Zscaler
Version de l'intégration : 7.0
Avant de commencer
Avant de configurer l'intégration de Zscaler dans Google SecOps, vérifiez que vous disposez des éléments suivants :
Clé API Zscaler : clé API générée dans le portail d'administration Zscaler.
Pour authentifier l'intégration, consultez Gérer la clé API du service Cloud pour obtenir des instructions sur la navigation dans le portail et la génération d'identifiants.
Compte administrateur Zscaler : compte dans votre portail d'administration Zscaler disposant des autorisations d'accès à l'API pour les modules requis (filtrage d'URL ou gestion des utilisateurs, par exemple).
Paramètres d'intégration
L'intégration Zscaler nécessite les paramètres suivants :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
API Root |
Chaîne | N/A | Oui | URL de base de l'API Zscaler (par exemple, |
Login ID |
Chaîne | N/A | Oui | ID de connexion du compte administrateur Zscaler disposant d'autorisations d'accès à l'API. |
API Key |
Mot de passe | N/A | Oui | Clé API générée à partir de votre portail d'administration Zscaler. Il s'agit d'une clé unique permettant d'authentifier les requêtes API. |
Password |
Mot de passe | N/A | Oui | Mot de passe du compte administrateur Zscaler. |
Verify SSL |
Booléen | Cochée | Non | Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion à Zscaler. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Fonctionnement de l'authentification
L'intégration Zscaler utilise une combinaison de Login ID, Password et API Key généré pour s'authentifier auprès de l'API Zscaler.
L'intégration envoie ces identifiants à un point de terminaison d'authentification Zscaler pour établir une session et récupérer un cookie de session ou un jeton temporaire, qui est ensuite utilisé pour les requêtes d'API ultérieures.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre bureau et Effectuer une action manuelle.
Ajouter à la liste noire
Ajoute une URL/un domaine/une adresse IP à la liste de blocage.
Paramètres
N/A
Exécuter le
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Ajouter à la liste blanche
Ajoute une URL/un domaine/une adresse IP à la liste d'autorisation.
Paramètres
N/A
Exécuter le
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Domaine
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Obtenir la liste noire
Obtient la liste des URL ajoutées à la liste noire.
Paramètres
N/A
Exécuter le
Cette action s'applique à toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Obtenir un rapport sur le bac à sable
Obtenez un rapport complet pour un hachage MD5 d'un fichier analysé par Sandbox.
Paramètres
N/A
Exécuter le
Cette action s'exécute sur l'entité Filehash.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| Informations détaillées | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Obtenir les catégories d'URL
Obtient des informations sur toutes les catégories d'URL.
Paramètres
N/A
Exécuter le
Cette action s'applique à toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Enrichissement d'entités
N/A
Insights
N/A
Obtenir une liste blanche
Obtient la liste des URL autorisées.
Paramètres
N/A
Exécuter le
Cette action s'applique à toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Rechercher une entité
Recherchez la catégorie d'une URL, d'un domaine ou d'une adresse IP.
Paramètres
N/A
Exécuter le
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Domaine
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| url | Renvoie la valeur si elle existe dans le résultat JSON |
| urlClassificationsWithSecurityAlert | Renvoie la valeur si elle existe dans le résultat JSON |
| urlClassifications | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Ping
Vérifiez la connectivité.
Paramètres
N/A
Exécuter le
Cette action s'applique à toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Supprimer de la liste noire
Supprime une URL/un domaine/une adresse IP de la liste noire.
Paramètres
N/A
Exécuter le
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Supprimer de la liste blanche
Supprime une URL/un domaine/une adresse IP des URL en liste blanche.
Paramètres
N/A
Exécuter le
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.