Raccogliere i log di isolamento del browser web Proofpoint

Questo documento spiega come importare i log di Proofpoint Web Browser Isolation in Google Security Operations utilizzando Google Cloud Storage V2.

Proofpoint Web Browser Isolation è un servizio di isolamento remoto del browser che protegge gli utenti dalle minacce basate sul web eseguendo il rendering dei contenuti web in un ambiente cloud sicuro, impedendo al codice dannoso di raggiungere l'endpoint. Fornisce log dell'attività di navigazione tramite l'API Proofpoint TAP SIEM. Il parser estrae i campi dai dati degli eventi di isolamento e li mappa al modello Unified Data Model (UDM), acquisendo classificazioni degli URL, azioni degli utenti, disposizioni di sicurezza e metadati della sessione di navigazione.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Un progetto GCP con l'API Storage Cloud abilitata
• Autorizzazioni per creare e gestire bucket GCS
• Autorizzazioni per gestire le policy IAM nei bucket GCS
• Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
• Accesso con privilegi a Proofpoint con le credenziali dell'API TAP SIEM (Service Principal e API Secret)

Crea un bucket Cloud Storage

1. Vai alla console Google Cloud.
2. Seleziona il tuo progetto o creane uno nuovo.
3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
4. Fai clic su Crea bucket.

5. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio proofpoint-wbi-logs).
   Tipo di località	Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
   Località	Seleziona la posizione (ad esempio, us-central1).
   Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
   Controllo dell'accesso	Uniforme (consigliato)
   Strumenti di protezione	(Facoltativo) Attivare il controllo delle versioni degli oggetti o la policy di conservazione

6. Fai clic su Crea.

Raccogliere le credenziali dell'API SIEM di Proofpoint TAP

Ottenere le credenziali API

1. Accedi alla dashboard TAP di Proofpoint.
2. Vai a Impostazioni > Applicazioni connesse.
3. Fai clic su Crea nuova credenziale (o utilizza una credenziale API SIEM esistente).

4. Copia e memorizza in modo sicuro le seguenti credenziali:

   • Service Principal: copia questo valore
   • API Secret: copia questo valore

Verifica le autorizzazioni

Per verificare che le credenziali API dispongano delle autorizzazioni richieste:

1. Accedi alla dashboard Proofpoint TAP.
2. Vai a Impostazioni > Applicazioni connesse.
3. Verifica che la credenziale sia elencata e abbia lo stato Attivo.
4. Verifica che l'accesso all'API SIEM sia abilitato per le credenziali.

Testare l'accesso API

• Verifica le tue credenziali prima di procedere con l'integrazione:

  # Replace with your actual credentials
  SERVICE_PRINCIPAL="<your-service-principal>"
  API_SECRET="<your-api-secret>"
  
  # Test TAP SIEM API access - fetch events from last hour
  curl -v -u "${SERVICE_PRINCIPAL}:${API_SECRET}" \
    "https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=3600"
  

Crea un account di servizio per la funzione Cloud Run

La funzione Cloud Run richiede un account di servizio con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

1. Nella console Google Cloud, vai a IAM e amministrazione > Service account.
2. Fai clic su Crea account di servizio.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome del service account: inserisci proofpoint-wbi-collector-sa
   • Descrizione service account: inserisci Service account for Cloud Run function to collect Proofpoint Web Browser Isolation logs
4. Fai clic su Crea e continua.
5. Nella sezione Concedi a questo account di servizio l'accesso al progetto, aggiungi i seguenti ruoli:
   1. Fai clic su Seleziona un ruolo.
   2. Cerca e seleziona Amministratore oggetti di archiviazione.
   3. Fai clic su + Aggiungi un altro ruolo.
   4. Cerca e seleziona Cloud Run Invoker.
   5. Fai clic su + Aggiungi un altro ruolo.
   6. Cerca e seleziona Invoker di Cloud Functions.
6. Fai clic su Continua.
7. Fai clic su Fine.

Questi ruoli sono necessari per:

• Storage Object Admin: scrive i log nel bucket GCS e gestisce i file di stato
• Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
• Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al account di servizio le autorizzazioni di scrittura sul bucket GCS:

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket (ad esempio proofpoint-wbi-logs).
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: inserisci l'email del account di servizio (ad esempio, proofpoint-wbi-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Assegna i ruoli: seleziona Storage Object Admin.
6. Fai clic su Salva.

Crea un argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

1. Nella console GCP, vai a Pub/Sub > Argomenti.
2. Fai clic su Crea argomento.
3. Fornisci i seguenti dettagli di configurazione:
   • ID argomento: inserisci proofpoint-wbi-trigger
   • Lascia invariate le altre impostazioni predefinite
4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run verrà attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare gli eventi di isolamento del browser dall'API Proofpoint TAP SIEM e scriverli in GCS.

1. Nella console GCP, vai a Cloud Run.
2. Fai clic su Crea servizio.
3. Seleziona Funzione (usa un editor in linea per creare una funzione).

4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome servizio	proofpoint-wbi-collector
   Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio, us-central1)
   Tempo di esecuzione	Seleziona Python 3.12 o versioni successive

5. Nella sezione Trigger (facoltativo):

   1. Fai clic su + Aggiungi trigger.
   2. Seleziona Cloud Pub/Sub.
   3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (proofpoint-wbi-trigger).
   4. Fai clic su Salva.

6. Nella sezione Autenticazione:

   1. Seleziona Richiedi autenticazione.
   2. Controlla Identity and Access Management (IAM).

7. Scorri verso il basso ed espandi Container, networking, sicurezza.

8. Vai alla scheda Sicurezza:

   • Service account: seleziona il account di servizio (proofpoint-wbi-collector-sa).

9. Vai alla scheda Container:

   1. Fai clic su Variabili e secret.
   2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

   Nome variabile	Valore di esempio	Descrizione
   GCS_BUCKET	proofpoint-wbi-logs	Nome del bucket GCS
   GCS_PREFIX	wbi-logs	Prefisso per i file di log
   STATE_KEY	wbi-logs/state.json	Percorso file di stato
   SERVICE_PRINCIPAL	your-service-principal	Entità servizio Proofpoint TAP
   API_SECRET	your-api-secret	API secret Proofpoint TAP
   LOOKBACK_SECONDS	3600	Periodo di riferimento in secondi (valore predefinito: 1 ora)

10. Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti)

11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o superiore
      • CPU: seleziona 1

12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto)

13. Fai clic su Crea.

14. Attendi la creazione del servizio (1-2 minuti).

15. Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

1. Inserisci main nel campo Entry point (Punto di ingresso).

2. Nell'editor di codice incorporato, crea due file:

   • Primo file:main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timezone, timedelta
     import time
     import base64
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=60.0),
       retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     # Environment variables
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'wbi-logs')
     STATE_KEY = os.environ.get('STATE_KEY', 'wbi-logs/state.json')
     SERVICE_PRINCIPAL = os.environ.get('SERVICE_PRINCIPAL')
     API_SECRET = os.environ.get('API_SECRET')
     LOOKBACK_SECONDS = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
     
     TAP_API_BASE = "https://tap-api-v2.proofpoint.com/v2/siem"
     
     def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
         value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
     
     @functions_framework.cloud_event
     def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Proofpoint
       Web Browser Isolation events via TAP SIEM API and write to GCS.
     
       Args:
         cloud_event: CloudEvent object containing Pub/Sub message
       """
     
       if not all([GCS_BUCKET, SERVICE_PRINCIPAL, API_SECRET]):
         print('Error: Missing required environment variables')
         return
     
       try:
         # Get GCS bucket
         bucket = storage_client.bucket(GCS_BUCKET)
     
         # Load state
         state = load_state(bucket, STATE_KEY)
     
         now = datetime.now(timezone.utc)
     
         # Determine since_seconds from state
         since_seconds = LOOKBACK_SECONDS
         if isinstance(state, dict) and state.get("last_event_time"):
           try:
             last_time = parse_datetime(state["last_event_time"])
             elapsed = (now - last_time).total_seconds()
             # Add 120 seconds overlap to catch delayed events
             since_seconds = int(elapsed) + 120
             # TAP API maximum is 1 hour (3600 seconds)
             since_seconds = min(since_seconds, 3600)
           except Exception as e:
             print(f"Warning: Could not parse last_event_time: {e}")
     
         print(f"Fetching events from last {since_seconds} seconds")
     
         # Build auth header (Basic auth)
         auth_string = f"{SERVICE_PRINCIPAL}:{API_SECRET}"
         auth_bytes = auth_string.encode('utf-8')
         auth_b64 = base64.b64encode(auth_bytes).decode('utf-8')
     
         # Fetch all SIEM events
         records = fetch_siem_events(
           auth_b64=auth_b64,
           since_seconds=since_seconds,
         )
     
         if not records:
           print("No new events found.")
           save_state(bucket, STATE_KEY, now.isoformat())
           return
     
         # Write to GCS as NDJSON
         timestamp = now.strftime('%Y%m%d_%H%M%S')
         object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
         blob = bucket.blob(object_key)
     
         ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
         blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
         print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
     
         # Update state
         save_state(bucket, STATE_KEY, now.isoformat())
     
         print(f"Successfully processed {len(records)} records")
     
       except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
     
     def load_state(bucket, key):
       """Load state from GCS."""
       try:
         blob = bucket.blob(key)
         if blob.exists():
           state_data = blob.download_as_text()
           return json.loads(state_data)
       except Exception as e:
         print(f"Warning: Could not load state: {e}")
     
       return {}
     
     def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
         state = {'last_event_time': last_event_time_iso}
         blob = bucket.blob(key)
         blob.upload_from_string(
           json.dumps(state, indent=2),
           content_type='application/json'
         )
         print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
         print(f"Warning: Could not save state: {e}")
     
     def fetch_siem_events(auth_b64: str, since_seconds: int):
       """
       Fetch events from the Proofpoint TAP SIEM API.
     
       The TAP SIEM API returns all event types (clicks, messages, isolation)
       in a single response. The sinceSeconds parameter controls the lookback window
       (maximum 3600 seconds / 1 hour).
     
       Args:
         auth_b64: Base64-encoded Service Principal:API Secret for Basic auth
         since_seconds: Fetch events from the last N seconds (max 3600)
     
       Returns:
         List of event records
       """
       headers = {
         'Authorization': f'Basic {auth_b64}',
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-ProofpointWBICollector/1.0',
       }
     
       url = f"{TAP_API_BASE}/all?format=json&sinceSeconds={since_seconds}"
       backoff = 1.0
       max_retries = 3
     
       for attempt in range(max_retries):
         try:
           response = http.request('GET', url, headers=headers)
     
           # Handle rate limiting with exponential backoff
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429). Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           if response.status != 200:
             print(f"HTTP Error: {response.status}")
             response_text = response.data.decode('utf-8')
             print(f"Response body: {response_text}")
             return []
     
           data = json.loads(response.data.decode('utf-8'))
     
           # TAP SIEM API returns events grouped by type
           all_events = []
     
           # Collect all event types
           for key in ['clicksPermitted', 'clicksBlocked', 'messagesDelivered', 'messagesBlocked']:
             events = data.get(key, [])
             if events:
               for event in events:
                 event['_tap_event_type'] = key
               all_events.extend(events)
               print(f"Retrieved {len(events)} {key} events")
     
           print(f"Total events retrieved: {len(all_events)}")
           return all_events
     
         except Exception as e:
           print(f"Error fetching SIEM events (attempt {attempt + 1}): {e}")
           if attempt < max_retries - 1:
             time.sleep(backoff)
             backoff = min(backoff * 2, 30.0)
     
       return []
     

   • Secondo file:requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblicherà messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

1. Nella console di GCP, vai a Cloud Scheduler.
2. Fai clic su Crea job.

3. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome	proofpoint-wbi-collector-hourly
   Regione	Seleziona la stessa regione della funzione Cloud Run
   Frequenza	0 * * * * (ogni ora, all'ora)
   Fuso orario	Seleziona il fuso orario (UTC consigliato)
   Tipo di target	Pub/Sub
   Argomento	Seleziona l'argomento Pub/Sub (proofpoint-wbi-trigger)
   Corpo del messaggio	{} (oggetto JSON vuoto)

4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	*/5 * * * *	Volume elevato, bassa latenza
Ogni 15 minuti	*/15 * * * *	Volume medio
Ogni ora	0 * * * *	Standard (consigliato)

Testare l'integrazione

1. Nella console Cloud Scheduler, trova il job.
2. Fai clic su Forza esecuzione per attivare il job manualmente.
3. Attendi qualche secondo.
4. Vai a Cloud Run > Servizi.
5. Fai clic sul nome della funzione (proofpoint-wbi-collector).
6. Fai clic sulla scheda Log.

7. Verifica che la funzione sia stata eseguita correttamente. Cerca:

   Fetching events from last 3600 seconds
   Retrieved X clicksPermitted events
   Retrieved X messagesDelivered events
   Total events retrieved: X
   Wrote X records to gs://proofpoint-wbi-logs/wbi-logs/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Vai a Cloud Storage > Bucket.

9. Fai clic sul nome del bucket (proofpoint-wbi-logs).

10. Vai alla cartella del prefisso (wbi-logs/).

11. Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

• HTTP 401: controlla il service principal e l'API secret nelle variabili di ambiente
• HTTP 403: verifica che le credenziali abbiano accesso all'API SIEM e che gli eventi di isolamento del browser siano inclusi nell'abbonamento
• HTTP 429: limitazione di frequenza: la funzione riproverà automaticamente con backoff
• Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Recuperare il account di servizio Google SecOps

Google SecOps utilizza un account di servizio univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo account di servizio l'accesso al tuo bucket.

Recupera l'email del account di servizio

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Proofpoint Web Browser Isolation Logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Proofpoint Web Browser Isolation come Tipo di log.
7. Fai clic su Ottieni service account.

8. Verrà visualizzata un'email dell'account di servizio univoca, ad esempio:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

9. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

10. Fai clic su Avanti.

11. Specifica i valori per i seguenti parametri di input:

    • URL bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://proofpoint-wbi-logs/wbi-logs/
      

      • Sostituisci:
        • proofpoint-wbi-logs: il nome del bucket GCS.
        • wbi-logs: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

12. Fai clic su Avanti.

13. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket (ad esempio proofpoint-wbi-logs).
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: incolla l'email del account di servizio Google SecOps
   • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
	metadata.event_type	Tipo di evento
categorie	metadata.product_event_type	Tipo di evento specifico per il prodotto
parentPageURL	metadata.url_back_to_product	URL che rimanda al prodotto
regione	principal.location.country_or_region	Paese o regione della sede del mandante
zona	principal.location.name	Nome della sede del mandante
userId	principal.user.product_object_id	Identificatore specifico del prodotto per l'utente
userName	principal.user.userid	Identificatore utente
security_result	security_result	Dettagli del risultato di sicurezza
disposizione	security_result.action	Azione di sicurezza intrapresa
disposizione	security_result.action_details	Dettagli dell'azione di sicurezza
classificazione	security_result.detection_fields	Campi correlati al rilevamento
url	target.url	URL della risorsa di destinazione
	metadata.product_name	Nome del prodotto
	metadata.vendor_name	Nome fornitore

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.