CyberArk PIM Suite がインストールされ、正しく設定されている必要があります。Scanner Appliance とシステムログイン資格情報を含むデジタル金庫との間のネットワーク接続性を確認します。
- Qualys スキャナが CyberArk SDK 提供のパスワードクエリ API を呼び出します。
- CyberArk SDK ライブラリが EPV サーバへの TCP 接続を開始し、このサーバにパスワードクエリを送信し、パスワードを返します。
- 接続に関するすべての処理は、CyberArk ライブラリ内部で実行されます。プロトコルは、CyberArk が独自開発したものです。
- TCP ポートは CyberArk 認証レコード内に定義され、デフォルトのポート番号は 1858 です。
- Scanner Appliance のルート設定に関係なく、スキャン対象と Vault への接続には LAN インタフェースが使用されます。CyberArk EPV サーバの LAN 設定および VLAN 設定は使用されません。
スキャンに使用するシステムログイン資格情報を含むデジタル金庫にアクセス可能な、CyberArk PIM Suite 環境での専用アカウントを追加します。このアカウントを作成する場合は、次の設定を必ず割り当ててください。
「User Must Change Password at Next Logon」チェックボックスをクリア(チェックを解除)します。
ログイン資格情報を含むデジタル金庫の「Retrieve files from safe」権限を付与します。
Cisco デバイスのコンプライアンススキャンでは、“ enable ”コマンドで自動的に特権モードのシェルに切り替わるようにして、パスワードを再度要求することがないように、ユーザアカウントを設定する必要があります。
CyberArk ライセンスで許可された“ PAPI ”インタフェースが有効になっている必要があります。このインタフェースを使用すると、CyberArk PIM Suite 環境で Qualys のセキュリティサービスからの 外部 API 呼び出しを承認できます。次の手順を実行して、” PAPI ”が有効になっていることを確認します。
1)「Tools」->「Administrative Tools」->「Users and Groups」を選択します。
2)ユーザアカウントを選択して「Update」ボタンをクリックします。
3)「User type」フィールドの横にある「Authorized Interfaces」ボタンをクリックして、そのユーザタイプの許可されたインタフェースを表示します。
4)“ PAPI ”が許可されたインタフェースのリストに含まれていることを確認します。リストに含まれていない場合は、CyberArk の担当者に問い合わせて、お使いのライセンスでの PAPI のサポートを有効にしてください。
金庫の所有者には以下のパーミッションが必要です。次の手順を実行して、金庫の所有者のパーミッションを確認し、必要に応じて更新します。
1)「Tools」->「Administrative Tools」->「Users and Groups」を選択します。
2)ユーザアカウントを選択して「Safe Ownership」ボタンをクリックします。
3)「Available Safes」リストから関連のある金庫を選択し、パーミッションを確認します。確認する必要のあるパーミッションは、「Monitor Safe」および「Retrieve files from Safe」です。
4)選択した金庫を左側の「Owner Of」リストに移動します。ポップアップ下部に「List」、「Retrieve」、「View」、「Audit」、「View Owners」、「User Password」の認証が表示されます。