Zscaler
Este documento fornece orientações sobre como integrar o Zscaler ao Google SecOps.
Casos de uso
A integração do Zscaler usa recursos do Google SecOps para oferecer suporte aos seguintes casos de uso:
Gerenciar a filtragem de URL: atualize automaticamente as categorias de URL e as regras de filtragem para bloquear domínios maliciosos identificados durante as investigações.
Automatizar o gerenciamento do ciclo de vida do usuário: gerencie dinamicamente o acesso do usuário e as associações a grupos no Zscaler com base nos níveis de risco de segurança.
Enriquecer alertas de rede: recupere informações detalhadas sobre usuários, departamentos e locais associados ao tráfego bloqueado.
Sincronizar políticas de segurança: implante instantaneamente mudanças de segurança em todo o ambiente do Zscaler para responder a ameaças ativas.
Antes de começar
Antes de configurar a integração no Google SecOps, verifique se o ambiente do Zscaler atende aos seguintes requisitos:
Método de autenticação: determine se sua organização usa o OAuth 2.0 ou a autenticação legada baseada em credenciais. A integração usa essas credenciais para estabelecer uma sessão e recuperar um token temporário para solicitações de API:
OAuth 2.0 (recomendado): esse método usa o serviço ZSLogin para gerenciamento centralizado de identidades. É necessário registrar um cliente OAuth 2.0 no provedor de identidade e adicionar o servidor de autorização ao portal de administração do ZIA. Para mais detalhes, consulte Como proteger as APIs do ZIA com o OAuth 2.0.
Credencial legada: esse método usa uma chave de API e credenciais de administrador do ZIA. Para mais detalhes, consulte Como gerenciar a chave de API do Cloud Service.
Permissões da conta: verifique se a conta do cliente ou do administrador tem as funções corretas atribuídas:
OAuth 2.0: exige uma função de API. Para mais detalhes, consulte Como adicionar papéis de API.
Credencial legada: exige uma função de administrador com permissões de acesso à API ativadas. Para mais detalhes, consulte Adicionar funções de administrador.
Acesso à rede: verifique se a configuração de rede permite conexões HTTPS de saída do ambiente do Google SecOps para os endpoints da API do Zscaler, por exemplo,
zsapi.{your_cloud_name}.
Parâmetros de integração
A integração do Zscaler exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Api Root |
Obrigatório. O URL de base da instância do Zscaler, por exemplo,
|
Login ID |
Opcional. O nome de usuário ou endereço de e-mail associado à conta de administrador do Zscaler usada para autenticação. Esse parâmetro é obrigatório para autenticação legada. Se as credenciais legadas e do OAuth 2.0 forem fornecidas, o OAuth 2.0 terá precedência. |
Api Key |
Opcional. A chave de API exclusiva gerada no portal da Zscaler para autorizar solicitações de API. Esse parâmetro é obrigatório para autenticação legada. Se as credenciais legadas e do OAuth 2.0 forem fornecidas, o OAuth 2.0 terá precedência. |
Password |
Opcional. A senha associada à conta de administrador do Zscaler usada para autenticação. Esse parâmetro é obrigatório para autenticação legada. Se as credenciais legadas e do OAuth 2.0 forem fornecidas, o OAuth 2.0 terá precedência. |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor Zscaler. Ativado por padrão. |
Client ID |
Opcional. O identificador exclusivo do cliente OAuth 2.0 usado para autenticação usando o serviço ZSLogin. Esse parâmetro é obrigatório para a configuração do OAuth 2.0 e tem prioridade sobre a autenticação legada. |
Client Secret |
Opcional. A chave secreta associada ao ID do cliente usado para autenticar o cliente OAuth 2.0. Esse parâmetro é obrigatório para a configuração do OAuth 2.0 e tem prioridade sobre a autenticação legada. |
Login API Root |
Opcional. O URL de base do serviço ZSLogin usado para gerenciamento centralizado de identidade e acesso. Esse parâmetro é obrigatório para a configuração do OAuth 2.0 e tem prioridade sobre a autenticação legada. O valor padrão é |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Adicionar à lista de proibições
Adiciona um URL/domínio/IP à lista de bloqueio.
Entradas de ação
Essa ação requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOCs |
Opcional. Uma lista separada por vírgulas de IOCs (endereços IP, URLs ou domínios) para adicionar à
lista de bloqueio, por exemplo, |
Corrida
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidade
N/A
Insights
N/A
Adicionar à lista de permissões
Adiciona um URL/domínio/IP à lista de permissões.
Entradas de ação
Essa ação requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOCs |
Opcional. Uma lista separada por vírgulas de IOCs (endereços IP, URLs ou domínios) para adicionar à
lista de permissões, por exemplo, |
Corrida
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Domínio
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidade
N/A
Insights
N/A
Get Blacklist
Recebe uma lista de URLs proibidos.
Parâmetros
N/A
Corrida
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidade
N/A
Insights
N/A
Receber relatório do Sandbox
Receba um relatório completo de um hash MD5 de um arquivo analisado pela área restrita.
Parâmetros
N/A
Corrida
Essa ação é executada na entidade "Filehash".
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Enriquecimento de entidade
| Nome do campo de aprimoramento | Lógica: quando aplicar |
|---|---|
| Detalhes completos | Retorna se ele existe no resultado JSON |
Insights
N/A
Receber categorias de URL
Recebe informações sobre todas as categorias de URL.
Parâmetros
N/A
Corrida
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Enriquecimento de entidade
N/A
Insights
N/A
Receber lista de permissões
Recebe uma lista de URLs permitidos.
Parâmetros
N/A
Corrida
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidade
N/A
Insights
N/A
Procurar entidade
Pesquise a categorização de um URL/domínio/IP.
Parâmetros
N/A
Corrida
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Domínio
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Enriquecimento de entidade
| Nome do campo de aprimoramento | Lógica: quando aplicar |
|---|---|
| url | Retorna se ele existe no resultado JSON |
| urlClassificationsWithSecurityAlert | Retorna se ele existe no resultado JSON |
| urlClassifications | Retorna se ele existe no resultado JSON |
Insights
N/A
Ping
Verifique a conectividade.
Parâmetros
N/A
Corrida
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidade
N/A
Insights
N/A
Remover da lista de proibições
Remove um URL/domínio/IP da lista de bloqueio.
Entradas de ação
Essa ação requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOCs |
Opcional. Uma lista separada por vírgulas de IOCs (endereços IP, URLs ou domínios) a serem removidos
da lista de bloqueio, por exemplo, |
Corrida
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidade
N/A
Insights
N/A
Remover da lista de permissões
Remove um URL/domínio/IP da lista de permissões.
Entradas de ação
Essa ação requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOCs |
Opcional. Uma lista separada por vírgulas de IOCs (endereços IP, URLs ou domínios) a serem removidos
da lista de permissões, por exemplo, |
Corrida
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidade
N/A
Insights
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.