Zscaler
통합 버전: 7.0
시작하기 전에
Google SecOps에서 Zscaler 통합을 구성하기 전에 다음이 있는지 확인하세요.
Zscaler API 키: Zscaler 관리 포털에서 생성된 API 키입니다.
Zscaler 관리자 계정: 필요한 모듈 (예: URL 필터링, 사용자 관리)에 대한 API 액세스 권한이 있는 Zscaler 관리 포털의 계정입니다.
Zscaler API 키 만들기
Zscaler 관리 포털에서 API 키를 만들려면 다음 단계를 완료하세요.
APIVoid 사용자 대시보드에 로그인합니다 (APIVoid로 이동).
- 로그인, 대시보드 또는 내 계정 링크를 선택하여 사용자 대시보드에 액세스합니다.
API 키 섹션으로 이동합니다.
새 API 키를 생성합니다. 키를 즉시 복사하여 안전하게 저장합니다. 한 번만 표시될 수 있습니다.
통합 매개변수
Zscaler 통합에는 다음 매개변수가 필요합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
API Root |
문자열 | 해당 사항 없음 | 예 | Zscaler API의 기본 URL입니다(예: |
Login ID |
문자열 | 해당 사항 없음 | 예 | API 액세스 권한이 있는 Zscaler 관리자 계정의 로그인 ID입니다. |
API Key |
비밀번호 | 해당 사항 없음 | 예 | Zscaler 관리 포털에서 생성된 API 키입니다. API 요청을 인증하는 고유 키입니다. |
Password |
비밀번호 | 해당 사항 없음 | 예 | Zscaler 관리자 계정의 비밀번호입니다. |
Verify SSL |
불리언 | 선택됨 | 아니요 | 선택하면 통합에서 Zscaler에 연결할 때 SSL 인증서를 확인합니다. 기본적으로 선택되어 있습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
인증 작동 방식
Zscaler 통합은 Login ID, Password, 생성된 API Key를 조합하여 Zscaler API를 인증합니다.
통합은 이러한 사용자 인증 정보를 Zscaler 인증 엔드포인트로 전송하여 세션을 설정하고 세션 쿠키 또는 임시 토큰을 가져옵니다. 이 쿠키 또는 토큰은 후속 API 요청에 사용됩니다.
작업
작업에 관한 자세한 내용은 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
차단 목록에 추가
URL/도메인/IP를 차단 목록에 추가합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
- IP 주소
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
허용 목록에 추가
URL/도메인/IP를 허용 목록에 추가합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
차단 목록 가져오기
차단 목록에 추가된 URL의 목록을 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
샌드박스 보고서 가져오기
샌드박스에서 분석한 파일의 MD5 해시에 대한 전체 보고서를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 Filehash 항목에서 실행됩니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 전체 세부정보 | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
URL 카테고리 가져오기
모든 URL 카테고리에 대한 정보를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
허용 목록 가져오기
허용 목록에 추가된 URL의 목록을 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
항목 검색
URL/도메인/IP의 카테고리를 검색합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| url | JSON 결과에 존재하는 경우에 반환 |
| urlClassificationsWithSecurityAlert | JSON 결과에 존재하는 경우에 반환 |
| urlClassifications | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
핑
연결을 검사합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
차단 목록에서 삭제
차단 목록에서 URL/도메인/IP를 삭제합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
- IP 주소
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
허용 목록에서 삭제
URL/도메인/IP를 허용 목록에 추가된 URL에서 삭제합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
- IP 주소
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.