Zscaler
統合バージョン: 7.0
始める前に
Google SecOps で Zscaler 統合を構成する前に、次のことを確認してください。
Zscaler API キー: Zscaler 管理ポータルから生成された API キー。
Zscaler 管理者アカウント: 必要なモジュール(URL フィルタリング、ユーザー管理など)の API アクセス権限を持つ Zscaler 管理ポータルのアカウント。
Zscaler API キーを作成する
Zscaler 管理ポータルで API キーを作成する手順は次のとおりです。
APIVoid ユーザー ダッシュボードにログインします(APIVoid に移動します)。
- [ログイン]、[ダッシュボード]、[アカウント] のいずれかのリンクを選択して、ユーザー ダッシュボードにアクセスします。
[API キー] セクションに移動します。
新しい API キーを生成します。キーをすぐにコピーして安全に保管します。1 回しか表示されない場合があります。
統合のパラメータ
Zscaler 統合には次のパラメータが必要です。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
API Root |
文字列 | なし | はい | Zscaler API のベース URL(例: |
Login ID |
文字列 | なし | はい | API アクセス権限を持つ Zscaler 管理者アカウントのログイン ID。 |
API Key |
パスワード | なし | はい | Zscaler 管理ポータルから生成された API キー。これは、API リクエストを認証するための一意のキーです。 |
Password |
パスワード | なし | はい | Zscaler 管理者アカウントのパスワード。 |
Verify SSL |
ブール値 | オン | × | 選択すると、Zscaler に接続するときに SSL 証明書が検証されます。デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
認証の仕組み
Zscaler 統合では、Login ID、Password、生成された API Key を組み合わせて Zscaler API で認証を行います。
統合は、これらの認証情報を Zscaler 認証エンドポイントに送信してセッションを確立し、セッション Cookie または一時トークンを取得します。これは、後続の API リクエストで使用されます。
操作
アクションの詳細については、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
拒否リストに追加
URL/ドメイン/IP をブロックリストに追加します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- IP アドレス
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
許可リストに追加
許可リストに URL/ドメイン/IP を追加します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- ドメイン
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
拒否リストの取得
拒否リストに登録された URL のリストを取得します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
サンドボックス レポートの取得
サンドボックスで分析されたファイルの MD5 ハッシュの完全なレポートを取得します。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用対象 |
|---|---|
| 全詳細情報 | JSON の結果に存在する場合に返します。 |
分析情報
なし
URL カテゴリの取得
すべての URL カテゴリに関する情報を取得します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
エンティティ拡充
なし
分析情報
なし
許可リストの取得
許可リストに登録された URL のリストを取得します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
エンティティを検索
URL、ドメイン、IP の分類を検索します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- ドメイン
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| URL | JSON の結果に存在する場合に返します。 |
| urlClassificationsWithSecurityAlert | JSON の結果に存在する場合に返します。 |
| urlClassifications | JSON の結果に存在する場合に返します。 |
分析情報
なし
Ping
接続を確認します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
拒否リストから削除
拒否リストから URL/ドメイン/IP を削除します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- IP アドレス
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
許可リストから削除
許可リストに登録された URL から URL/ドメイン/IP を削除します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- IP アドレス
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。