Zscaler
整合版本:7.0
事前準備
在 Google SecOps 中設定 Zscaler 整合前,請確認您具備下列項目:
Zscaler API 金鑰:從 Zscaler 管理入口網站產生的 API 金鑰。
Zscaler 管理員帳戶:Zscaler 管理入口網站中的帳戶,具備必要模組的 API 存取權限 (例如網址篩選、使用者管理)。
建立 Zscaler API 金鑰
如要在 Zscaler 管理入口網站中建立 API 金鑰,請完成下列步驟:
登入 APIVoid 使用者資訊主頁 (前往 APIVoid)。
- 選取「登入」、「資訊主頁」或「我的帳戶」連結,即可存取使用者資訊主頁。
前往「API 金鑰」部分。
產生新的 API 金鑰。請立即複製並妥善儲存金鑰。這組代碼可能只會顯示一次。
整合參數
整合 Zscaler 時需要下列參數:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
API Root |
字串 | 不適用 | 是 | Zscaler API 的基準網址
(例如 |
Login ID |
字串 | 不適用 | 是 | 具備 API 存取權的 Zscaler 管理員帳戶登入 ID。 |
API Key |
密碼 | 不適用 | 是 | 從 Zscaler 管理員入口網站產生的 API 金鑰。 這是驗證 API 要求的專屬金鑰。 |
Password |
密碼 | 不適用 | 是 | Zscaler 管理員帳戶的密碼。 |
Verify SSL |
布林值 | 已勾選 | 否 | 選取後,整合服務會在連線至 Zscaler 時驗證 SSL 憑證。(此為預設選項)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
驗證機制
Zscaler 整合功能會一併使用 Login ID、Password 和產生的 API Key,向 Zscaler API 進行驗證。
整合服務會將這些憑證傳送至 Zscaler 驗證端點,以建立工作階段並擷取工作階段 Cookie 或臨時權杖,然後用於後續的 API 要求。
動作
如要進一步瞭解動作,請參閱「回覆『你的工作台』中的待處理動作」和「執行手動動作」。
加入黑名單
將網址/網域/IP 新增至封鎖清單。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
加入許可清單
將網址/網域/IP 新增至許可清單。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
取得黑名單
取得黑名單中的網址清單。
參數
不適用
執行時間
這項操作會對所有實體執行。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
取得沙箱報告
取得沙箱分析檔案的 MD5 雜湊值完整報告。
參數
不適用
執行時間
這項動作會對 Filehash 實體執行。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult":
{
"Full Details":
{
"SystemSummary": [
{
"SignatureSources": [
"",
"76CD0000 page execute and read and write",
"76DD0000 page execute and read and write"
],
"Risk": "LOW",
"Signature": "Allocates memory within range which is reserved for system DLLs"
},{
"SignatureSources": [
"",
"wow64.pdb source: loaddll32.exe",
"wow64.pdbH source: loaddll32.exe",
"wow64cpu.pdb source: loaddll32.exe",
"wow64win.pdb source: loaddll32.exe",
"wow64win.pdbH source: loaddll32.exe"
],
"Risk": "LOW",
"Signature": "Binary contains paths to debug symbols"
},{
"SignatureSources": [
"",
"clean0.winDLL@1/1@0/0"
],
"Risk": "LOW",
"Signature": "Classification label"
}, {
"SignatureSources":[
"",
"More than 502 > 100 exports found"
],
"Risk": "LOW",
"Signature": "PE file exports many functions"
}, {
"SignatureSources": [
"",
"Virtual size of .text is bigger than: 0x100000"
],
"Risk": "LOW",
"Signature": "PE file has a big code size"
},{
"SignatureSources": [
"",
"Raw size of .text is bigger than: 0x100000 < 0x176000"
],
"Risk": "LOW",
"Signature": "PE file has a big raw section"
}, {
"SignatureSources": [
"",
"Image base 0x704c0000 > 0x60000000"
],
"Risk": "LOW",
"Signature": "PE file has a high image base. often used for DLLs"
}, {
"SignatureSources": [
"",
"Section: .text IMAGE_SCN_ALIGN_MASK, IMAGE_SCN_ALIGN_256BYTES, IMAGE_SCN_ALIGN_16BYTES, IMAGE_SCN_ALIGN_64BYTES, IMAGE_SCN_ALIGN_1BYTES, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_ALIGN_2048BYTES, IMAGE_SCN_ALIGN_1024BYTES, IMAGE_SCN"
],
"Risk": "LOW",
"Signature": "PE file has an executable .text section and no other executable section"
}, {
"SignatureSources": [
"", "HKEY_USERS\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Safer\\\\CodeIdentifiers"
],
"Risk": "LOW",
"Signature": "Reads software policies"
},{
"SignatureSources": [
"",
"File size 1710606 > 1048576"
],
"Risk": "LOW",
"Signature": "Submission file is bigger than most known malware samples"
},{
"SignatureSources": [
"",
"no activity detected"
],
"Risk": "MODERATE",
"Signature": "Program does not show much activity"
}
],
"Summary":
{
"Status": "COMPLETED",
"Category": "EXECS",
"FileType": "DLL",
"Duration": 499618,
"StartTime": 1553130306
},
"Classification":
{
"Category": "BENIGN",
"Type": "BENIGN",
"Score": 0,
"DetectedMalware": ""
},
"Persistence":[
{
"SignatureSources": [
"",
"section name: /4"
],
"Risk": "LOW",
"Signature": "PE file contains sections with non-standard names"
}
],
"FileProperties":
{
"SHA1": "b0aa7eecfa6c0066504bf79efe1bc057ac61e9b8",
"FileSize": 1710606,
"RootCA": "",
"Issuer": "",
"FileType": "DLL",
"Sha256": "a39180232ae6a689650f5df566bb4e81b94d9d19a53363ce17d7a12fd21f78cf",
"DigitalCerificate": "",
"SSDeep": "24576:3LnYQhDtnNgQe42lcCZNj4I/MmaOdb+Y+mmY5Gc3nGkh2sQginrgGGQCTQIMGNdd:zYQlEpIE/p3nFhckZF7oU",
"MD5": "1803c2c0f0ec61c98b3630d7e4b1cd5d"
}
}
},
"Entity": "1803C2C0F0EC61C98B3630D7E4B1CD5D"
}
]
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 完整詳細資料 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
取得網址類別
取得所有網址類別的相關資訊。
參數
不適用
執行時間
這項操作會對所有實體執行。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"description": "OTHER_ADULT_MATERIAL_DESC",
"val": 1,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "OTHER_ADULT_MATERIAL"
}, {
"description": "ADULT_THEMES_DESC",
"val": 2,
"dbCategorizedUrls": [],
"editable": true,
"urls": [],
"customCategory": false,
"id": "ADULT_THEMES"
}
]
實體擴充
不適用
深入分析
不適用
取得許可清單
取得白名單網址清單。
參數
不適用
執行時間
這項操作會對所有實體執行。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
查詢實體
查詢網址/網域/IP 的分類。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": {
"url": "markossolomon.com/f1q7qx.php",
"urlClassificationsWithSecurityAlert": ["MALWARE_SITE"],
"urlClassifications": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 網址 | 如果 JSON 結果中存在該值,則傳回該值 |
| urlClassificationsWithSecurityAlert | 如果 JSON 結果中存在該值,則傳回該值 |
| urlClassifications | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
乒乓
檢查連線狀態。
參數
不適用
執行時間
這項操作會對所有實體執行。
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
從黑名單中移除
從黑名單中移除網址/網域/IP。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
從許可清單中移除
從許可網址中移除網址/網域/IP。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。