Zscaler
集成版本:7.0
准备工作
在 Google SecOps 中配置 Zscaler 集成之前,请验证您是否具备以下条件:
Zscaler API 密钥:从 Zscaler 管理门户生成的 API 密钥。
Zscaler 管理员账号:Zscaler 管理员门户中的账号,具有所需模块(例如网址过滤、用户管理)的 API 访问权限。
创建 Zscaler API 密钥
如需在 Zscaler 管理门户中创建 API 密钥,请完成以下步骤:
登录您的 APIVoid 用户信息中心(前往 APIVoid)。
- 选择登录、信息中心或我的账号链接,即可访问您的用户信息中心。
前往 API 密钥部分。
生成新的 API 密钥。立即复制并妥善保存密钥。它可能只会显示一次。
集成参数
Zscaler 集成需要以下参数:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
API Root |
字符串 | 不适用 | 是 | Zscaler API 的基本网址(例如, |
Login ID |
字符串 | 不适用 | 是 | 具有 API 访问权限的 Zscaler 管理员账号的登录 ID。 |
API Key |
密码 | 不适用 | 是 | 从 Zscaler 管理门户生成的 API 密钥。 这是用于对 API 请求进行身份验证的唯一密钥。 |
Password |
密码 | 不适用 | 是 | Zscaler 管理员账号的密码。 |
Verify SSL |
布尔值 | 勾选 | 否 | 如果选中此复选框,集成会在连接到 Zscaler 时验证 SSL 证书。此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
身份验证的运作方式
Zscaler 集成使用 Login ID、Password 和生成的 API Key 的组合来通过 Zscaler API 进行身份验证。
集成会将这些凭据发送到 Zscaler 身份验证端点,以建立会话并检索会话 Cookie 或临时令牌,然后将该 Cookie 或令牌用于后续 API 请求。
操作
如需详细了解操作,请参阅处理“工作台”中的待处理操作和执行手动操作。
添加到黑名单
将网址/网域/IP 添加到屏蔽名单。
参数
不适用
运行于
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
添加到白名单
将网址/网域/IP 添加到许可名单。
参数
不适用
运行于
此操作适用于以下实体:
- 网址
- 主机名
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
获取黑名单
获取列入黑名单的网址列表。
参数
不适用
运行于
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
获取沙盒报告
获取由 Sandbox 分析的文件的 MD5 哈希值的完整报告。
参数
不适用
运行于
此操作在 Filehash 实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 完整详情 | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
获取网址类别
获取有关所有网址类别的信息。
参数
不适用
运行于
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
实体扩充
不适用
数据分析
不适用
获取白名单
获取已列入白名单的网址列表。
参数
不适用
运行于
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
查找实体
查找网址/网域/IP 的分类。
参数
不适用
运行于
此操作适用于以下实体:
- 网址
- 主机名
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 网址 | 返回 JSON 结果中是否存在相应值 |
| urlClassificationsWithSecurityAlert | 返回 JSON 结果中是否存在相应值 |
| urlClassifications | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
Ping
检查连接。
参数
不适用
运行于
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
从黑名单中移除
从黑名单中移除网址/网域/IP。
参数
不适用
运行于
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
从白名单中移除
从列入白名单的网址中移除网址/网域/IP。
参数
不适用
运行于
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。