Integre o Proofpoint Cloud Threat Response com o Google SecOps
Versão da integração: 1.0
Este documento explica como integrar o Proofpoint Cloud Threat Response com o Google Security Operations.
Exemplos de utilização
A integração do Proofpoint Cloud Threat Response aborda os seguintes exemplos de utilização de operações de segurança:
Carregamento automático de incidentes: extraia automaticamente incidentes e mensagens de email associadas do Proofpoint para o Google SecOps para reduzir a monitorização manual e acelerar a triagem.
Resposta a ameaças prioritária: filtre os alertas carregados com base em limites de gravidade e confiança específicos para garantir que os analistas se focam primeiro nas ameaças de elevado impacto.
Análise detalhada de vereditos: simplifique os fluxos de trabalho filtrando incidentes com base em vereditos (como ameaça ou revisão manual) e disposições (como software malicioso ou phishing) do Proofpoint.
Mapeamento de ambiente personalizado: atribua dinamicamente alertas carregados a ambientes específicos através do mapeamento de campos e de padrões de expressões regulares, garantindo a segregação adequada dos dados e o suporte de multi-inquilinos.
Antes de começar
Antes de configurar a integração na plataforma Google SecOps, verifique se tem o seguinte:
Credenciais da API Proofpoint: um ID de cliente e um segredo do cliente válidos gerados a partir da sua conta do Proofpoint Threat Response. Estas credenciais são necessárias para que a integração seja autenticada e gere um token de autorização.
URL raiz da API: o ponto final específico da sua instância do Proofpoint Cloud Threat Response (o predefinido é
https://threatprotection-api.proofpoint.com).Acesso à rede: certifique-se de que a plataforma Google SecOps consegue comunicar com os pontos finais da API Proofpoint através da porta 443. Se a sua organização usar um proxy, tenha o endereço e as credenciais do servidor proxy disponíveis.
Parâmetros de integração
A integração do Proofpoint Cloud Threat Response requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. O URL raiz da API da instância do Proofpoint Cloud Threat Response. O valor predefinido é
|
Client ID |
Obrigatório. O ID de cliente usado para autenticar com a instância do Proofpoint Cloud Threat Response. |
Client Secret |
Obrigatório. O segredo do cliente usado para fazer a autenticação na instância do Proofpoint Cloud Threat Response. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor Proofpoint Cloud Threat Response. Ativada por predefinição. |
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de procedimentos. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Realize uma ação manual.
Tchim-tchim
Use a ação Ping para testar a conetividade com o Proofpoint Cloud Threat Response.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Proofpoint Cloud Threat Response
server with the provided connection parameters! |
A ação foi bem-sucedida. |
Failed to connect to the Proofpoint Cloud Threat Response
server! Error is ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Conetores
Para mais informações sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Proofpoint Cloud Threat Response - Incidents Connector
Use o conetor de incidentes do Proofpoint Cloud Threat Response para obter incidentes e dados de mensagens relacionados do Proofpoint Cloud Threat Response e carregá-los como alertas no Google SecOps.
Entradas do conetor
O Proofpoint Cloud Threat Response - Incidents Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome ou o subtipo do evento. O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular para extrair ou manipular o valor do ambiente de O valor predefinido é |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório. O URL raiz da API da instância do Proofpoint Cloud Threat Response. O valor predefinido é
|
Client ID |
Obrigatório. O ID de cliente usado para autenticar com a instância do Proofpoint Cloud Threat Response. |
Client Secret |
Obrigatório. O segredo do cliente usado para fazer a autenticação na instância do Proofpoint Cloud Threat Response. |
Lowest Severity To Fetch |
Opcional. O nível de gravidade mais baixo dos incidentes a obter. Por exemplo,
se selecionar Os valores possíveis são os seguintes:
|
Status Filter |
Opcional. Uma lista separada por vírgulas de estados de incidentes a incluir na carregamento. Os valores possíveis são O valor predefinido é |
Lowest Confidence To Fetch |
Opcional. O nível de confiança mais baixo dos incidentes a obter. Por exemplo,
se selecionar Os valores possíveis são os seguintes:
|
Disposition Filter |
Opcional. Uma lista separada por vírgulas de disposições a incluir (por exemplo,
|
Verdict Filter |
Opcional. Uma lista de veredictos separados por vírgulas a incluir na carregamento. Os valores possíveis são |
Max Hours Backwards |
Obrigatório. O número de horas antes da hora atual para pesquisar incidentes durante a primeira iteração ou se a data/hora expirar. O valor predefinido é |
Max Incidents To Fetch |
Obrigatório. O número máximo de incidentes a processar em cada iteração do conector. O valor máximo é O valor predefinido é |
Use dynamic list as a blocklist |
Obrigatório. Se selecionada, o conector usa a lista dinâmica (com base nos valores de origem) como uma lista de bloqueio para excluir incidentes específicos. Desativada por predefinição. |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Desativada por predefinição. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor Proofpoint Cloud Threat Response. Desativada por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.