Zscaler
本文提供指南,說明如何將 Zscaler 與 Google SecOps 整合。
用途
Zscaler 整合項目會使用 Google SecOps 功能,支援下列用途:
管理網址篩選:自動更新網址類別和篩選規則,封鎖調查期間發現的惡意網域。
自動管理使用者生命週期:根據安全風險等級,動態管理 Zscaler 中的使用者存取權和群組成員資格。
擴充網路快訊:擷取與遭封鎖流量相關聯的使用者、部門和位置詳細資訊。
同步處理安全政策:在 Zscaler 環境中即時部署安全變更,以因應現有威脅。
事前準備
在 Google SecOps 中設定整合功能前,請確認 Zscaler 環境符合下列需求:
驗證方法:判斷貴機構是使用 OAuth 2.0,還是以舊版憑證為基礎的驗證。整合項目會使用這些憑證建立工作階段,並擷取 API 要求的臨時權杖:
OAuth 2.0 (建議使用):這個方法會使用 ZSLogin 服務進行集中式身分管理。您必須在識別資訊提供者中註冊 OAuth 2.0 用戶端,並將授權伺服器新增至 ZIA 管理入口網站。詳情請參閱「使用 OAuth 2.0 保護 ZIA API」。
舊版憑證:這個方法會使用 API 金鑰和 ZIA 管理員憑證。詳情請參閱「管理 Cloud Service API 金鑰」。
帳戶權限:確認已為用戶端或管理員帳戶指派正確角色:
網路存取權:確認網路設定允許從 Google SecOps 環境連出 HTTPS 連線至 Zscaler API 端點,例如
zsapi.{your_cloud_name}。
整合參數
整合 Zscaler 時需要下列參數:
| 參數 | 說明 |
|---|---|
Api Root |
必填。 Zscaler 執行個體的基準網址,例如 |
Login ID |
選填。 用於驗證的 Zscaler 管理員帳戶相關聯的使用者名稱或電子郵件地址。 使用舊版驗證時,這個參數為必要參數。 如果同時提供舊版和 OAuth 2.0 憑證,系統會優先採用 OAuth 2.0 憑證。 |
Api Key |
選填。 在 Zscaler 入口網站中產生的專屬 API 金鑰,用於授權 API 要求。 使用舊版驗證時,這個參數為必要參數。 如果同時提供舊版和 OAuth 2.0 憑證,系統會優先採用 OAuth 2.0 憑證。 |
Password |
選填。 用於驗證的 Zscaler 管理員帳戶密碼。 使用舊版驗證時,這個參數為必要參數。 如果同時提供舊版和 OAuth 2.0 憑證,系統會優先採用 OAuth 2.0 憑證。 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 Zscaler 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
Client ID |
選填。 用於透過 ZSLogin 服務進行驗證的 OAuth 2.0 用戶端專屬 ID。 設定 OAuth 2.0 時,這項參數為必填,且優先於舊版驗證。 |
Client Secret |
選填。 與用於驗證 OAuth 2.0 用戶端的用戶端 ID 相關聯的密鑰。 設定 OAuth 2.0 時,這項參數為必填,且優先於舊版驗證。 |
Login API Root |
選填。 用於集中式身分與存取權管理的 ZSLogin 服務基本網址。 設定 OAuth 2.0 時,這項參數為必填,且優先於舊版驗證。 預設值為 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在應對手冊中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
加入黑名單
將網址/網域/IP 新增至封鎖清單。
動作輸入內容
這項動作需要下列參數:
| 參數 | 說明 |
|---|---|
IOCs |
選填。 以逗號分隔的 IOC 清單 (IP 位址、網址或網域),可新增至封鎖清單,例如 |
執行日期
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
加入許可清單
將網址/網域/IP 新增至許可清單。
動作輸入內容
這項動作需要下列參數:
| 參數 | 說明 |
|---|---|
IOCs |
選填。 以逗號分隔的 IOC 清單 (IP 位址、網址或網域),可新增至許可清單,例如 |
執行日期
這項動作會對下列實體執行:
- 網址
- 主機名稱
- 網域
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
取得黑名單
取得黑名單中的網址清單。
參數
不適用
執行日期
這項操作會套用至所有實體。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
取得沙箱報告
取得沙箱分析檔案的 MD5 雜湊值完整報告。
參數
不適用
執行日期
這項操作會對 Filehash 實體執行。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 完整詳細資料 | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
取得網址類別
取得所有網址類別的相關資訊。
參數
不適用
執行日期
這項操作會套用至所有實體。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
實體擴充
不適用
深入分析
不適用
取得許可清單
取得白名單網址清單。
參數
不適用
執行日期
這項操作會套用至所有實體。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
查詢實體
查詢網址/網域/IP 的分類。
參數
不適用
執行日期
這項動作會對下列實體執行:
- 網址
- 主機名稱
- 網域
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 網址 | 如果 JSON 結果中存在,則傳回 |
| urlClassificationsWithSecurityAlert | 如果 JSON 結果中存在,則傳回 |
| urlClassifications | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
乒乓
檢查連線。
參數
不適用
執行日期
這項操作會套用至所有實體。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
從黑名單中移除
從封鎖清單中移除網址/網域/IP。
動作輸入內容
這項動作需要下列參數:
| 參數 | 說明 |
|---|---|
IOCs |
選填。 要從封鎖清單中移除的 IOC (IP 位址、網址或網域) 逗號分隔的清單,例如 |
執行日期
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
從許可清單中移除
從許可清單中移除網址/網域/IP。
動作輸入內容
這項動作需要下列參數:
| 參數 | 說明 |
|---|---|
IOCs |
選填。 以逗號分隔的 IOC 清單 (IP 位址、網址或網域),可從許可清單中移除,例如 |
執行日期
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。