이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Proofpoint Cloud Threat Response를 Google SecOps와 통합

통합 버전: 1.0

이 문서에서는 Proofpoint Cloud Threat Response를 Google Security Operations와 통합하는 방법을 설명합니다.

사용 사례

Proofpoint Cloud Threat Response 통합은 다음 보안 운영 사용 사례를 해결합니다.

자동 사고 수집: Proofpoint에서 Google SecOps로 사고 및 관련 이메일 메시지를 자동으로 가져와 수동 모니터링을 줄이고 트리아지를 가속화합니다.
위협 대응 우선순위 지정: 특정 심각도 및 신뢰도 기준에 따라 수집된 알림을 필터링하여 분석가가 영향이 큰 위협에 먼저 집중할 수 있도록 합니다.
세부 평결 분석: Proofpoint 평결 (예: 위협 또는 수동 검토) 및 처리(예: 멀웨어 또는 피싱)를 기반으로 인시던트를 필터링하여 워크플로를 간소화합니다.
맞춤 환경 매핑: 필드 매핑 및 정규식 패턴을 사용하여 수집된 알림을 특정 환경에 동적으로 할당하여 적절한 데이터 분리 및 멀티 테넌시 지원을 보장합니다.

시작하기 전에

Google SecOps 플랫폼에서 통합을 구성하기 전에 다음이 있는지 확인하세요.

Proofpoint API 사용자 인증 정보: Proofpoint Threat Response 계정에서 생성된 유효한 클라이언트 ID와 클라이언트 보안 비밀번호입니다. 이러한 사용자 인증 정보는 통합이 인증하고 Bearer 토큰을 생성하는 데 필요합니다.
API 루트 URL: Proofpoint Cloud Threat Response 인스턴스의 특정 엔드포인트입니다 (기본값은 https://threatprotection-api.proofpoint.com).
네트워크 액세스: Google SecOps 플랫폼이 포트 443을 통해 Proofpoint API 엔드포인트와 통신할 수 있는지 확인합니다. 조직에서 프록시를 사용하는 경우 프록시 서버 주소와 사용자 인증 정보를 준비합니다.

통합 매개변수

Proofpoint Cloud Threat Response 통합에는 다음 매개변수가 필요합니다.

매개변수	설명
`API Root`	필수 항목입니다. Proofpoint Cloud Threat Response 인스턴스의 API 기준 URL입니다. 기본값은 `https://threatprotection-api.proofpoint.com`입니다.
`Client ID`	필수 항목입니다. Proofpoint Cloud Threat Response 인스턴스를 인증하는 데 사용되는 클라이언트 ID입니다.
`Client Secret`	필수 항목입니다. Proofpoint Cloud Threat Response 인스턴스를 인증하는 데 사용되는 클라이언트 보안 비밀번호입니다.
`Verify SSL`	필수 항목입니다. 선택하면 Proofpoint Cloud Threat Response 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답하기 및 수동 작업 실행하기를 참고하세요.

핑

Ping 작업을 사용하여 Proofpoint Cloud Threat Response와의 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용 불가
케이스 월 링크	사용 불가
케이스 월 테이블	사용 불가
보강 테이블	사용 불가
JSON 결과	사용 불가
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters! 작업이 완료되었습니다.

출력 메시지	메시지 설명
`Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters!`	작업이 완료되었습니다.
`Failed to connect to the Proofpoint Cloud Threat Response server! Error is ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Failed to connect to the Proofpoint Cloud Threat Response
      server! Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`true` 또는 `false`

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.

Proofpoint Cloud Threat Response - Incidents Connector

Proofpoint Cloud Threat Response - Incidents Connector를 사용하여 Proofpoint Cloud Threat Response에서 인시던트 및 관련 메시지 데이터를 가져오고 이를 Google SecOps에 알림으로 수집합니다.

커넥터 입력

Proofpoint Cloud Threat Response - Incidents Connector에는 다음 매개변수가 필요합니다.

매개변수	설명
`Product Field Name`	필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 `Product Name`입니다.
`Event Field Name`	필수 항목입니다. 이벤트 이름 또는 하위 유형을 결정하는 필드의 이름입니다. 기본값은 `product`입니다.
`Environment Field Name`	선택사항입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 `""`입니다.
`Environment Regex Pattern`	선택사항입니다. `Environment Field Name`에서 환경 값을 추출하거나 조작하는 정규 표현식 패턴입니다. 기본값은 `.*`입니다.
`Script Timeout (Seconds)`	필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 `180`입니다.
`API Root`	필수 항목입니다. Proofpoint Cloud Threat Response 인스턴스의 API 루트 URL입니다. 기본값은 `https://threatprotection-api.proofpoint.com`입니다.
`Client ID`	필수 항목입니다. Proofpoint Cloud Threat Response 인스턴스를 인증하는 데 사용되는 클라이언트 ID입니다.
`Client Secret`	필수 항목입니다. Proofpoint Cloud Threat Response 인스턴스를 인증하는 데 사용되는 클라이언트 보안 비밀번호입니다.
`Lowest Severity To Fetch`	선택사항입니다. 가져올 문제의 가장 낮은 심각도 수준입니다. 예를 들어 `Medium`을 선택하면 중간 및 높음 심각도 문제가 모두 검색됩니다. 가능한 값은 다음과 같습니다. `Low` `Medium` `High`
`Status Filter`	선택사항입니다. 인제스트에 포함할 인시던트 상태의 쉼표로 구분된 목록입니다. 가능한 값은 `Open` 및 `Closed`입니다. 기본값은 `Open`입니다.
`Lowest Confidence To Fetch`	선택사항입니다. 가져올 인시던트의 가장 낮은 신뢰 수준입니다. 예를 들어 `Medium`를 선택하면 신뢰도가 중간 및 높음인 인시던트가 모두 검색됩니다. 가능한 값은 다음과 같습니다. `Low` `Medium` `High`
`Disposition Filter`	선택사항입니다. 포함할 처분 목록입니다 (예: `malware, phish, suspicious`).
`Verdict Filter`	선택사항입니다. 인제스트에 포함할 평결의 쉼표로 구분된 목록입니다. 가능한 값은 `Failed`, `Low Risk`, `Manual Review`, `Threat`입니다.
`Max Hours Backwards`	필수 항목입니다. 첫 번째 반복 중에 또는 타임스탬프가 만료된 경우 현재 시간 이전의 시간(단위: 시간)을 검색하여 인시던트를 찾습니다. 기본값은 `1`입니다.
`Max Incidents To Fetch`	필수 항목입니다. 모든 커넥터 반복에서 처리할 최대 인시던트 수입니다. 최댓값은 `9`입니다. 기본값은 `9`입니다.
`Use dynamic list as a blocklist`	필수 항목입니다. 선택하면 커넥터가 소스 값을 기반으로 하는 동적 목록을 차단 목록으로 사용하여 특정 인시던트를 제외합니다. 기본적으로 사용 중지됩니다.
`Disable Overflow`	선택사항입니다. 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 사용 중지됩니다.
`Verify SSL`	필수 항목입니다. 선택하면 Proofpoint Cloud Threat Response 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 중지됩니다.
`Proxy Server Address`	선택사항입니다. 사용할 프록시 서버의 주소입니다.
`Proxy Username`	선택사항입니다. 인증할 프록시 사용자 이름입니다.
`Proxy Password`	선택사항입니다. 인증할 프록시 비밀번호입니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.