Zscaler
Version de l'intégration : 7.0
Avant de commencer
Avant de configurer l'intégration de Zscaler dans Google SecOps, vérifiez que vous disposez des éléments suivants :
Clé API Zscaler : clé API générée à partir du portail d'administration Zscaler.
Compte administrateur Zscaler : compte dans votre portail d'administration Zscaler disposant des autorisations d'accès à l'API pour les modules requis (par exemple, le filtrage d'URL ou la gestion des utilisateurs).
Créer une clé API Zscaler
Pour créer une clé API dans le portail d'administration Zscaler, procédez comme suit :
Connectez-vous à votre tableau de bord utilisateur APIVoid (accédez à APIVoid).
- Sélectionnez le lien Connexion, Tableau de bord ou Mon compte pour accéder à votre tableau de bord utilisateur.
Accédez à la section Clés API.
Générez une clé API. Copiez immédiatement la clé et stockez-la en lieu sûr. Il ne peut être affiché qu'une seule fois.
Paramètres d'intégration
L'intégration Zscaler nécessite les paramètres suivants :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
API Root |
Chaîne | N/A | Oui | URL de base de l'API Zscaler (par exemple, |
Login ID |
Chaîne | N/A | Oui | ID de connexion du compte administrateur Zscaler disposant d'autorisations d'accès à l'API. |
API Key |
Mot de passe | N/A | Oui | Clé API générée à partir de votre portail d'administration Zscaler. Il s'agit d'une clé unique permettant d'authentifier les requêtes API. |
Password |
Mot de passe | N/A | Oui | Mot de passe du compte administrateur Zscaler. |
Verify SSL |
Booléen | Cochée | Non | Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion à Zscaler. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Fonctionnement de l'authentification
L'intégration Zscaler utilise une combinaison de Login ID, Password et API Key généré pour s'authentifier auprès de l'API Zscaler.
L'intégration envoie ces identifiants à un point de terminaison d'authentification Zscaler pour établir une session et récupérer un cookie de session ou un jeton temporaire, qui est ensuite utilisé pour les requêtes d'API ultérieures.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre espace de travail et Effectuer une action manuelle.
Ajouter à la liste noire
Ajoute une URL/un domaine/une adresse IP à la liste de blocage.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Ajouter à la liste blanche
Ajoute une URL/un domaine/une adresse IP à la liste d'autorisation.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Obtenir la liste noire
Obtient la liste des URL ajoutées à la liste noire.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Obtenir le rapport du bac à sable
Obtenez un rapport complet pour un hachage MD5 d'un fichier analysé par Sandbox.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| Informations détaillées | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Obtenir les catégories d'URL
Obtient des informations sur toutes les catégories d'URL.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Enrichissement d'entités
N/A
Insights
N/A
Obtenir une liste blanche
Obtient la liste des URL autorisées.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Rechercher une entité
Recherchez la catégorisation d'une URL, d'un domaine ou d'une adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| url | Renvoie la valeur si elle existe dans le résultat JSON. |
| urlClassificationsWithSecurityAlert | Renvoie la valeur si elle existe dans le résultat JSON. |
| urlClassifications | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Ping
Vérifiez la connectivité.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Supprimer de la liste noire
Supprime une URL/un domaine/une adresse IP de la liste noire.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Supprimer de la liste blanche
Supprime une URL/un domaine/une adresse IP des URL en liste blanche.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.