Integrar o Proofpoint Cloud Threat Response ao Google SecOps
Versão da integração: 1.0
Este documento explica como integrar o Proofpoint Cloud Threat Response ao Google Security Operations.
Casos de uso
A integração do Proofpoint Cloud Threat Response aborda os seguintes casos de uso de operações de segurança:
Ingestão automática de incidentes: extraia automaticamente incidentes e mensagens de e-mail associadas do Proofpoint para o Google SecOps e reduza o monitoramento manual e acelere a triagem.
Resposta a ameaças priorizada: filtre os alertas ingeridos com base em limites específicos de gravidade e confiança para garantir que os analistas se concentrem primeiro em ameaças de alto impacto.
Análise granular de vereditos: simplifique os fluxos de trabalho filtrando incidentes com base em vereditos (como ameaça ou análise manual) e disposições (como malware ou phishing) do Proofpoint.
Mapeamento de ambiente personalizado: atribua dinamicamente alertas ingeridos a ambientes específicos usando mapeamento de campos e padrões de expressões regulares, garantindo a segregação adequada de dados e o suporte a multilocatários.
Antes de começar
Antes de configurar a integração na plataforma do Google SecOps, verifique se você tem o seguinte:
Credenciais da API Proofpoint: um ID do cliente e uma chave secreta do cliente válidos gerados na sua conta do Proofpoint Threat Response. Essas credenciais são necessárias para que a integração faça a autenticação e gere um token de portador.
URL raiz da API: o endpoint específico da sua instância do Proofpoint Cloud Threat Response. O padrão é
https://threatprotection-api.proofpoint.com.Acesso à rede: verifique se a plataforma Google SecOps pode se comunicar com os endpoints da API Proofpoint pela porta 443. Se a organização usa um proxy, tenha o endereço e as credenciais do servidor proxy disponíveis.
Parâmetros de integração
A integração do Proofpoint Cloud Threat Response requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. O URL raiz da API da instância do Proofpoint Cloud Threat Response. O valor padrão é |
Client ID |
Obrigatório. O ID do cliente usado para autenticar com a instância do Proofpoint Cloud Threat Response. |
Client Secret |
Obrigatório. A chave secreta do cliente usada para autenticar com a instância do Proofpoint Cloud Threat Response. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Proofpoint Cloud Threat Response. Ativado por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Use a ação Ping para testar a conectividade com o Proofpoint Cloud Threat Response.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully connected to the Proofpoint Cloud Threat Response
server with the provided connection parameters! |
A ação foi concluída. |
Failed to connect to the Proofpoint Cloud Threat Response
server! Error is ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Conectores
Para mais informações sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector de incidentes do Proofpoint Cloud Threat Response
Use o Proofpoint Cloud Threat Response - Incidents Connector para recuperar incidentes e dados de mensagens relacionados do Proofpoint Cloud Threat Response e ingeri-los como alertas no Google SecOps.
Entradas do conector
O Proofpoint Cloud Threat Response - Incidents Connector exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome ou subtipo do evento. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular para extrair ou manipular o valor do ambiente de O valor padrão é |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. O URL raiz da API da instância do Proofpoint Cloud Threat Response. O valor padrão é |
Client ID |
Obrigatório. O ID do cliente usado para autenticar com a instância do Proofpoint Cloud Threat Response. |
Client Secret |
Obrigatório. A chave secreta do cliente usada para autenticar com a instância do Proofpoint Cloud Threat Response. |
Lowest Severity To Fetch |
Opcional. O nível de gravidade mais baixo dos incidentes a serem recuperados. Por exemplo, selecionar Os valores possíveis são:
|
Status Filter |
Opcional. Uma lista separada por vírgulas de status de incidentes a serem incluídos na ingestão. Os valores possíveis são O valor padrão é |
Lowest Confidence To Fetch |
Opcional. O nível de confiança mais baixo dos incidentes a serem recuperados. Por exemplo, selecionar Os valores possíveis são:
|
Disposition Filter |
Opcional. Uma lista separada por vírgulas de disposições a serem incluídas (por exemplo, |
Verdict Filter |
Opcional. Uma lista separada por vírgulas de veredictos a serem incluídos na ingestão. Os valores possíveis são |
Max Hours Backwards |
Obrigatório. O número de horas antes do horário atual para pesquisar incidentes durante a primeira iteração ou se o carimbo de data/hora expirar. O valor padrão é |
Max Incidents To Fetch |
Obrigatório. O número máximo de incidentes a serem processados em cada iteração do conector. O valor máximo é O valor padrão é |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica (com base nos valores de origem) como uma lista de bloqueio para excluir incidentes específicos. Essa configuração está desativada por padrão. |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Essa configuração está desativada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor Proofpoint Cloud Threat Response. Essa configuração está desativada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.