Zscaler
Versi integrasi: 7.0
Sebelum memulai
Sebelum mengonfigurasi integrasi Zscaler di Google SecOps, pastikan Anda memiliki hal berikut:
Kunci API Zscaler: Kunci API yang dibuat dari Portal Admin Zscaler.
Akun administrator Zscaler: Akun di Portal Admin Zscaler Anda yang memiliki izin akses API untuk modul yang diperlukan (misalnya, pemfilteran URL, pengelolaan pengguna).
Membuat kunci API Zscaler
Untuk membuat kunci API di Zscaler Admin Portal, selesaikan langkah-langkah berikut:
Login ke Dasbor Pengguna APIVoid Anda (Buka APIVoid).
- Pilih link Login, Dasbor, atau Akun Saya untuk mengakses dasbor pengguna Anda.
Buka bagian Kunci API.
Buat kunci API baru. Segera salin dan simpan kunci dengan aman. Pesan ini hanya dapat ditampilkan satu kali.
Parameter integrasi
Integrasi Zscaler memerlukan parameter berikut:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
API Root |
String | T/A | Ya | URL dasar untuk Zscaler API
(misalnya, |
Login ID |
String | T/A | Ya | ID login akun administrator Zscaler dengan izin akses API. |
API Key |
Sandi | T/A | Ya | Kunci API yang dibuat dari Portal Admin Zscaler Anda. Ini adalah kunci unik untuk mengautentikasi permintaan API. |
Password |
Sandi | T/A | Ya | Sandi untuk akun administrator Zscaler. |
Verify SSL |
Boolean | Dicentang | Tidak | Jika dipilih, integrasi akan memverifikasi sertifikat SSL saat terhubung ke Zscaler. Dipilih secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Cara kerja autentikasi
Integrasi Zscaler menggunakan kombinasi Login ID, Password, dan
API Key yang dihasilkan untuk melakukan autentikasi dengan Zscaler API.
Integrasi ini mengirimkan kredensial tersebut ke endpoint autentikasi Zscaler untuk membuat sesi dan mengambil cookie sesi atau token sementara, yang kemudian digunakan untuk permintaan API berikutnya.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Workdesk Anda dan Melakukan tindakan manual.
Tambahkan ke Daftar Ekstensi yang Tidak Diizinkan
Menambahkan URL/Domain/IP ke daftar yang tidak diizinkan.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Menambahkan ke Daftar yang Diizinkan
Menambahkan URL/Domain/IP ke daftar yang diizinkan.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Dapatkan Daftar Blokir
Mendapatkan daftar URL yang masuk daftar hitam.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Mendapatkan Laporan Sandbox
Mendapatkan laporan lengkap untuk hash MD5 file yang dianalisis oleh Sandbox.
Parameter
T/A
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| Detail Lengkap | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Mendapatkan Kategori URL
Mendapatkan informasi tentang semua kategori URL.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Pengayaan Entity
T/A
Insight
T/A
Dapatkan Daftar yang Diizinkan
Mendapatkan daftar URL yang diizinkan.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Entitas Pencarian
Mencari kategorisasi URL/Domain/IP.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| url | Menampilkan apakah ada di hasil JSON |
| urlClassificationsWithSecurityAlert | Menampilkan apakah ada di hasil JSON |
| urlClassifications | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Ping
Periksa konektivitas.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Hapus Dari Daftar Blokir
Menghapus URL/Domain/IP dari daftar hitam.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Menghapus Dari Daftar yang Diizinkan
Menghapus URL/Domain/IP dari URL yang diizinkan.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.