implementing-privileged-access-management-with-cyberark

部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。

9 stars

Best use case

implementing-privileged-access-management-with-cyberark is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。

Teams using implementing-privileged-access-management-with-cyberark should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-privileged-access-management-with-cyberark/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-privileged-access-management-with-cyberark/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-privileged-access-management-with-cyberark/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-privileged-access-management-with-cyberark Compares

Feature / Agentimplementing-privileged-access-management-with-cyberarkStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 CyberArk 实施特权访问管理

## 概述
部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。

## 目标
- 设计具备高可用性的 CyberArk 保险库架构
- 实现特权凭据的自动化发现和纳管
- 为不同账户类型配置凭据轮换策略
- 部署特权会话管理器(PSM)以实现会话隔离和录制
- 将 CyberArk 与 SIEM 集成以进行特权访问监控
- 实施即时(JIT)特权访问工作流

## 关键概念

### CyberArk 架构组件
1. **数字保险库(Digital Vault)**:采用 FIPS 140-2 验证加密的凭据存储
2. **中央策略管理器(CPM)**:自动化密码轮换和验证
3. **特权会话管理器(PSM)**:会话隔离、录制和击键日志
4. **密码保险库 Web 访问(PVWA)**:凭据管理的 Web 界面
5. **特权威胁分析(PTA)**:特权账户的行为分析
6. **Conjur Secrets Manager**:应用身份和密钥管理

### 保险库安全模型
- **主策略(Master Policy)**:全局安全设置(双重控制、独占访问、一次性密码)
- **保险箱(Safes)**:具有细粒度权限的凭据逻辑容器
- **平台(Platforms)**:定义轮换、验证和对账的配置档案
- **账户组(Account Groups)**:关联共享轮换依赖关系的账户

### 凭据生命周期
1. **发现**:扫描基础设施中的特权账户
2. **纳管**:将账户导入保险库并分配平台
3. **轮换**:按策略计划自动更改密码
4. **验证**:定期验证保管凭据是否有效
5. **对账**:当保险库与目标不同步时重新同步凭据
6. **下线**:移除不再需要的账户

## 实施步骤

### 第 1 步:保险库架构设计
1. 在安全网络区域部署主保险库服务器
2. 配置保险库高可用性(含 DR 保险库)
3. 加固保险库服务器操作系统(移除不必要服务、禁用 RDP)
4. 配置防火墙规则(仅允许授权组件访问 1858 端口)
5. 设置加密备份

### 第 2 步:保险箱和策略配置
1. 按业务部门创建保险箱层次结构
2. 按最小权限原则定义保险箱成员角色:
   - 保险箱管理员:管理保险箱成员资格
   - 凭据管理员:添加/修改账户
   - 审计员:仅查看审计日志
   - 用户:检索/使用凭据
3. 配置主策略设置:
   - 凭据检索需要双重控制
   - 启用独占访问(同一时间每个凭据只允许一个用户)
   - 为敏感账户设置一次性密码模式

### 第 3 步:平台配置
- Windows 域管理员:每 24 小时轮换,每 4 小时验证
- Linux Root:每 72 小时轮换,含 SSH 密钥轮换
- 数据库管理员(Oracle、SQL Server):每 24 小时轮换
- 网络设备:每 7 天轮换
- 服务账户:按计划轮换,需管理依赖关系
- 云 IAM 密钥:每 90 天轮换,采用双密钥策略

### 第 4 步:特权会话管理
1. 在负载均衡器后部署 PSM 服务器
2. 配置会话录制(视频、击键、命令日志)
3. 设置会话隔离(用户通过 PSM 连接,永不直接访问)
4. 为 RDP、SSH、数据库、Web 应用定义连接组件
5. 配置实时会话监控和终止能力
6. 设置会话录制保留期(合规要求最少 1 年)

### 第 5 步:集成与监控
1. 将 CyberArk 审计日志以 CEF/Syslog 格式转发至 SIEM
2. 配置 PTA 行为分析:
   - 检测凭据盗窃指标
   - 对可疑特权会话活动发出告警
   - 监控未纳管的特权账户使用情况
3. 与工单系统集成以实现访问请求工作流
4. 设置轮换失败、验证失败、策略违规告警

## 安全控制
| 控制项 | NIST 800-53 | 描述 |
|---------|-------------|------|
| 特权访问 | AC-6(7) | 特权账户控制 |
| 凭据管理 | IA-5 | 自动化凭据轮换 |
| 会话录制 | AU-14 | 会话审计能力 |
| 访问执行 | AC-3 | 保险库强制访问策略 |
| 职责分离 | AC-5 | 敏感操作的双重控制 |

## 常见误区
- 未配置对账账户导致轮换后锁定
- 为有依赖关系的服务账户设置过于激进的轮换计划
- 未在生产部署前测试 PSM 连接组件
- 未为保险库不可用情况建立紧急访问程序
- 忽略网络设备凭据管理

## 验证清单
- [ ] 保险库仅可从授权组件访问
- [ ] 所有已纳管账户的凭据轮换成功
- [ ] PSM 会话已录制且可检索
- [ ] 敏感凭据检出已强制执行双重控制
- [ ] SIEM 收到 CyberArk 审计事件
- [ ] 紧急访问程序已测试并记录文档
- [ ] DR 保险库故障转移测试成功

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

securing-remote-access-to-ot-environment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。

performing-ssl-certificate-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

SSL/TLS 证书生命周期管理涵盖请求、颁发、部署、监控、续期和吊销 X.509 证书的完整流程。不当的证书管理是导致中断和安全事件的主要原因。本技能涵盖使用 Python 和 ACME 协议工具自动化整个证书生命周期。

performing-privileged-account-discovery

9
from killvxk/cybersecurity-skills-zh

发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-initial-access-with-evilginx3

9
from killvxk/cybersecurity-skills-zh

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

performing-indicator-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

指标生命周期管理跟踪 IOC 从初始发现到验证、富化、部署、监控和最终停用的全过程。本技能涵盖实施 IOC 质量评估、老化策略、置信度衰减评分、误报跟踪、命中率监控和自动到期的系统化流程,以维护高质量、可操作的指标数据库,最大限度减少分析师疲劳并提高检测效能。

performing-credential-access-with-lazagne

9
from killvxk/cybersecurity-skills-zh

在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。

performing-access-review-and-certification

9
from killvxk/cybersecurity-skills-zh

开展系统性的访问审查和认证,确保用户拥有与其角色相符的访问权限。涵盖审查活动设计、审查员选择、基于风险的优先级排序、微认证策略,以及满足 SOX、HIPAA 和 PCI DSS 要求的整改跟踪。

performing-access-recertification-with-saviynt

9
from killvxk/cybersecurity-skills-zh

在 Saviynt Enterprise Identity Cloud 中配置和执行访问重认证活动,以验证用户权限、撤销多余的访问权限,并维持对 SOX、SOC2 和 HIPAA 的合规性。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。