Zscaler
Versión de la integración: 7.0
Antes de comenzar
Antes de configurar la integración de Zscaler en Google SecOps, verifica que tengas lo siguiente:
Clave de API de Zscaler: Es una clave de API generada desde el portal de administración de Zscaler.
Cuenta de administrador de Zscaler: Es una cuenta en tu portal de administrador de Zscaler que tiene permisos de acceso a la API para los módulos requeridos (por ejemplo, filtrado de URL y administración de usuarios).
Crea una clave de API de Zscaler
Para crear una clave de API en el Zscaler Admin Portal, completa estos pasos:
Accede a tu panel de usuario de APIVoid (navega a APIVoid).
- Selecciona el vínculo Acceder, Panel o Mi cuenta para acceder a tu panel de usuario.
Navega a la sección Claves de API.
Genera una clave de API nueva. Copia y guarda la llave de forma segura de inmediato. Es posible que solo se muestre una vez.
Parámetros de integración
La integración de Zscaler requiere los siguientes parámetros:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
API Root |
String | N/A | Sí | URL base de la API de Zscaler (p.ej., |
Login ID |
String | N/A | Sí | ID de acceso de la cuenta de administrador de Zscaler con permisos de acceso a la API. |
API Key |
Contraseña | N/A | Sí | Es la clave de API generada desde tu portal de administración de Zscaler. Esta es una clave única para autenticar solicitudes a la API. |
Password |
Contraseña | N/A | Sí | Es la contraseña de la cuenta de administrador de Zscaler. |
Verify SSL |
Booleano | Marcado | No | Si se selecciona, la integración verifica el certificado SSL cuando se conecta a Zscaler. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Cómo funciona la autenticación
La integración de Zscaler usa una combinación de Login ID, Password y el API Key generado para autenticarse con la API de Zscaler.
La integración envía estas credenciales a un extremo de autenticación de Zscaler para establecer una sesión y recuperar una cookie de sesión o un token temporal, que luego se usa para las solicitudes a la API posteriores.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu Workdesk y Cómo realizar una acción manual.
Agregar a la lista negra
Agrega una URL, un dominio o una IP a la lista de bloqueo.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Agregar a la lista blanca
Agrega una URL, un dominio o una IP a la lista de entidades permitidas.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Obtener lista negra
Obtiene una lista de URLs incluidas en la lista negra.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Obtén el informe de zona de pruebas
Obtén un informe completo para un hash MD5 de un archivo que se analizó con Sandbox.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Detalles completos | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Obtén categorías de URL
Obtiene información sobre todas las categorías de URLs.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Obtener la lista de entidades permitidas
Obtiene una lista de URLs incluidas en la lista blanca.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Buscar entidad
Consulta la categorización de una URL, un dominio o una IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| url | Devuelve si existe en el resultado JSON. |
| urlClassificationsWithSecurityAlert | Devuelve si existe en el resultado JSON. |
| urlClassifications | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Ping
Verifica la conectividad.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Quitar de la lista negra
Quita una URL, un dominio o una IP de la lista negra.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Quitar de la lista de entidades permitidas
Quita una URL, un dominio o una IP de las URLs incluidas en la lista blanca.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.