Esta página se ha traducido con Cloud Translation API.

Integrar Proofpoint Cloud Threat Response con Google SecOps

Versión de la integración: 1.0

En este documento se explica cómo integrar Proofpoint Cloud Threat Response con Google Security Operations.

Casos prácticos

La integración de Proofpoint Cloud Threat Response aborda los siguientes casos prácticos de operaciones de seguridad:

Ingestión automatizada de incidentes: extrae automáticamente incidentes y mensajes de correo asociados de Proofpoint a Google SecOps para reducir la monitorización manual y acelerar la clasificación.
Respuesta a amenazas priorizada: filtra las alertas insertadas en función de umbrales de gravedad y confianza específicos para asegurarte de que los analistas se centren primero en las amenazas de alto impacto.
Análisis detallado de los veredictos: optimiza los flujos de trabajo filtrando los incidentes en función de los veredictos de Proofpoint (como Amenaza o Revisión manual) y las resoluciones (como Malware o Phishing).
Asignación de entornos personalizados: asigna dinámicamente las alertas ingeridas a entornos específicos mediante la asignación de campos y patrones de expresiones regulares, lo que garantiza la segregación adecuada de los datos y la compatibilidad con la arquitectura multiempresa.

Antes de empezar

Antes de configurar la integración en la plataforma Google SecOps, comprueba que tienes lo siguiente:

Credenciales de la API de Proofpoint: un ID de cliente y un secreto de cliente válidos generados desde tu cuenta de Proofpoint Threat Response. Estas credenciales son necesarias para que la integración se autentique y genere un token de portador.
URL raíz de la API: el endpoint específico de tu instancia de Proofpoint Cloud Threat Response (el valor predeterminado es https://threatprotection-api.proofpoint.com).
Acceso a la red: asegúrate de que la plataforma Google SecOps pueda comunicarse con los endpoints de la API de Proofpoint a través del puerto 443. Si tu organización usa un proxy, ten a mano la dirección y las credenciales del servidor proxy.

Parámetros de integración

La integración de Proofpoint Cloud Threat Response requiere los siguientes parámetros:

Parámetro	Descripción
`API Root`	Obligatorio. La URL raíz de la API de la instancia de Proofpoint Cloud Threat Response. El valor predeterminado es `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obligatorio. El ID de cliente que se usa para autenticar la instancia de Proofpoint Cloud Threat Response.
`Client Secret`	Obligatorio. El secreto de cliente que se usa para autenticarse en la instancia de Proofpoint Cloud Threat Response.
`Verify SSL`	Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor Proofpoint Cloud Threat Response. Esta opción está habilitada de forma predeterminada.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Ping

Usa la acción Ping para probar la conectividad con Proofpoint Cloud Threat Response.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the Proofpoint Cloud Threat Response server! Error is ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the Proofpoint Cloud Threat Response
      server! Error is ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script	Valor
`is_success`	`true` o `false`

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).

Proofpoint Cloud Threat Response - Incidents Connector

Usa el conector Proofpoint Cloud Threat Response - Incidents para obtener incidentes y datos de mensajes relacionados de Proofpoint Cloud Threat Response e insertarlos como alertas en Google SecOps.

Entradas de conectores

El conector de incidentes de Proofpoint Cloud Threat Response requiere los siguientes parámetros:

Parámetro	Descripción
`Product Field Name`	Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es `Product Name`.
`Event Field Name`	Obligatorio. Nombre del campo que determina el nombre o el subtipo del evento. El valor predeterminado es `product`.
`Environment Field Name`	Opcional. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es `""`.
`Environment Regex Pattern`	Opcional. Un patrón de expresión regular para extraer o manipular el valor del entorno de `Environment Field Name`. El valor predeterminado es `.*`.
`Script Timeout (Seconds)`	Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es `180`.
`API Root`	Obligatorio. La URL raíz de la API de la instancia de Proofpoint Cloud Threat Response. El valor predeterminado es `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obligatorio. El ID de cliente que se usa para autenticar la instancia de Proofpoint Cloud Threat Response.
`Client Secret`	Obligatorio. El secreto de cliente que se usa para autenticarse en la instancia de Proofpoint Cloud Threat Response.
`Lowest Severity To Fetch`	Opcional. El nivel de gravedad más bajo de los incidentes que se van a recuperar. Por ejemplo, si seleccionas `Medium`, se mostrarán los incidentes de gravedad media y alta. Estos son los valores posibles: `Low` `Medium` `High`
`Status Filter`	Opcional. Lista separada por comas de los estados de las incidencias que se incluirán en la ingestión. Los valores posibles son `Open` y `Closed`. El valor predeterminado es `Open`.
`Lowest Confidence To Fetch`	Opcional. El nivel de confianza más bajo de los incidentes que se van a recuperar. Por ejemplo, si selecciona `Medium`, se mostrarán los incidentes con confianza media y alta. Estos son los valores posibles: `Low` `Medium` `High`
`Disposition Filter`	Opcional. Lista separada por comas de las disposiciones que se deben incluir (por ejemplo, `malware, phish, suspicious`).
`Verdict Filter`	Opcional. Lista separada por comas de veredictos que se incluirán en la ingestión. Los valores posibles son `Failed`, `Low Risk`, `Manual Review` y `Threat`.
`Max Hours Backwards`	Obligatorio. El número de horas anteriores a la hora actual en las que se buscarán incidencias durante la primera iteración o si la marca de tiempo caduca. El valor predeterminado es `1`.
`Max Incidents To Fetch`	Obligatorio. El número máximo de incidencias que se procesarán en cada iteración del conector. El valor máximo es `9`. El valor predeterminado es `9`.
`Use dynamic list as a blocklist`	Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica (basada en los valores de origen) como lista de bloqueo para excluir incidentes específicos. Esta opción está inhabilitada de forma predeterminada.
`Disable Overflow`	Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. Esta opción está inhabilitada de forma predeterminada.
`Verify SSL`	Obligatorio. Si se selecciona, la integración valida el certificado SSL al conectarse al servidor Proofpoint Cloud Threat Response. Esta opción está inhabilitada de forma predeterminada.
`Proxy Server Address`	Opcional. Dirección del servidor proxy que se va a usar.
`Proxy Username`	Opcional. Nombre de usuario del proxy para autenticarse.
`Proxy Password`	Opcional. La contraseña del proxy para autenticarte.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.