Zscaler
Versão da integração: 7.0
Antes de começar
Antes de configurar a integração do Zscaler no Google SecOps, verifique se tem o seguinte:
Chave da API Zscaler: uma chave da API gerada a partir do portal de administração do Zscaler.
Conta de administrador do Zscaler: uma conta no portal de administração do Zscaler que tem autorizações de acesso à API para os módulos necessários (por exemplo, filtragem de URLs e gestão de utilizadores).
Crie uma chave da API Zscaler
Para criar uma chave da API no portal de administração do Zscaler, conclua estes passos:
Inicie sessão no painel de controlo do utilizador do APIVoid (navegue para APIVoid).
- Selecione o link Iniciar sessão, Painel de controlo ou A minha conta para aceder ao painel de controlo do utilizador.
Navegue para a secção Chaves da API.
Gere uma nova chave da API. Copie e armazene imediatamente a chave de forma segura. Pode ser apresentado apenas uma vez.
Parâmetros de integração
A integração do Zscaler requer os seguintes parâmetros:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
API Root |
String | N/A | Sim | O URL de base da API Zscaler
(por exemplo, |
Login ID |
String | N/A | Sim | O ID de início de sessão da conta de administrador do Zscaler com autorizações de acesso à API. |
API Key |
Palavra-passe | N/A | Sim | A chave da API gerada a partir do portal de administração do Zscaler. Esta é uma chave exclusiva para autenticar pedidos de API. |
Password |
Palavra-passe | N/A | Sim | A palavra-passe da conta de administrador do Zscaler. |
Verify SSL |
Booleano | Marcado | Não | Se estiver selecionada, a integração valida o certificado SSL quando se liga ao Zscaler. Selecionado por predefinição. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Como funciona a autenticação
A integração do Zscaler usa uma combinação do Login ID, Password e do API Key gerado para autenticar com a API Zscaler.
A integração envia estas credenciais para um ponto final de autenticação do Zscaler para estabelecer uma sessão e obter um cookie de sessão ou um token temporário, que é usado para pedidos de API subsequentes.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir de O seu espaço de trabalho e Realize uma ação manual.
Adicionar à lista negra
Adiciona um URL/domínio/IP à lista de bloqueios.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- URL
- Nome do anfitrião
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Adicionar à lista de autorizações
Adiciona um URL/domínio/IP à lista de autorizações.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- URL
- Nome do anfitrião
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Get Blacklist
Obtém uma lista de URLs na lista negra.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Receba o relatório da sandbox
Obtenha um relatório completo para um hash MD5 de um ficheiro que foi analisado pela área restrita.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Detalhes completos | Devolve se existir no resultado JSON |
Estatísticas
N/A
Obtenha categorias de URL
Obtém informações sobre todas as categorias de URLs.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Enriquecimento de entidades
N/A
Estatísticas
N/A
Get Whitelist
Obtém uma lista de URLs na lista de autorizações.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Procurar entidade
Pesquise a categorização de um URL/domínio/IP.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- URL
- Nome do anfitrião
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| url | Devolve se existir no resultado JSON |
| urlClassificationsWithSecurityAlert | Devolve se existir no resultado JSON |
| urlClassifications | Devolve se existir no resultado JSON |
Estatísticas
N/A
Tchim-tchim
Verifique a conetividade.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Remover da lista negra
Remove um URL/domínio/IP da lista negra.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- URL
- Nome do anfitrião
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Remova da lista de autorizações
Remove um URL/domínio/IP dos URLs na lista de autorizações.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- URL
- Nome do anfitrião
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.