Zscaler
Integrationsversion: 7.0
Hinweise
Bevor Sie die Zscaler-Integration in Google SecOps konfigurieren, müssen Sie Folgendes haben:
Zscaler-API-Schlüssel:Ein API-Schlüssel, der im Zscaler Admin Portal generiert wurde.
Zscaler-Administratorkonto:Ein Konto in Ihrem Zscaler Admin Portal mit API-Zugriffsberechtigungen für die erforderlichen Module (z. B. URL-Filterung, Nutzerverwaltung).
Zscaler-API-Schlüssel erstellen
So erstellen Sie einen API-Schlüssel im Zscaler Admin Portal:
Melden Sie sich in Ihrem APIVoid-Nutzer-Dashboard an (rufen Sie APIVoid auf).
- Klicken Sie auf den Link Anmelden, Dashboard oder Mein Konto, um auf Ihr Nutzer-Dashboard zuzugreifen.
Rufen Sie den Abschnitt API-Schlüssel auf.
Generieren Sie einen neuen API-Schlüssel. Kopieren Sie den Schlüssel sofort und bewahren Sie ihn sicher auf. Sie darf nur einmal angezeigt werden.
Integrationsparameter
Für die Zscaler-Integration sind die folgenden Parameter erforderlich:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
API Root |
String | – | Ja | Die Basis-URL für die Zscaler API (z.B. |
Login ID |
String | – | Ja | Die Anmelde-ID des Zscaler-Administratorkontos mit API-Zugriffsberechtigungen. |
API Key |
Passwort | – | Ja | Der API-Schlüssel, der in Ihrem Zscaler Admin Portal generiert wurde. Dies ist ein eindeutiger Schlüssel zur Authentifizierung von API-Anfragen. |
Password |
Passwort | – | Ja | Das Passwort für das Zscaler-Administratorkonto. |
Verify SSL |
Boolesch | Aktiviert | Nein | Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung mit Zscaler geprüft. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
So funktioniert die Authentifizierung
Für die Zscaler-Integration wird eine Kombination aus Login ID, Password und dem generierten API Key verwendet, um sich bei der Zscaler API zu authentifizieren.
Die Integration sendet diese Anmeldedaten an einen Zscaler-Authentifizierungsendpunkt, um eine Sitzung herzustellen und ein Sitzungscookie oder ein temporäres Token abzurufen, das dann für nachfolgende API-Anfragen verwendet wird.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in „Mein Arbeitsbereich“ reagieren und Manuelle Aktion ausführen.
Zur Sperrliste hinzufügen
Fügt eine URL, Domain oder IP-Adresse zur Sperrliste hinzu.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Zur Zulassungsliste hinzufügen
Fügt der Zulassungsliste eine URL, Domain oder IP-Adresse hinzu.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Sperrliste abrufen
Ruft eine Liste von URLs ab, die auf der Sperrliste stehen.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Sandbox-Bericht abrufen
Einen vollständigen Bericht für einen MD5-Hashwert einer Datei abrufen, die von Sandbox analysiert wurde
Parameter
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Vollständige Details | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
URL-Kategorien abrufen
Ruft Informationen zu allen URL-Kategorien ab.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Entitätsanreicherung
–
Statistiken
–
Zulassungsliste abrufen
Ruft eine Liste von URLs auf der Zulassungsliste ab.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Entität suchen
Kategorisierung einer URL, Domain oder IP-Adresse nachschlagen
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| URL | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| urlClassificationsWithSecurityAlert | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| urlClassifications | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Ping
Prüfen Sie die Verbindung.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Von der Sperrliste entfernen
Entfernt eine URL, Domain oder IP-Adresse aus der Sperrliste.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Von der Zulassungsliste entfernen
Entfernt eine URL, Domain oder IP-Adresse aus der Zulassungsliste.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten