整合 Proofpoint Cloud Threat Response 與 Google SecOps
整合版本:1.0
本文說明如何將 Proofpoint Cloud Threat Response 與 Google Security Operations 整合。
用途
Proofpoint Cloud Threat Response 整合功能可解決下列安全作業用途:
自動擷取事件:自動將事件和相關電子郵件訊息從 Proofpoint 匯入 Google SecOps,減少手動監控作業並加快分類速度。
優先處理威脅:根據特定嚴重程度和信賴度門檻篩選擷取的快訊,確保分析師優先處理影響重大的威脅。
詳細的判決分析:根據 Proofpoint 的判決 (例如「威脅」或「人工審查」) 和處置方式 (例如「惡意軟體」或「網路釣魚」) 篩選事件,簡化工作流程。
自訂環境對應:使用欄位對應和規則運算式模式,將擷取的快訊動態指派給特定環境,確保資料適當區隔,並支援多租戶。
事前準備
在 Google SecOps 平台中設定整合功能前,請確認您具備下列項目:
Proofpoint API 憑證:從 Proofpoint Threat Response 帳戶產生的有效用戶端 ID 和用戶端密鑰。整合服務需要這些憑證,才能進行驗證並產生 Bearer 權杖。
API 根網址:Proofpoint Cloud Threat Response 執行個體的特定端點 (預設為
https://threatprotection-api.proofpoint.com)。網路存取權:請確保 Google SecOps 平台可透過 443 連接埠與 Proofpoint API 端點通訊。如果貴機構使用 Proxy,請準備好 Proxy 伺服器位址和憑證。
整合參數
整合 Proofpoint Cloud Threat Response 時,需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 Proofpoint Cloud Threat Response 執行個體的 API 根網址。 預設值為 |
Client ID |
必填。 用於驗證 Proofpoint Cloud Threat Response 執行個體的用戶端 ID。 |
Client Secret |
必填。 用於向 Proofpoint Cloud Threat Response 執行個體驗證的用戶端密鑰。 |
Verify SSL |
必填。 如果選取這個選項,整合功能會在連線至 Proofpoint Cloud Threat Response 伺服器時,驗證 SSL 憑證。 (預設為啟用)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
使用「Ping」動作測試與 Proofpoint Cloud Threat Response 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the Proofpoint Cloud Threat Response
server with the provided connection parameters! |
動作成功。 |
Failed to connect to the Proofpoint Cloud Threat Response
server! Error is ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Proofpoint Cloud Threat Response - Incidents 連接器
使用 Proofpoint Cloud Threat Response - Incidents Connector,從 Proofpoint Cloud Threat Response 擷取事件和相關郵件資料,並以快訊形式匯入 Google SecOps。
連接器輸入內容
Proofpoint Cloud Threat Response - Incidents Connector 需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱或子類型的欄位名稱。 預設值為 |
Environment Field Name |
選填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Regex Pattern |
選填。 用來從 預設值為 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 Proofpoint Cloud Threat Response 執行個體的 API 根網址。 預設值為 |
Client ID |
必填。 用於驗證 Proofpoint Cloud Threat Response 執行個體的用戶端 ID。 |
Client Secret |
必填。 用於向 Proofpoint Cloud Threat Response 執行個體驗證的用戶端密鑰。 |
Lowest Severity To Fetch |
選填。 要擷取的事件最低嚴重性等級。舉例來說,選取 可能的值如下:
|
Status Filter |
選填。 以半形逗號分隔的事件狀態清單,用於納入擷取作業。 可能的值為 預設值為 |
Lowest Confidence To Fetch |
選填。 要擷取的事件最低信賴水準。舉例來說,選取「中」 可能的值如下:
|
Disposition Filter |
選填。 以半形逗號分隔的處置清單 (例如 |
Verdict Filter |
選填。 以半形逗號分隔的判決清單,用於納入擷取作業。 可能的值為 |
Max Hours Backwards |
必填。 在第一次疊代期間或時間戳記過期時,要搜尋事件的目前時間前的小時數。 預設值為 |
Max Incidents To Fetch |
必填。 每次連接器疊代要處理的事件數上限。 最大值為 預設值為 |
Use dynamic list as a blocklist |
必填。 如果選取這個選項,連接器會使用動態清單 (根據來源值) 做為封鎖清單,排除特定事件。 預設為停用。 |
Disable Overflow |
選填。 選取後,連接器會忽略 Google SecOps 溢位機制。 預設為停用。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 Proofpoint Cloud Threat Response 伺服器時,驗證 SSL 憑證。 預設為停用。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。