Zscaler
Integrationsversion: 7.0
Hinweise
Bevor Sie die Zscaler-Integration in Google SecOps konfigurieren, müssen Sie Folgendes haben:
Zscaler-API-Schlüssel:Ein API-Schlüssel, der im Zscaler-Administratorportal generiert wurde.
Informationen zur Authentifizierung der Integration finden Sie unter Cloud Service API-Schlüssel verwalten. Dort wird beschrieben, wie Sie im Portal navigieren und Anmeldedaten generieren.
Zscaler-Administratorkonto:Ein Konto in Ihrem Zscaler Admin Portal mit API-Zugriffsberechtigungen für die erforderlichen Module (z. B. URL-Filterung oder Nutzerverwaltung).
Integrationsparameter
Für die Zscaler-Integration sind die folgenden Parameter erforderlich:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
API Root |
String | – | Ja | Die Basis-URL für die Zscaler API (z.B. |
Login ID |
String | – | Ja | Die Anmelde-ID des Zscaler-Administratorkontos mit API-Zugriffsberechtigungen. |
API Key |
Passwort | – | Ja | Der API-Schlüssel, der in Ihrem Zscaler Admin Portal generiert wurde. Dies ist ein eindeutiger Schlüssel zur Authentifizierung von API-Anfragen. |
Password |
Passwort | – | Ja | Das Passwort für das Zscaler-Administratorkonto. |
Verify SSL |
Boolesch | Aktiviert | Nein | Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung mit Zscaler geprüft. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
So funktioniert die Authentifizierung
Bei der Zscaler-Integration wird eine Kombination aus Login ID, Password und dem generierten API Key verwendet, um sich bei der Zscaler API zu authentifizieren.
Die Integration sendet diese Anmeldedaten an einen Zscaler-Authentifizierungsendpunkt, um eine Sitzung herzustellen und ein Sitzungscookie oder ein temporäres Token abzurufen, das dann für nachfolgende API-Anfragen verwendet wird.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in „Mein Arbeitsbereich“ reagieren und Manuelle Aktion ausführen.
Zur Sperrliste hinzufügen
Fügt der Sperrliste eine URL, Domain oder IP-Adresse hinzu.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Zur Zulassungsliste hinzufügen
Fügt der Zulassungsliste eine URL, Domain oder IP-Adresse hinzu.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- Domain
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Sperrliste abrufen
Ruft eine Liste von URLs ab, die auf der Sperrliste stehen.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Sandbox-Bericht abrufen
Einen vollständigen Bericht für einen MD5-Hashwert einer Datei abrufen, die von Sandbox analysiert wurde
Parameter
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Vollständige Details | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
URL-Kategorien abrufen
Ruft Informationen zu allen URL-Kategorien ab.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Entitätsanreicherung
–
Statistiken
–
Zulassungsliste abrufen
Ruft eine Liste von URLs auf der Zulassungsliste ab.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Entität suchen
Kategorisierung einer URL, Domain oder IP-Adresse nachschlagen
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- Domain
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| URL | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| urlClassificationsWithSecurityAlert | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| urlClassifications | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Ping
Prüfen Sie die Verbindung.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Von der Sperrliste entfernen
Entfernt eine URL, Domain oder IP-Adresse aus der Sperrliste.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Von der Zulassungsliste entfernen
Entfernt eine URL, Domain oder IP-Adresse aus der Zulassungsliste.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten