Integrar o Proofpoint Cloud Threat Response ao Google SecOps
Versão da integração: 1.0
Este documento explica como integrar o Proofpoint Cloud Threat Response ao Google Security Operations.
Casos de uso
A integração do Proofpoint Cloud Threat Response aborda os seguintes casos de uso de operações de segurança:
Ingestão automática de incidentes: extraia automaticamente incidentes e mensagens de e-mail associadas do Proofpoint para o Google SecOps e reduza o monitoramento manual e acelere a triagem.
Resposta a ameaças priorizada: filtre os alertas ingeridos com base em limites específicos de gravidade e confiança para garantir que os analistas se concentrem primeiro em ameaças de alto impacto.
Análise granular de vereditos: simplifique os fluxos de trabalho filtrando incidentes com base em vereditos (como ameaça ou análise manual) e disposições (como malware ou phishing) do Proofpoint.
Mapeamento de ambiente personalizado: atribua dinamicamente alertas ingeridos a ambientes específicos usando mapeamento de campos e padrões de expressões regulares, garantindo a segregação adequada de dados e o suporte a multilocatários.
Antes de começar
Antes de configurar a integração na plataforma do Google SecOps, verifique se você tem o seguinte:
Credenciais da API Proofpoint: um ID do cliente e uma chave secreta do cliente válidos gerados na sua conta do Proofpoint Threat Response. Essas credenciais são necessárias para que a integração faça a autenticação e gere um token de portador.
URL raiz da API: o endpoint específico da sua instância do Proofpoint Cloud Threat Response. O padrão é
https://threatprotection-api.proofpoint.com.Acesso à rede: verifique se a plataforma Google SecOps pode se comunicar com os endpoints da API Proofpoint pela porta 443. Se a organização usa um proxy, tenha o endereço e as credenciais do servidor proxy disponíveis.
Parâmetros de integração
A integração do Proofpoint Cloud Threat Response requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. O URL raiz da API da instância do Proofpoint Cloud Threat Response. O valor padrão é |
Client ID |
Obrigatório. O ID do cliente usado para autenticar com a instância do Proofpoint Cloud Threat Response. |
Client Secret |
Obrigatório. A chave secreta do cliente usada para autenticar com a instância do Proofpoint Cloud Threat Response. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Proofpoint Cloud Threat Response. Ativado por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Use a ação Ping para testar a conectividade com o Proofpoint Cloud Threat Response.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully connected to the Proofpoint Cloud Threat Response
server with the provided connection parameters! |
A ação foi concluída. |
Failed to connect to the Proofpoint Cloud Threat Response
server! Error is ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Conectores
Para saber mais sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector de incidentes do Proofpoint Cloud Threat Response
Use o conector de incidentes do Proofpoint Cloud Threat Response para recuperar incidentes e dados de mensagens relacionados do Proofpoint Cloud Threat Response e ingerir como alertas no Google SecOps.
Entradas do conector
O Proofpoint Cloud Threat Response - Incidents Connector exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome ou subtipo do evento. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular para extrair ou manipular o valor do ambiente de O valor padrão é |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. O URL raiz da API da instância do Proofpoint Cloud Threat Response. O valor padrão é |
Client ID |
Obrigatório. O ID do cliente usado para autenticar com a instância do Proofpoint Cloud Threat Response. |
Client Secret |
Obrigatório. A chave secreta do cliente usada para autenticar com a instância do Proofpoint Cloud Threat Response. |
Lowest Severity To Fetch |
Opcional. O nível de gravidade mais baixo dos incidentes a serem recuperados. Por exemplo, selecionar Os valores possíveis são:
|
Status Filter |
Opcional. Uma lista separada por vírgulas de status de incidentes a serem incluídos na ingestão. Os valores possíveis são O valor padrão é |
Lowest Confidence To Fetch |
Opcional. O nível de confiança mais baixo dos incidentes a serem recuperados. Por exemplo, selecionar Os valores possíveis são:
|
Disposition Filter |
Opcional. Uma lista separada por vírgulas de disposições a serem incluídas (por exemplo, |
Verdict Filter |
Opcional. Uma lista separada por vírgulas de veredictos a serem incluídos na ingestão. Os valores possíveis são |
Max Hours Backwards |
Obrigatório. O número de horas antes do horário atual para pesquisar incidentes durante a primeira iteração ou se o carimbo de data/hora expirar. O valor padrão é |
Max Incidents To Fetch |
Obrigatório. O número máximo de incidentes a serem processados em cada iteração do conector. O valor máximo é O valor padrão é |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica (com base nos valores de origem) como uma lista de bloqueio para excluir incidentes específicos. Essa configuração está desativada por padrão. |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Essa configuração está desativada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Proofpoint Cloud Threat Response. Essa configuração está desativada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.