Zscaler
Versión de integración: 7.0
Antes de comenzar
Antes de configurar la integración de Zscaler en Google SecOps, verifica que tengas lo siguiente:
Clave de API de Zscaler: Es una clave de API que se genera en el portal de administración de Zscaler.
Para autenticar la integración, consulta Cómo administrar la clave de la API de Cloud Service para obtener instrucciones sobre cómo navegar por el portal y generar credenciales.
Cuenta de administrador de Zscaler: Es una cuenta en tu portal de administrador de Zscaler que tiene permisos de acceso a la API para los módulos requeridos (como el filtrado de URLs o la administración de usuarios).
Parámetros de integración
La integración de Zscaler requiere los siguientes parámetros:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
API Root |
String | N/A | Sí | La URL base de la API de Zscaler (p.ej., |
Login ID |
String | N/A | Sí | ID de acceso de la cuenta de administrador de Zscaler con permisos de acceso a la API. |
API Key |
Contraseña | N/A | Sí | Es la clave de API generada desde tu portal de administración de Zscaler. Esta es una clave única para autenticar solicitudes a la API. |
Password |
Contraseña | N/A | Sí | Es la contraseña de la cuenta de administrador de Zscaler. |
Verify SSL |
Booleano | Marcado | No | Si se selecciona esta opción, la integración verifica el certificado SSL cuando se conecta a Zscaler. Esta opción está seleccionada de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Cómo funciona la autenticación
La integración de Zscaler usa una combinación de Login ID, Password y el API Key generado para autenticarse con la API de Zscaler.
La integración envía estas credenciales a un extremo de autenticación de Zscaler para establecer una sesión y recuperar una cookie de sesión o un token temporal, que luego se usa para las solicitudes a la API posteriores.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu mesa de trabajo y Cómo realizar una acción manual.
Agregar a la lista negra
Agrega una URL, un dominio o una IP a la lista de bloqueo.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Agregar a la lista de entidades permitidas
Agrega una URL, un dominio o una IP a la lista de entidades permitidas.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dominio
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Obtener lista negra
Obtiene una lista de URLs incluidas en la lista negra.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Obtén el informe de zona de pruebas
Obtén un informe completo para un hash MD5 de un archivo que analizó Sandbox.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Detalles completos | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Obtén categorías de URL
Obtiene información sobre todas las categorías de URL.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Obtener la lista de entidades permitidas
Obtiene una lista de URLs incluidas en la lista blanca.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Buscar entidad
Consulta la categorización de una URL, un dominio o una IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dominio
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| url | Devuelve si existe en el resultado JSON |
| urlClassificationsWithSecurityAlert | Devuelve si existe en el resultado JSON |
| urlClassifications | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Ping
Verifica la conectividad.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Quitar de la lista negra
Quita una URL, un dominio o una IP de la lista negra.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Quitar de la lista de entidades permitidas
Quita una URL, un dominio o una IP de las URLs incluidas en la lista blanca.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.