所需的凭证,并希望指定在扫描期间查找所需凭证的标准时,这是非常有用的。
如果动态添加凭据,则应该将其限制在不包含许多非cyberark凭据的站点。否则,将对站点中的每个目标执行CyberArk查找,这将导致大量失败查找。为了防止这种情况发生,您可以创建一个可以使用CyberArk凭据的自定义站点列表。从共享扫描凭据配置page,转到场地分配选项卡并选择创建可使用这些凭据的站点的自定义列表选择。
除了查找类型,您还可以使用查找属性来指定标准,该标准标识在扫描期间可用于资产的凭据。您可以通过以下属性查询CyberArk Vault:
- 地址-资产的IP地址或完全限定的域名。
- 对象名称-存储凭据的对象的名称。
- 用户名-将被检索的帐户的用户名。
- 政策ID-分配给将检索的凭据的策略ID。
- 自定义属性-自定义属性使您能够从CyberArk密码对象中添加密钥和值。在公开中可用的查找属性涵盖了最常见的请求参数;但是,如果您想从CyberArk密码对象请求其他参数,则可以使用自定义属性指定它们。
为CyberArk添加共享扫描凭据
共享扫描凭据是在安全控制台中全局管理的,可以由多个站点使用。要配置共享凭据,您必须是全局管理员角色或具有“管理站点”权限的角色。
- 单击政府选项卡。
- 上政府页面,点击创造链接共享凭证.
- 从全体的选项卡,命名将与CyberArk一起使用的新凭据集。
- 从账户页签,选择如下服务之一:Microsoft Windows/Samba (SMB/CIFS)、SSH (Secure Shell)或SSH (Secure Shell)公钥。这些服务支持CyberArk作为身份验证源。
- 从凭据管理下拉,选择CyberArk。
- 当出现CyberArk选项时,您必须提供AppID,它将标识请求凭据的应用程序。
- 此外,如果要将扫描配置为从特定的保险柜或基于CyberArk中的特定条件集检索凭据,则可以提供查找属性和查找位置。请看了解CyberArk保险库选项为更多的细节。
- 可能需要为连接指定至少两个查找属性,以提取适当的凭据。例如,在配置连接时,考虑同时指定“用户名”和“地址”属性。
使用域名的地址查找
完全限定域名和IP地址之间的优先级在CyberArk中是不同的。在无法解析域名或IP地址的情况下,可以使用“address”查找属性与指定的域一起检索凭据。为此,找到“Lookup Attributes”字段,验证是否选择了“Address”,并为资产输入IP地址或完全限定域。
如果域和地址都是有效的,那么公开将优先选择与域关联的凭据。
- 从场地分配选项卡,您可以选择将这些扫描凭据添加到所有现有和新网站,或您可以选择将访问这些凭据的一组网站。最好的做法是使用创建可使用这些凭据的站点的自定义列表选择。这将允许您控制访问CyberArk证书的站点,并防止对站点中的每个目标执行CyberArk查找,这将导致大量失败查找。你应该将网站的范围缩小到那些你知道会包含返回CyberArk证书的目标的网站。
- 保存您的更改。
当您完成时,您将能够选择您为任何已授予访问权限的网站添加的凭据。
为赛博方舟添加站点特定凭据
扫描凭据可以是特定于站点的,这意味着它们仅限于单个站点使用。要配置站点特定的凭据,您必须是全局管理员或站点所有者。
要将CyberArk添加为身份验证源,请执行以下操作:
- 创建或编辑一个网站。
- 去医院身份验证选项卡。
- 去医院添加凭证选项卡。
- 从全体的选项卡,命名将与CyberArk一起使用的新凭据集。
- 从账户页签,选择如下服务之一:Microsoft Windows/Samba (SMB/CIFS)、SSH (Secure Shell)或SSH (Secure Shell)公钥。这些服务支持CyberArk作为身份验证源。
- 从凭据管理下拉,选择CyberArk。
- 当出现CyberArk选项时,您必须提供AppID,它将标识请求凭据的应用程序。
- 此外,如果您希望配置扫描以根据CyberArk中的特定标准集从特定保险箱检索凭证,则可以提供查找属性和查找位置。请参阅了解CyberArk保险库选项为更多的细节。
- 可能需要为连接指定至少两个查找属性,以提取适当的凭据。例如,在配置连接时,考虑同时指定“用户名”和“地址”属性。
使用域名的地址查找
完全限定域名和IP地址之间的优先级在CyberArk中是不同的。在无法解析域名或IP地址的情况下,可以使用“address”查找属性与指定的域一起检索凭据。为此,找到“Lookup Attributes”字段,验证是否选择了“Address”,并为资产输入IP地址或完全限定域。
如果域和地址都是有效的,那么公开将优先选择与域关联的凭据。
- 保存您的更改。
当您完成时,您已经添加了凭证的网站将能够使用它们进行身份验证扫描。