Zscaler
Versione integrazione: 7.0
Prima di iniziare
Prima di configurare l'integrazione di Zscaler in Google SecOps, verifica di disporre di quanto segue:
Chiave API Zscaler:una chiave API generata dal portale di amministrazione Zscaler.
Account amministratore Zscaler:un account nel portale di amministrazione Zscaler che dispone delle autorizzazioni di accesso API per i moduli richiesti (ad esempio, filtro URL, gestione utenti).
Creare una chiave API Zscaler
Per creare una chiave API nel portale di amministrazione Zscaler, completa questi passaggi:
Accedi alla dashboard utente di APIVoid (vai a APIVoid).
- Seleziona il link Accedi, Dashboard o Il mio account per accedere alla dashboard utente.
Vai alla sezione Chiavi API.
Genera una nuova chiave API. Copia e memorizza immediatamente la chiave in modo sicuro. Potrebbe essere visualizzato una sola volta.
Parametri di integrazione
L'integrazione di Zscaler richiede i seguenti parametri:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
API Root |
Stringa | N/D | Sì | L'URL di base per l'API Zscaler
(ad es. |
Login ID |
Stringa | N/D | Sì | L'ID accesso dell'account amministratore Zscaler con autorizzazioni di accesso API. |
API Key |
Password | N/D | Sì | La chiave API generata dal portale di amministrazione Zscaler. Si tratta di una chiave univoca per l'autenticazione delle richieste API. |
Password |
Password | N/D | Sì | La password dell'account amministratore Zscaler. |
Verify SSL |
Booleano | Selezionata | No | Se selezionata, l'integrazione verifica il certificato SSL quando si connette a Zscaler. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Come funziona l'autenticazione
L'integrazione di Zscaler utilizza una combinazione di Login ID, Password e
API Key generato per l'autenticazione con l'API Zscaler.
L'integrazione invia queste credenziali a un endpoint di autenticazione Zscaler per stabilire una sessione e recuperare un cookie di sessione o un token temporaneo, che viene poi utilizzato per le successive richieste API.
Azioni
Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania ed Eseguire un'azione manuale.
Aggiungi alla blacklist
Aggiunge un URL/dominio/IP alla blocklist.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
- Indirizzo IP
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Aggiungi alla lista consentita
Aggiunge un URL/dominio/IP alla lista consentita.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Ottieni lista nera
Recupera un elenco di URL nella lista nera.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Ottenere il report della sandbox
Ricevi un report completo per un hash MD5 di un file analizzato da Sandbox.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| Dettagli completi | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Ottenere le categorie di URL
Recupera informazioni su tutte le categorie di URL.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Ottieni la lista consentita
Recupera un elenco di URL inclusi nella lista consentita.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Cerca entità
Cerca la classificazione di un URL/dominio/IP.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| url | Restituisce se esiste nel risultato JSON |
| urlClassificationsWithSecurityAlert | Restituisce se esiste nel risultato JSON |
| urlClassifications | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Dindin
Controlla la connettività.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Rimuovi dalla blacklist
Rimuove un URL/dominio/IP dalla lista nera.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
- Indirizzo IP
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Rimuovi dalla lista consentita
Rimuove un URL/dominio/IP dagli URL inclusi nella whitelist.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
- Indirizzo IP
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.