Diese Seite wurde von der Cloud Translation API übersetzt.

Proofpoint Cloud Threat Response in Google SecOps einbinden

Integrationsversion: 1.0

In diesem Dokument wird beschrieben, wie Sie Proofpoint Cloud Threat Response in Google Security Operations einbinden.

Anwendungsfälle

Die Integration von Proofpoint Cloud Threat Response deckt die folgenden Anwendungsfälle für Sicherheitsvorgänge ab:

Automatisierte Aufnahme von Vorfällen: Vorfälle und zugehörige E‑Mails werden automatisch aus Proofpoint in Google SecOps übertragen, um die manuelle Überwachung zu reduzieren und die Triage zu beschleunigen.
Priorisierte Reaktion auf Bedrohungen: Filtern Sie aufgenommene Warnungen anhand bestimmter Schwellenwerte für Schweregrad und Vertrauen, damit sich Analysten zuerst auf Bedrohungen mit hoher Wirkung konzentrieren.
Detaillierte Analyse der Ergebnisse: Optimieren Sie Workflows, indem Sie Vorfälle nach Proofpoint-Ergebnissen (z. B. „Bedrohung“ oder „Manuelle Überprüfung“) und Dispositionen (z. B. „Malware“ oder „Phishing“) filtern.
Benutzerdefinierte Umgebungszuordnung: Aufgenommene Benachrichtigungen werden dynamisch bestimmten Umgebungen zugewiesen. Dazu werden Feldzuordnung und reguläre Ausdrücke verwendet. So wird für eine ordnungsgemäße Datentrennung und Unterstützung mehrerer Mandanten gesorgt.

Hinweise

Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie Folgendes haben:

Proofpoint API-Anmeldedaten: Eine gültige Client-ID und ein gültiger Clientschlüssel, die in Ihrem Proofpoint Threat Response-Konto generiert wurden. Diese Anmeldedaten sind erforderlich, damit sich die Integration authentifizieren und ein Bearer-Token generieren kann.
API-Stamm-URL: Der spezifische Endpunkt für Ihre Proofpoint Cloud Threat Response-Instanz (Standard ist https://threatprotection-api.proofpoint.com).
Netzwerkzugriff: Achten Sie darauf, dass die Google SecOps-Plattform über Port 443 mit den Proofpoint API-Endpunkten kommunizieren kann. Wenn Ihre Organisation einen Proxy verwendet, halten Sie die Proxyserver-Adresse und die Anmeldedaten bereit.

Integrationsparameter

Für die Integration von Proofpoint Cloud Threat Response sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`API Root`	Erforderlich. Die API-Stamm-URL der Proofpoint Cloud Threat Response-Instanz. Der Standardwert ist `https://threatprotection-api.proofpoint.com`.
`Client ID`	Erforderlich. Die Client-ID, die für die Authentifizierung bei der Proofpoint Cloud Threat Response-Instanz verwendet wird.
`Client Secret`	Erforderlich. Der Clientschlüssel, der für die Authentifizierung bei der Proofpoint Cloud Threat Response-Instanz verwendet wird.
`Verify SSL`	Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Proofpoint Cloud Threat Response-Server validiert. Standardmäßig aktiviert.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Proofpoint Cloud Threat Response zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis	Verfügbar

Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters! Die Aktion wurde erfolgreich ausgeführt.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters!`	Die Aktion wurde erfolgreich ausgeführt.
`Failed to connect to the Proofpoint Cloud Threat Response server! Error is ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Failed to connect to the Proofpoint Cloud Threat Response
      server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses	Wert
`is_success`	`true` oder `false`

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Proofpoint Cloud Threat Response – Incidents Connector

Mit dem Proofpoint Cloud Threat Response – Incidents Connector können Sie Vorfälle und zugehörige Nachrichtendaten aus Proofpoint Cloud Threat Response abrufen und als Benachrichtigungen in Google SecOps aufnehmen.

Connector-Eingaben

Für den Proofpoint Cloud Threat Response - Incidents Connector sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Product Field Name`	Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist `Product Name`.
`Event Field Name`	Erforderlich. Der Name des Felds, das den Ereignisnamen oder ‑untertyp bestimmt. Der Standardwert ist `product`.
`Environment Field Name`	Optional. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist `""`.
`Environment Regex Pattern`	Optional. Ein Muster für reguläre Ausdrücke zum Extrahieren oder Bearbeiten des Umgebungswerts aus `Environment Field Name`. Der Standardwert ist `.*`.
`Script Timeout (Seconds)`	Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist `180`.
`API Root`	Erforderlich. Die API-Stamm-URL der Proofpoint Cloud Threat Response-Instanz. Der Standardwert ist `https://threatprotection-api.proofpoint.com`.
`Client ID`	Erforderlich. Die Client-ID, die für die Authentifizierung bei der Proofpoint Cloud Threat Response-Instanz verwendet wird.
`Client Secret`	Erforderlich. Der Clientschlüssel, der für die Authentifizierung bei der Proofpoint Cloud Threat Response-Instanz verwendet wird.
`Lowest Severity To Fetch`	Optional. Die niedrigste Schweregradstufe der abzurufenden Vorfälle. Wenn Sie beispielsweise `Medium` auswählen, werden sowohl Vorfälle mit mittlerem als auch mit hohem Schweregrad abgerufen. Folgende Werte sind möglich: `Low` `Medium` `High`
`Status Filter`	Optional. Eine durch Kommas getrennte Liste von Vorfallstatus, die in die Aufnahme einbezogen werden sollen. Die möglichen Werte sind `Open` und `Closed`. Der Standardwert ist `Open`.
`Lowest Confidence To Fetch`	Optional. Die niedrigste Konfidenzstufe für Vorfälle, die abgerufen werden sollen. Wenn Sie beispielsweise `Medium` auswählen, werden sowohl Vorfälle mit mittlerer als auch mit hoher Wahrscheinlichkeit abgerufen. Folgende Werte sind möglich: `Low` `Medium` `High`
`Disposition Filter`	Optional. Eine durch Kommas getrennte Liste der einzubeziehenden Dispositionen (z. B. `malware, phish, suspicious`).
`Verdict Filter`	Optional. Eine durch Kommas getrennte Liste von Ergebnissen, die in die Aufnahme einbezogen werden sollen. Die möglichen Werte sind `Failed`, `Low Risk`, `Manual Review` und `Threat`.
`Max Hours Backwards`	Erforderlich. Die Anzahl der Stunden vor der aktuellen Zeit, in denen bei der ersten Iteration oder bei Ablauf des Zeitstempels nach Vorfällen gesucht werden soll. Der Standardwert ist `1`.
`Max Incidents To Fetch`	Erforderlich. Die maximale Anzahl von Vorfällen, die in jeder Connector-Iteration verarbeitet werden sollen. Der Höchstwert ist `9`. Der Standardwert ist `9`.
`Use dynamic list as a blocklist`	Erforderlich. Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste (basierend auf Quellwerten) als Sperrliste, um bestimmte Vorfälle auszuschließen. Standardmäßig deaktiviert.
`Disable Overflow`	Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig deaktiviert.
`Verify SSL`	Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Proofpoint Cloud Threat Response-Server validiert. Standardmäßig deaktiviert.
`Proxy Server Address`	Optional. Die Adresse des zu verwendenden Proxyservers.
`Proxy Username`	Optional. Der Proxy-Nutzername für die Authentifizierung.
`Proxy Password`	Optional. Das Proxy-Passwort für die Authentifizierung.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten