Zscaler
Dokumen ini memberikan panduan tentang cara mengintegrasikan Zscaler dengan Google SecOps.
Kasus penggunaan
Integrasi Zscaler menggunakan kemampuan Google SecOps untuk mendukung kasus penggunaan berikut:
Mengelola pemfilteran URL: Memperbarui kategori URL dan aturan pemfilteran secara otomatis untuk memblokir domain berbahaya yang diidentifikasi selama penyelidikan.
Mengotomatiskan pengelolaan siklus proses pengguna: Mengelola akses pengguna dan keanggotaan grup secara dinamis di Zscaler berdasarkan tingkat risiko keamanan.
Memperkaya pemberitahuan jaringan: Mengambil informasi mendetail tentang pengguna, departemen, dan lokasi yang terkait dengan traffic yang diblokir.
Menyinkronkan kebijakan keamanan: Langsung men-deploy perubahan keamanan di seluruh lingkungan Zscaler Anda untuk merespons ancaman aktif.
Sebelum memulai
Sebelum mengonfigurasi integrasi di Google SecOps, pastikan bahwa lingkungan Zscaler Anda memenuhi persyaratan berikut:
Metode autentikasi: Tentukan apakah organisasi Anda menggunakan OAuth 2.0 atau autentikasi berbasis kredensial lama. Integrasi menggunakan kredensial ini untuk membuat sesi dan mengambil token sementara untuk permintaan API:
OAuth 2.0 (direkomendasikan): Metode ini menggunakan layanan ZSLogin untuk pengelolaan identitas terpusat. Anda harus mendaftarkan klien OAuth 2.0 di penyedia identitas dan menambahkan server otorisasi ke Portal Admin ZIA. Untuk mengetahui detailnya, lihat Mengamankan ZIA API dengan OAuth 2.0.
Kredensial lama: Metode ini menggunakan Kunci API dan kredensial administrator ZIA. Untuk mengetahui detailnya, lihat Mengelola Kunci API Cloud Service.
Izin akun: Pastikan akun klien atau administrator memiliki peran yang benar:
OAuth 2.0: Memerlukan peran API. Untuk mengetahui detailnya, lihat Menambahkan Peran API.
Kredensial lama: Memerlukan peran administrator dengan izin akses API diaktifkan. Untuk mengetahui detailnya, lihat Menambahkan Peran Admin.
Akses jaringan: Pastikan konfigurasi jaringan Anda mengizinkan koneksi HTTPS keluar dari lingkungan Google SecOps Anda ke endpoint API Zscaler, misalnya,
zsapi.{your_cloud_name}.
Parameter integrasi
Integrasi Zscaler memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Api Root |
Wajib. URL dasar instance Zscaler, misalnya,
|
Login ID |
Opsional. Nama pengguna atau alamat email yang terkait dengan akun administrator Zscaler yang digunakan untuk autentikasi. Parameter ini wajib diisi untuk autentikasi lama. Jika kredensial lama dan OAuth 2.0 diberikan, OAuth 2.0 akan diprioritaskan. |
Api Key |
Opsional. Kunci API unik yang dibuat di portal Zscaler untuk mengizinkan permintaan API. Parameter ini wajib diisi untuk autentikasi lama. Jika kredensial lama dan OAuth 2.0 diberikan, OAuth 2.0 akan diprioritaskan. |
Password |
Opsional. Sandi yang terkait dengan akun administrator Zscaler yang digunakan untuk autentikasi. Parameter ini wajib diisi untuk autentikasi lama. Jika kredensial lama dan OAuth 2.0 diberikan, OAuth 2.0 akan diprioritaskan. |
Verify SSL |
Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Zscaler. Diaktifkan secara default. |
Client ID |
Opsional. ID unik untuk klien OAuth 2.0 yang digunakan untuk autentikasi menggunakan layanan ZSLogin. Parameter ini wajib ada untuk konfigurasi OAuth 2.0 dan lebih diprioritaskan daripada autentikasi lama. |
Client Secret |
Opsional. Kunci rahasia yang terkait dengan ID klien yang digunakan untuk mengautentikasi klien OAuth 2.0. Parameter ini wajib ada untuk konfigurasi OAuth 2.0 dan lebih diprioritaskan daripada autentikasi lama. |
Login API Root |
Opsional. URL dasar untuk layanan ZSLogin yang digunakan untuk pengelolaan akses dan identitas terpusat. Parameter ini wajib ada untuk konfigurasi OAuth 2.0 dan lebih diprioritaskan daripada autentikasi lama. Nilai defaultnya adalah |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Tambahkan ke Daftar Ekstensi yang Tidak Diizinkan
Menambahkan URL/Domain/IP ke daftar yang tidak diizinkan.
Input tindakan
Tindakan ini memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOCs |
Opsional. Daftar IOC (alamat IP, URL, atau domain) yang dipisahkan koma untuk ditambahkan ke
daftar yang tidak diizinkan, misalnya, |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Menambahkan ke Daftar yang Diizinkan
Menambahkan URL/Domain/IP ke daftar yang diizinkan.
Input tindakan
Tindakan ini memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOCs |
Opsional. Daftar IOC (alamat IP, URL, atau domain) yang dipisahkan koma untuk ditambahkan ke
daftar yang diizinkan, misalnya, |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Domain
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Dapatkan Daftar Blokir
Mendapatkan daftar URL yang masuk daftar hitam.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Mendapatkan Laporan Sandbox
Mendapatkan laporan lengkap untuk hash MD5 file yang dianalisis oleh Sandbox.
Parameter
T/A
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| Detail Lengkap | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Mendapatkan Kategori URL
Mendapatkan informasi tentang semua kategori URL.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Pengayaan Entity
T/A
Insight
T/A
Dapatkan Daftar yang Diizinkan
Mendapatkan daftar URL yang diizinkan.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Entitas Pencarian
Mencari kategorisasi URL/Domain/IP.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Domain
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| url | Menampilkan apakah ada dalam hasil JSON |
| urlClassificationsWithSecurityAlert | Menampilkan apakah ada dalam hasil JSON |
| urlClassifications | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Ping
Periksa konektivitas.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Hapus Dari Daftar Blokir
Menghapus URL/Domain/IP dari daftar yang tidak diizinkan.
Input tindakan
Tindakan ini memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOCs |
Opsional. Daftar IOC (alamat IP, URL, atau domain) yang dipisahkan koma untuk dihapus
dari daftar yang tidak diizinkan, misalnya, |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Menghapus Dari Daftar yang Diizinkan
Menghapus URL/Domain/IP dari daftar yang diizinkan.
Input tindakan
Tindakan ini memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOCs |
Opsional. Daftar IOC (alamat IP, URL, atau domain) yang dipisahkan koma untuk dihapus
dari daftar yang diizinkan, misalnya, |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.