Cette page a été traduite par l'API Cloud Translation.

Intégrer Proofpoint Cloud Threat Response à Google SecOps

Version de l'intégration : 1.0

Ce document explique comment intégrer Proofpoint Cloud Threat Response à Google Security Operations.

Cas d'utilisation

L'intégration de Proofpoint Cloud Threat Response répond aux cas d'utilisation suivants des opérations de sécurité :

Ingestion automatisée des incidents : récupérez automatiquement les incidents et les e-mails associés depuis Proofpoint vers Google SecOps pour réduire la surveillance manuelle et accélérer le tri.
Réponse aux menaces priorisée : filtrez les alertes ingérées en fonction de seuils de gravité et de confiance spécifiques pour vous assurer que les analystes se concentrent d'abord sur les menaces à fort impact.
Analyse détaillée des verdicts : simplifiez les workflows en filtrant les incidents en fonction des verdicts Proofpoint (par exemple, "Menace" ou "Examen manuel") et des dispositions (par exemple, "Logiciel malveillant" ou "Phishing").
Mappage d'environnement personnalisé : attribuez dynamiquement les alertes ingérées à des environnements spécifiques à l'aide du mappage de champs et des modèles d'expressions régulières. Vous assurez ainsi une ségrégation appropriée des données et la prise en charge du multitenant.

Avant de commencer

Avant de configurer l'intégration dans la plate-forme Google SecOps, vérifiez que vous disposez des éléments suivants :

Identifiants de l'API Proofpoint : un ID client et un code secret client valides générés à partir de votre compte Proofpoint Threat Response. Ces identifiants sont nécessaires pour que l'intégration s'authentifie et génère un jeton Bearer.
URL racine de l'API : point de terminaison spécifique à votre instance Proofpoint Cloud Threat Response (la valeur par défaut est https://threatprotection-api.proofpoint.com).
Accès au réseau : assurez-vous que la plate-forme Google SecOps peut communiquer avec les points de terminaison de l'API Proofpoint via le port 443. Si votre organisation utilise un proxy, munissez-vous de l'adresse et des identifiants du serveur proxy.

Paramètres d'intégration

L'intégration Proofpoint Cloud Threat Response nécessite les paramètres suivants :

Paramètre	Description
`API Root`	Obligatoire. URL racine de l'API de l'instance Proofpoint Cloud Threat Response. La valeur par défaut est `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obligatoire. ID client utilisé pour l'authentification auprès de l'instance Proofpoint Cloud Threat Response.
`Client Secret`	Obligatoire. Code secret du client utilisé pour l'authentification auprès de l'instance Proofpoint Cloud Threat Response.
`Verify SSL`	Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Proofpoint Cloud Threat Response. Cette option est activée par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ping

Utilisez l'action Ping pour tester la connectivité à Proofpoint Cloud Threat Response.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message de sortie Description du message

Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters! L'action a réussi.

Message de sortie	Description du message
`Successfully connected to the Proofpoint Cloud Threat Response server with the provided connection parameters!`	L'action a réussi.
`Failed to connect to the Proofpoint Cloud Threat Response server! Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Failed to connect to the Proofpoint Cloud Threat Response
      server! Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Connecteurs

Pour savoir comment configurer des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur Proofpoint Cloud Threat Response - Incidents

Utilisez le connecteur Proofpoint Cloud Threat Response – Incidents pour récupérer les incidents et les données de message associées à partir de Proofpoint Cloud Threat Response, puis les ingérer en tant qu'alertes dans Google SecOps.

Entrées du connecteur

Le connecteur Proofpoint Cloud Threat Response - Incidents nécessite les paramètres suivants :

Paramètre	Description
`Product Field Name`	Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée à partir du code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est `Product Name`.
`Event Field Name`	Obligatoire. Nom du champ qui détermine le nom ou le sous-type de l'événement. La valeur par défaut est `product`.
`Environment Field Name`	Facultatif. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est `""`.
`Environment Regex Pattern`	Facultatif. Modèle d'expression régulière permettant d'extraire ou de manipuler la valeur d'environnement à partir de `Environment Field Name`. La valeur par défaut est `.*`.
`Script Timeout (Seconds)`	Obligatoire. Délai avant expiration, en secondes, du processus Python qui exécute le script actuel. La valeur par défaut est `180`.
`API Root`	Obligatoire. URL racine de l'API de l'instance Proofpoint Cloud Threat Response. La valeur par défaut est `https://threatprotection-api.proofpoint.com`.
`Client ID`	Obligatoire. ID client utilisé pour l'authentification auprès de l'instance Proofpoint Cloud Threat Response.
`Client Secret`	Obligatoire. Code secret du client utilisé pour l'authentification auprès de l'instance Proofpoint Cloud Threat Response.
`Lowest Severity To Fetch`	Facultatif. Niveau de gravité le plus faible des incidents à récupérer. Par exemple, si vous sélectionnez `Medium`, vous récupérez les incidents de gravité moyenne et élevée. Les valeurs possibles sont les suivantes : `Low` `Medium` `High`
`Status Filter`	Facultatif. Liste des états d'incident à inclure dans l'ingestion, séparés par une virgule. Les valeurs possibles sont `Open` et `Closed`. La valeur par défaut est `Open`.
`Lowest Confidence To Fetch`	Facultatif. Niveau de confiance le plus faible des incidents à récupérer. Par exemple, si vous sélectionnez `Medium`, vous récupérez les incidents de confiance moyenne et élevée. Les valeurs possibles sont les suivantes : `Low` `Medium` `High`
`Disposition Filter`	Facultatif. Liste des dispositions à inclure, séparées par une virgule (par exemple, `malware, phish, suspicious`).
`Verdict Filter`	Facultatif. Liste de verdicts séparés par une virgule à inclure dans l'ingestion. Les valeurs possibles sont `Failed`, `Low Risk`, `Manual Review` et `Threat`.
`Max Hours Backwards`	Obligatoire. Nombre d'heures avant l'heure actuelle pendant lesquelles rechercher les incidents lors de la première itération ou si le code temporel expire. La valeur par défaut est `1`.
`Max Incidents To Fetch`	Obligatoire. Nombre maximal d'incidents à traiter à chaque itération du connecteur. La valeur maximale est de `9`. La valeur par défaut est `9`.
`Use dynamic list as a blocklist`	Obligatoire. Si cette option est sélectionnée, le connecteur utilise la liste dynamique (basée sur les valeurs sources) comme liste de blocage pour exclure des incidents spécifiques. Désactivé par défaut
`Disable Overflow`	Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité de Google SecOps. Désactivé par défaut
`Verify SSL`	Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Proofpoint Cloud Threat Response. Désactivé par défaut
`Proxy Server Address`	Facultatif. Adresse du serveur proxy à utiliser.
`Proxy Username`	Facultatif. Nom d'utilisateur du proxy pour l'authentification.
`Proxy Password`	Facultatif. Mot de passe du proxy pour l'authentification.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.