クラウド サービスとSandbox提出APIについて
Zscaler Internet Access (ZIA は、クラウド サービスAPIとSandbox提出APIの2つのAPIを提供します。Zscalerでは、認証、API呼び出しの実行、構成変更のアクティブ化に関する情報について、はじめにを順を追って確認することをお勧めします。使用可能なすべてのAPI呼び出し、エンドポイント、およびパラメーターの詳細については、リファレンスガイドを参照してください。使用可能なすべてのAPI呼び出し、エンドポイント、およびレート制限をまとめた表については、APIレート制限の概要を参照してください。Postmanアプリを使用してAPI呼び出しの要求と応答を試すには、Postman REST APIクライアントの構成を参照してください。
クラウドサービスAPI
クラウドサービスAPIの可用性は限られています。組織でこのAPIを有効にするには、Zscalerサポートにお問い合わせください。
クラウドサービスAPIを使用すると、次のZscalerインターネットアクセス(ZIA)機能にプログラムでアクセスできます。
- アクティベーション
構成の変更を有効にするには、Zscalerサービスで変更をアクティブ化する必要があります。アクティベーションAPIリソースを使用すると、構成の変更を中央認証局(CA)にプッシュすることでアクティブ化できます。詳細は、以下を参照してください。
閉じる - 管理監査ログ
- 管理者とロール管理
- API認証
認証APIリソースを使用すると、APIセッションの認証と作成、既存のAPIセッションの確認、APIセッションの削除を行うことができます。詳細は、以下を参照してください。
閉じる - サンドボックスレポート
サンドボックスレポートAPIリソースを使用すると、Zscalerクラウド上の任意の組織から分析のために送信された完全または要約のサンドボックス詳細レポートを取得できます。詳細は、以下を参照してください。
サンドボックスレポートリソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)のセキュリティ機能スコープが必要です。詳細は、はじめにを参照してください。
- Sandbox設定
Sandbox設定APIリソースを使用すると、各組織は、Sandboxによる動作分析を通過するファイルのMD5ファイル ハッシュのカスタム ブロックリストを作成および管理できます。カスタム ブロックリストを取得または置換するには、
/behavioralAnalysisAdvancedSettingsエンドポイントを使用します。MD5ファイル ハッシュのクォータ可用性情報を取得するには、/behavioralAnalysisAdvancedSettings/fileHashCountエンドポイントを使用します。最大10,000個のMD5ファイルハッシュをカスタムブロックリストに追加できます。詳細は、以下を参照してください。
Sandbox設定リソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)のセキュリティ機能スコープが必要です。詳細は、[はじめに]を参照してください。
閉じる - 情報漏洩防止
情報漏洩防止APIリソースを使用すると、DLP辞書、エンジン、インシデントレシーバー、ICAPサーバなどの情報を取得できます。DLP定義済み辞書、完全データ一致(EDM)およびインデックス付きドキュメント一致(IDM)辞書、通知およびポリシールールを作成および更新することもできます。詳細は、以下を参照してください。
閉じる - デバイスグループ
デバイスグループAPIリソースを使用すると、デバイスグループ情報を取得できます。ZIAは、Zscaler Client Connectorが展開されている組織内のすべてのデバイスのリストを保守管理します。これらのデバイスは、OSタイプに基づいて、それぞれの定義済みグループに分類されます。詳細は、以下を参照してください。
閉じる - イベントログ
クロスドメインアイデンティティ管理(SCIM)クライアント用のシステムによって実行されるプロビジョニングおよびユーザーとグループ管理アクティビティを含むCSV形式のイベントログレポートを生成およびダウンロードできます。SCIMクライアントのアクティビティは、Zscalerサービスのユーザーに対してSCIMベースのプロビジョニングが有効になっている場合にのみ記録されます。詳細は、以下を参照してください。
イベントログリソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)に対する完全な管理者アクセス許可が必要です。詳細は、はじめにを参照してください。詳細は、はじめにを参照してください。
閉じる - ファイアウォールポリシー
ファイアウォールポリシーAPIリソースを使用すると、ファイアウォールフィルタリングポリシールールとその基準を作成、読み取り、更新および削除できます。詳細は、以下を参照してください。
閉じる - 中間CA証明書
Zscalerサービスは、完全なSSLプロキシまたは信頼できる中間者(MITM)プロキシとして機能することによってSSL検査を実行します。SSLインスペクションを実行するには、Zscalerの発行認証局(CA)または組織の発行認証局のいずれかを動的に使用して、ドメイン証明書(エンドエンティティ証明書)を生成する必要があります。中間CA証明書APIリソースを使用すると、次のことが可能です。
- カスタム中間CA証明書を作成する
- キーペアを生成する
- 証明書署名要求(CSR)の生成とダウンロード
- 署名付き中間CA証明書と証明書チェーンをアップロードする
- 証明書を確定する
- 証明書をデフォルトとしてマークする
詳細については、以下を参照してください。
中間CA証明書リソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)のSSLポリシー機能スコープが必要です。詳細は、はじめにを参照してください。
閉じる - ロケーション管理とトラフィック転送
ロケーション管理APIリソースを使用すると、Zscalerサービス定義のロケーションまたはサブロケーションのすべての属性を要求として取得したり、VPN認証情報または静的IPアドレスを使用してロケーションを追加または更新したり、サブロケーションを追加または削除したり、ロケーションとサブロケーションを削除したりできます。詳細は、以下を参照してください。
ロケーション管理リソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)に対する[トラフィック転送]>[ロケーションとVPN認証情報]の機能スコープが必要です。詳細は、はじめにを参照してください。
特定の場所のVPN資格情報の取得と更新
Zscalerサービスは、ZIA Public Service Edge (以前のZscaler強制ノードまたはZEN)または安全なWebゲートウェイを使用して、組織の企業ネットワーク内の内部トラフィックも検査します。トラフィック転送はIPSec VPNトンネリングを介して有効になり、適切なユーザークレデンシャルが構成されている必要があります。場所管理エンドポイントを使用すると、特定の場所のVPN資格情報を取得および更新できます。
場所のVPN資格情報を取得するには、
/vpnCredentialsエンドポイントを使用します。VPN IDの個々のVPN資格情報を取得および更新するには、/vpnCredentials/{vpnId}エンドポイントを使用します。ユーザーパスワードは、一定期間(例えば30日ごと)にランダムに再生成することができます。
詳細については、以下を参照してください。
VPN認証情報リソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)に対する[トラフィック転送]>[VPN認証情報]の機能スコープが必要です。詳細は、はじめにを参照してください。
SD-WANパートナー統合のためのIPSec VPNトンネルの管理
この機能に対応するために使用されるAPIリソースは、SD-WANパートナー専用です。
ソフトウェア定義ワイドエリアネットワーク(SD-WAN)パートナーAPIキーを使用すると、テクノロジーパートナーは、クラウドサービスAPI内のロケーション管理リソースとVPN認証情報リソースにアクセスできます。各パートナーの詳細とSD-WAN展開構成ガイドについては、SD-WANパートナーサイトを参照するか、Zscaler Business Developmentにお問い合わせください。
詳細については、以下を参照してください。
ロケーションとVPN認証情報リソースを呼び出すには、認証されたパートナー管理者が、パートナー管理者ロールのSD-WANパートナーアクセスおよびパートナーAPIキーを持っている必要があります。詳細は、IPSecVPNトンネルプロビジョニングのためのSD-WAN API統合]および[はじめにを参照してください。
GREトンネル、静的IPアドレス、および仮想IPアドレス情報の取得
ZIAを使用すると、静的IPアドレスまたはGREトンネルをセルフプロビジョニングして、Zscalerサービスに接続できます。仮想IPアドレス(VIP)は、IPSec VPNトンネルを確立するために使用されます。トラフィック転送APIリソースを使用すると、セルフサービスGREトンネル、静的IPプロビジョニング、およびデータセンターのVIP情報を取得できます。
詳細については、以下を参照してください。
閉じる - ルールラベル
ルールラベルAPIリソースを使用すると、ラベルを作成し、URLフィルタリングポリシールールに関連付けることができます。詳細は、以下を参照してください。
閉じる - セキュリティポリシー設定
拒否リストは、Zscalerが全てのインターネットトラフィックをブロックしている悪意あるURLのリストです。Zscalerは継続的に更新されるグローバル拒否リストを提供し、各組織はカスタム拒否リストを管理できます。拒否リストを取得または置換するには、エンドポイントを使用します
/security/advanced。拒否リスト内の個々のURLを追加または削除するには、security/advanced/blacklistUrlsエンドポイントを使用します。許可リストとは、Zscalerがセキュリティスキャンの対象から除外するURLのリストです。Zscalerはグローバルな許可リストを提供していませんが、各組織はカスタムの許可リストを管理することができます。ローカルの許可リストには最大255のURLを含めることができます。許可リストを取得または交換するには、
/securityエンドポイントを使用します。ただし、APIを使用して、個別のURLを許可リストに追加または削除することはできません。組織のカスタムdenylistとallowlistに、すべてのカテゴリー(カスタムと定義済み)にわたって、最大25,000のカスタムURLとIPを追加することができます。詳しくは、以下をご覧ください。
閉じるセキュリティポリシー設定リソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)に対する次の許可とスコープが必要です。
- [APIロール]>[フルポリシーアクセス許可とセキュリティ機能スコープ]
- [管理者ロール]>[フルポリシーアクセス許可とセキュリティ機能スコープ]
詳細は、はじめにを参照してください。
- URLカテゴリー
定義済みのURLカテゴリーとカスタムURLカテゴリーは、組織のURLを分類する方法を提供します。URLカテゴリーAPIリソースを使用すると、次のことができます。
- 定義済みURLカテゴリーのURLを追加または削除します。
- 定義済みおよびカスタムのカテゴリーに関する情報を取得します。
- カスタムカテゴリーを削除します。
- 指定したURLの分類を検索します。
- IPアドレスやURLでカスタムカテゴリーを更新します。
- カスタムカテゴリーのURLを更新または追加します。
詳細については、以下を参照してください。
閉じるURLカテゴリリソースにアクセスするには、APIロール(OAuth 2.0認証)または管理者ロール(管理者認証情報とAPIキーを使用した認証)に対する次の許可とスコープが必要です。
- [APIロール]>[フルポリシーアクセス許可とアクセスコントロール(Webとモバイル)機能範囲]
- [管理者ロール]>[フルポリシーアクセス許可とアクセスコントロール(Webとモバイル)機能範囲]
詳細は、はじめにを参照してください。
- URLフィルタリングポリシー
URLフィルタリングポリシーAPIリソースを使用すると、サイトのURL分類に基づいてWebコンテンツへのアクセスを管理することで、責任の露出を制限するルールに関する情報を取得および管理できます。詳細は、以下を参照してください。
閉じる - ユーザー認証設定
ユーザー認証設定APIリソースを使用すると、URLをCookie認証から除外できます。詳細は、以下を参照してください。
閉じる - ユーザー管理
Sandbox提出API
Sandbox提出APIにアクセスするには、Zscalerアカウント チームにお問い合わせください。
Sandbox提出APIを使用すると、分析のためにSandboxにファイルを送信するためのプログラムによるアクセスが提供されます。このAPIは、RAWfァイルとアーカイブファイル(ZIP、GZIPなど)の送信に対応しており、1日あたり最大100個のファイルを送信できます。デフォルトでは、ファイルは判定を得るために分析のためにSandboxに直接送信されます。ただし、判定が既に存在する場合は、サービスにファイルの再分析を強制することもできます。このAPIは、Sandboxで現在サポートされているすべてのファイルのタイプにも対応しています。詳細については、以下を参照してください。