Integra Proofpoint Cloud Threat Response con Google SecOps

Versión de la integración: 1.0

En este documento, se explica cómo integrar Proofpoint Cloud Threat Response en Google Security Operations.

Casos de uso

La integración de Proofpoint Cloud Threat Response aborda los siguientes casos de uso de operaciones de seguridad:

Ingesta automática de incidentes: Extrae automáticamente los incidentes y los mensajes de correo electrónico asociados de Proofpoint a Google SecOps para reducir la supervisión manual y acelerar la clasificación.
Respuesta priorizada ante amenazas: Filtra las alertas incorporadas según umbrales específicos de gravedad y confianza para garantizar que los analistas se enfoquen primero en las amenazas de alto impacto.
Análisis detallado de veredictos: Optimiza los flujos de trabajo filtrando incidentes según los veredictos de Proofpoint (como Amenaza o Revisión manual) y las disposiciones (como Software malicioso o Phishing).
Asignación de entorno personalizada: Asigna de forma dinámica las alertas incorporadas a entornos específicos con la asignación de campos y patrones de expresiones regulares, lo que garantiza la segregación adecuada de los datos y la compatibilidad con la arquitectura multiusuario.

Antes de comenzar

Antes de configurar la integración en la plataforma de SecOps de Google, verifica que tengas lo siguiente:

Credenciales de la API de Proofpoint: Un ID de cliente y un secreto de cliente válidos generados desde tu cuenta de Proofpoint Threat Response Estas credenciales son necesarias para que la integración se autentique y genere un token de portador.
URL raíz de la API: Es el extremo específico de tu instancia de Proofpoint Cloud Threat Response (el valor predeterminado es https://threatprotection-api.proofpoint.com).
Acceso a la red: Asegúrate de que la plataforma de SecOps de Google pueda comunicarse con los extremos de la API de Proofpoint a través del puerto 443. Si tu organización usa un proxy, ten a mano la dirección y las credenciales del servidor proxy.

Parámetros de integración

La integración de Proofpoint Cloud Threat Response requiere los siguientes parámetros:

Parámetro	Descripción
`API Root`	Obligatorio. Es la URL raíz de la API de la instancia de Proofpoint Cloud Threat Response. El valor predeterminado es `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obligatorio. Es el ID de cliente que se usa para autenticarse en la instancia de Proofpoint Cloud Threat Response.
`Client Secret`	Obligatorio. Es el secreto del cliente que se usa para autenticarse con la instancia de Proofpoint Cloud Threat Response.
`Verify SSL`	Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Proofpoint Cloud Threat Response. Habilitada de forma predeterminada.

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.

Ping

Usa la acción Ping para probar la conectividad con Proofpoint Cloud Threat Response.

Esta acción no se ejecuta en las entidades de SecOps de Google.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters! La acción se completó correctamente.

Mensaje de salida	Descripción del mensaje
`Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters!`	La acción se completó correctamente.
`Failed to connect to the Proofpoint Cloud Threat Response server! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the Proofpoint Cloud Threat Response
      server! Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`true` o `false`

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).

Conector de incidentes de Proofpoint Cloud Threat Response

Usa el conector de incidentes de Proofpoint Cloud Threat Response para recuperar incidentes y datos de mensajes relacionados de Proofpoint Cloud Threat Response, y luego ingiérelo como alertas en Google SecOps.

Entradas del conector

El conector de incidentes de Proofpoint Cloud Threat Response requiere los siguientes parámetros:

Parámetro	Descripción
`Product Field Name`	Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es `Product Name`.
`Event Field Name`	Obligatorio. Es el nombre del campo que determina el nombre o el subtipo del evento. El valor predeterminado es `product`.
`Environment Field Name`	Es opcional. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es `""`.
`Environment Regex Pattern`	Es opcional. Es un patrón de expresión regular para extraer o manipular el valor del entorno de `Environment Field Name`. El valor predeterminado es `.*`.
`Script Timeout (Seconds)`	Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es `180`.
`API Root`	Obligatorio. Es la URL raíz de la API de la instancia de Proofpoint Cloud Threat Response. El valor predeterminado es `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obligatorio. Es el ID de cliente que se usa para autenticarse en la instancia de Proofpoint Cloud Threat Response.
`Client Secret`	Obligatorio. Es el secreto del cliente que se usa para autenticarse con la instancia de Proofpoint Cloud Threat Response.
`Lowest Severity To Fetch`	Es opcional. Es el nivel de gravedad más bajo de los incidentes que se recuperarán. Por ejemplo, seleccionar `Medium` recupera los incidentes de gravedad media y alta. Los valores posibles son los siguientes: `Low` `Medium` `High`
`Status Filter`	Es opcional. Es una lista separada por comas de los estados de los incidentes que se incluirán en la transferencia. Los valores posibles son `Open` y `Closed`. El valor predeterminado es `Open`.
`Lowest Confidence To Fetch`	Es opcional. Es el nivel de confianza más bajo de los incidentes que se recuperarán. Por ejemplo, si seleccionas `Medium`, se recuperarán los incidentes de confianza media y alta. Los valores posibles son los siguientes: `Low` `Medium` `High`
`Disposition Filter`	Es opcional. Es una lista separada por comas de las disposiciones que se incluirán (por ejemplo, `malware, phish, suspicious`).
`Verdict Filter`	Es opcional. Es una lista de veredictos separados por comas que se incluirán en la transferencia. Los valores posibles son `Failed`, `Low Risk`, `Manual Review` y `Threat`.
`Max Hours Backwards`	Obligatorio. Cantidad de horas previas a la hora actual para buscar incidentes durante la primera iteración o si vence la marca de tiempo. El valor predeterminado es `1`.
`Max Incidents To Fetch`	Obligatorio. Es la cantidad máxima de incidentes que se procesarán en cada iteración del conector. El valor máximo es `9`. El valor predeterminado es `9`.
`Use dynamic list as a blocklist`	Obligatorio. Si se selecciona, el conector usa la lista dinámica (basada en los valores de la fuente) como una lista de bloqueo para excluir incidentes específicos. Está inhabilitado de forma predeterminada.
`Disable Overflow`	Es opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de Google SecOps. Está inhabilitado de forma predeterminada.
`Verify SSL`	Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Proofpoint Cloud Threat Response. Está inhabilitado de forma predeterminada.
`Proxy Server Address`	Es opcional. Es la dirección del servidor proxy que se usará.
`Proxy Username`	Es opcional. Nombre de usuario del proxy con el que se realizará la autenticación.
`Proxy Password`	Es opcional. Contraseña del proxy para la autenticación.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.