Zscaler
Versão da integração: 7.0
Antes de começar
Antes de configurar a integração do Zscaler no Google SecOps, verifique se você tem o seguinte:
Chave de API do Zscaler:uma chave de API gerada no portal de administração do Zscaler.
Conta de administrador do Zscaler:uma conta no portal de administração do Zscaler com permissões de acesso à API para os módulos necessários (por exemplo, filtragem de URL, gerenciamento de usuários).
Criar uma chave de API do Zscaler
Para criar uma chave de API no portal de administração do Zscaler, siga estas etapas:
Faça login no painel do usuário da APIVoid (navegue até APIVoid).
- Selecione o link Fazer login, Painel ou Minha conta para acessar o painel do usuário.
Navegue até a seção Chaves de API.
Gere uma nova chave de API. Copie e armazene a chave com segurança imediatamente. Ele só pode ser mostrado uma vez.
Parâmetros de integração
A integração com o Zscaler exige os seguintes parâmetros:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
API Root |
String | N/A | Sim | O URL base da API do Zscaler (por exemplo, |
Login ID |
String | N/A | Sim | O ID de login da conta de administrador do Zscaler com permissões de acesso à API. |
API Key |
Senha | N/A | Sim | A chave de API gerada no portal de administração do Zscaler. Essa é uma chave exclusiva para autenticar solicitações de API. |
Password |
Senha | N/A | Sim | A senha da conta de administrador do Zscaler. |
Verify SSL |
Booleano | Selecionado | Não | Se selecionada, a integração verifica o certificado SSL ao se conectar ao Zscaler. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Como funciona a autenticação
A integração do Zscaler usa uma combinação de Login ID, Password e
o API Key gerado para autenticar com a API do Zscaler.
A integração envia essas credenciais para um endpoint de autenticação da Zscaler para estabelecer uma sessão e recuperar um cookie de sessão ou um token temporário, que é usado para solicitações de API subsequentes.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes na Sua mesa de trabalho e Realizar uma ação manual.
Adicionar à lista de proibições
Adiciona um URL/domínio/IP à lista de bloqueio.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Adicionar à lista de permissões
Adiciona um URL/domínio/IP à lista de permissões.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Get Blacklist
Recebe uma lista de URLs proibidos.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Receber relatório do Sandbox
Receba um relatório completo de um hash MD5 de um arquivo analisado pela sandbox.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Detalhes completos | Retorna se ele existe no resultado JSON |
Insights
N/A
Receber categorias de URL
Recebe informações sobre todas as categorias de URL.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Receber lista de permissões
Recebe uma lista de URLs permitidos.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Procurar entidade
Pesquise a categorização de um URL/domínio/IP.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| url | Retorna se ele existe no resultado JSON |
| urlClassificationsWithSecurityAlert | Retorna se ele existe no resultado JSON |
| urlClassifications | Retorna se ele existe no resultado JSON |
Insights
N/A
Ping
Verifique a conectividade.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Remover da lista de proibições
Remove um URL/domínio/IP da lista de proibições.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Remover da lista de permissões
Remove um URL/domínio/IP da lista de permissões de URLs.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
- Endereço IP
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.