Questa pagina è stata tradotta dall'API Cloud Translation.

Integra Proofpoint Cloud Threat Response con Google SecOps

Versione integrazione: 1.0

Questo documento spiega come integrare Proofpoint Cloud Threat Response con Google Security Operations.

Casi d'uso

L'integrazione di Proofpoint Cloud Threat Response riguarda i seguenti casi d'uso delle operazioni di sicurezza:

Importazione automatica degli incidenti: estrai automaticamente gli incidenti e i messaggi email associati da Proofpoint in Google SecOps per ridurre il monitoraggio manuale e velocizzare la valutazione.
Risposta alle minacce con priorità: filtra gli avvisi inseriti in base a soglie specifiche di gravità e confidenza per garantire che gli analisti si concentrino prima sulle minacce ad alto impatto.
Analisi granulare dei verdetti: semplifica i flussi di lavoro filtrando gli incidenti in base ai verdetti di Proofpoint (ad esempio Minaccia o Revisione manuale) e alle disposizioni (ad esempio Malware o Phishing).
Mappatura personalizzata dell'ambiente: assegna dinamicamente gli avvisi inseriti a ambienti specifici utilizzando la mappatura dei campi e i pattern delle espressioni regolari, garantendo la corretta separazione dei dati e il supporto multi-tenant.

Prima di iniziare

Prima di configurare l'integrazione nella piattaforma Google SecOps, verifica di disporre di quanto segue:

Credenziali API Proofpoint: un ID client e un client secret validi generati dal tuo account Proofpoint Threat Response. Queste credenziali sono necessarie per l'autenticazione e la generazione di un token Bearer.
URL radice dell'API: l'endpoint specifico per l'istanza Proofpoint Cloud Threat Response (il valore predefinito è https://threatprotection-api.proofpoint.com).
Accesso alla rete: assicurati che la piattaforma Google SecOps possa comunicare con gli endpoint API Proofpoint sulla porta 443. Se la tua organizzazione utilizza un proxy, tieni a portata di mano l'indirizzo e le credenziali del server proxy.

Parametri di integrazione

L'integrazione di Proofpoint Cloud Threat Response richiede i seguenti parametri:

Parametro	Descrizione
`API Root`	Obbligatorio. L'URL radice dell'API dell'istanza Proofpoint Cloud Threat Response. Il valore predefinito è `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obbligatorio. L'ID client utilizzato per l'autenticazione con l'istanza Proofpoint Cloud Threat Response.
`Client Secret`	Obbligatorio. Il client secret utilizzato per l'autenticazione con l'istanza Proofpoint Cloud Threat Response.
`Verify SSL`	Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Proofpoint Cloud Threat Response. Abilitato per impostazione predefinita.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Dindin

Utilizza l'azione Ping per testare la connettività a Proofpoint Cloud Threat Response.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca casi	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters! L'azione è riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters!`	L'azione è riuscita.
`Failed to connect to the Proofpoint Cloud Threat Response server! Error is ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Failed to connect to the Proofpoint Cloud Threat Response
      server! Error is ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script	Valore
`is_success`	`true` o `false`

Connettori

Per saperne di più su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).

Proofpoint Cloud Threat Response - Incidents Connector

Utilizza Proofpoint Cloud Threat Response - Incidents Connector per recuperare gli incidenti e i dati dei messaggi correlati da Proofpoint Cloud Threat Response e inserirli come avvisi in Google SecOps.

Input del connettore

Il connettore Proofpoint Cloud Threat Response - Incidents richiede i seguenti parametri:

Parametro	Descrizione
`Product Field Name`	Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Per impostazione predefinita, qualsiasi input non valido per questo parametro viene risolto in un valore di riserva. Il valore predefinito è `Product Name`.
`Event Field Name`	Obbligatorio. Il nome del campo che determina il nome o il sottotipo dell'evento. Il valore predefinito è `product`.
`Environment Field Name`	Facoltativo. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è `""`.
`Environment Regex Pattern`	Facoltativo. Un pattern di espressione regolare per estrarre o manipolare il valore dell'ambiente da `Environment Field Name`. Il valore predefinito è `.*`.
`Script Timeout (Seconds)`	Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è `180`.
`API Root`	Obbligatorio. L'URL radice dell'API dell'istanza Proofpoint Cloud Threat Response. Il valore predefinito è `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obbligatorio. L'ID client utilizzato per l'autenticazione con l'istanza Proofpoint Cloud Threat Response.
`Client Secret`	Obbligatorio. Il client secret utilizzato per l'autenticazione con l'istanza Proofpoint Cloud Threat Response.
`Lowest Severity To Fetch`	Facoltativo. Il livello di gravità più basso degli incidenti da recuperare. Ad esempio, se selezioni `Medium` vengono recuperati gli incidenti di gravità media e alta. I valori possibili sono: `Low` `Medium` `High`
`Status Filter`	Facoltativo. Un elenco separato da virgole di stati degli incidenti da includere nell'importazione. I valori possibili sono `Open` e `Closed`. Il valore predefinito è `Open`.
`Lowest Confidence To Fetch`	Facoltativo. Il livello di confidenza più basso degli incidenti da recuperare. Ad esempio, se selezioni `Medium`, vengono recuperati gli incidenti con confidenza media e alta. I valori possibili sono: `Low` `Medium` `High`
`Disposition Filter`	Facoltativo. Un elenco separato da virgole di disposizioni da includere (ad esempio, `malware, phish, suspicious`).
`Verdict Filter`	Facoltativo. Un elenco separato da virgole di verdetti da includere nell'importazione. I valori possibili sono `Failed`, `Low Risk`, `Manual Review` e `Threat`.
`Max Hours Backwards`	Obbligatorio. Il numero di ore prima dell'ora attuale in cui cercare incidenti durante la prima iterazione o se il timestamp scade. Il valore predefinito è `1`.
`Max Incidents To Fetch`	Obbligatorio. Il numero massimo di incidenti da elaborare in ogni iterazione del connettore. Il valore massimo è `9`. Il valore predefinito è `9`.
`Use dynamic list as a blocklist`	Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico (in base ai valori di origine) come lista bloccata per escludere incident specifici. Disabilitato per impostazione predefinita.
`Disable Overflow`	Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Disabilitato per impostazione predefinita.
`Verify SSL`	Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Proofpoint Cloud Threat Response. Disabilitato per impostazione predefinita.
`Proxy Server Address`	Facoltativo. L'indirizzo del server proxy da utilizzare.
`Proxy Username`	Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione.
`Proxy Password`	Facoltativo. La password del proxy per l'autenticazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.