Zscaler
集成版本:7.0
准备工作
在 Google SecOps 中配置 Zscaler 集成之前,请验证您是否具备以下条件:
Zscaler API 密钥:从 Zscaler 管理门户生成的 API 密钥。
Zscaler 管理员账号:Zscaler 管理员门户中的账号,具有所需模块(例如网址过滤、用户管理)的 API 访问权限。
创建 Zscaler API 密钥
如需在 Zscaler 管理门户中创建 API 密钥,请完成以下步骤:
登录您的 APIVoid 用户信息中心(前往 APIVoid)。
- 选择登录、信息中心或我的账号链接,即可访问您的用户信息中心。
前往 API 密钥部分。
生成新的 API 密钥。立即复制并妥善保存密钥。它可能只会显示一次。
集成参数
Zscaler 集成需要以下参数:
| 参数显示名称 | 类型 | 默认值 | 为必填项 | 说明 |
|---|---|---|---|---|
API Root |
字符串 | 不适用 | 是 | Zscaler API 的基本网址(例如, |
Login ID |
字符串 | 不适用 | 是 | 具有 API 访问权限的 Zscaler 管理员账号的登录 ID。 |
API Key |
密码 | 不适用 | 是 | 从 Zscaler 管理门户生成的 API 密钥。 这是用于对 API 请求进行身份验证的唯一密钥。 |
Password |
密码 | 不适用 | 是 | Zscaler 管理员账号的密码。 |
Verify SSL |
布尔值 | 勾选 | 否 | 如果选中此复选框,集成会在连接到 Zscaler 时验证 SSL 证书。此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
身份验证的运作方式
Zscaler 集成使用 Login ID、Password 和生成的 API Key 的组合来通过 Zscaler API 进行身份验证。
集成会将这些凭据发送到 Zscaler 身份验证端点,以建立会话并检索会话 Cookie 或临时令牌,然后将该 Cookie 或令牌用于后续 API 请求。
操作
如需详细了解操作,请参阅处理“工作台”中的待处理操作和执行手动操作。
添加到黑名单
将网址/网域/IP 添加到屏蔽名单。
参数
不适用
Run On
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
添加到白名单
将网址/网域/IP 添加到许可名单。
参数
不适用
Run On
此操作适用于以下实体:
- 网址
- 主机名
- 网域
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
获取黑名单
获取列入黑名单的网址列表。
参数
不适用
Run On
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
获取沙盒报告
获取由 Sandbox 分析的文件的 MD5 哈希值的完整报告。
参数
不适用
Run On
此操作在 Filehash 实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 完整详情 | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
获取网址类别
获取有关所有网址类别的信息。
参数
不适用
Run On
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
实体扩充
不适用
数据分析
不适用
获取白名单
获取列入白名单的网址的列表。
参数
不适用
Run On
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
查找实体
查找网址/网域/IP 的分类。
参数
不适用
Run On
此操作适用于以下实体:
- 网址
- 主机名
- 网域
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 网址 | 如果存在于 JSON 结果中,则返回 |
| urlClassificationsWithSecurityAlert | 如果存在于 JSON 结果中,则返回 |
| urlClassifications | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
Ping
检查连接。
参数
不适用
Run On
此操作会在所有实体上运行。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
从黑名单中移除
从黑名单中移除网址/网域/IP。
参数
不适用
Run On
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
从白名单中移除
从列入白名单的网址中移除网址/网域/IP。
参数
不适用
Run On
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。