Mengintegrasikan Proofpoint Cloud Threat Response dengan Google SecOps
Versi integrasi: 1.0
Dokumen ini menjelaskan cara mengintegrasikan Proofpoint Cloud Threat Response dengan Google Security Operations.
Kasus penggunaan
Integrasi Proofpoint Cloud Threat Response menangani kasus penggunaan operasi keamanan berikut:
Penyerapan insiden otomatis: Menarik insiden dan pesan email terkait secara otomatis dari Proofpoint ke Google SecOps untuk mengurangi pemantauan manual dan mempercepat triase.
Respons terhadap ancaman yang diprioritaskan: Memfilter pemberitahuan yang di-ingest berdasarkan tingkat keparahan dan batas keyakinan tertentu untuk memastikan analis berfokus pada ancaman yang berdampak tinggi terlebih dahulu.
Analisis putusan terperinci: Sederhanakan alur kerja dengan memfilter insiden berdasarkan putusan Proofpoint (seperti Ancaman atau Peninjauan Manual) dan disposisi (seperti Malware atau Phishing).
Pemetaan lingkungan kustom: Tetapkan pemberitahuan yang di-ingest secara dinamis ke lingkungan tertentu menggunakan pemetaan kolom dan pola ekspresi reguler, sehingga memastikan pemisahan data yang tepat dan dukungan multi-tenant.
Sebelum memulai
Sebelum mengonfigurasi integrasi di platform Google SecOps, pastikan Anda memiliki hal berikut:
Kredensial Proofpoint API: Client ID dan Rahasia Klien yang valid yang dibuat dari akun Proofpoint Threat Response Anda. Kredensial ini diperlukan agar integrasi dapat melakukan autentikasi dan membuat token Bearer.
URL root API: Endpoint spesifik untuk instance Proofpoint Cloud Threat Response Anda (defaultnya adalah
https://threatprotection-api.proofpoint.com).Akses jaringan: Pastikan platform SecOps Google dapat berkomunikasi dengan endpoint Proofpoint API melalui port 443. Jika organisasi Anda menggunakan proxy, siapkan alamat dan kredensial server proxy.
Parameter integrasi
Integrasi Proofpoint Cloud Threat Response memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
API Root |
Wajib. URL Root API instance Proofpoint Cloud Threat Response. Nilai defaultnya adalah
|
Client ID |
Wajib. Client ID yang digunakan untuk melakukan autentikasi dengan instance Proofpoint Cloud Threat Response. |
Client Secret |
Wajib. Rahasia Klien yang digunakan untuk mengautentikasi dengan instance Proofpoint Cloud Threat Response. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Proofpoint Cloud Threat Response. Diaktifkan secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap selanjutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Proofpoint Cloud Threat Response.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully connected to the Proofpoint Cloud Threat Response
server with the provided connection parameters! |
Tindakan berhasil. |
Failed to connect to the Proofpoint Cloud Threat Response
server! Error is ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Konektor
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Proofpoint Cloud Threat Response - Incidents Connector
Gunakan Proofpoint Cloud Threat Response - Incidents Connector untuk mengambil insiden dan data pesan terkait dari Proofpoint Cloud Threat Response dan memasukkannya sebagai pemberitahuan ke Google SecOps.
Input konektor
Proofpoint Cloud Threat Response - Incidents Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama atau subjenis peristiwa. Nilai defaultnya adalah |
Environment Field Name |
Opsional. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk mengekstrak atau memanipulasi nilai
lingkungan dari Nilai defaultnya adalah |
Script Timeout (Seconds) |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib. URL root API instance Proofpoint Cloud Threat Response. Nilai defaultnya adalah
|
Client ID |
Wajib. Client ID yang digunakan untuk melakukan autentikasi dengan instance Proofpoint Cloud Threat Response. |
Client Secret |
Wajib. Rahasia Klien yang digunakan untuk mengautentikasi dengan instance Proofpoint Cloud Threat Response. |
Lowest Severity To Fetch |
Opsional. Tingkat keparahan terendah insiden yang akan diambil. Misalnya,
memilih Kemungkinan nilainya adalah sebagai berikut:
|
Status Filter |
Opsional. Daftar status insiden yang dipisahkan koma untuk disertakan dalam penyerapan. Kemungkinan nilainya adalah Nilai defaultnya adalah |
Lowest Confidence To Fetch |
Opsional. Tingkat keyakinan terendah insiden yang akan diambil. Misalnya,
memilih Kemungkinan nilainya adalah sebagai berikut:
|
Disposition Filter |
Opsional. Daftar disposisi yang dipisahkan koma untuk disertakan (misalnya,
|
Verdict Filter |
Opsional. Daftar putusan yang dipisahkan koma untuk disertakan dalam penyerapan. Nilai yang mungkin adalah |
Max Hours Backwards |
Wajib. Jumlah jam sebelum waktu saat ini untuk menelusuri insiden selama iterasi pertama atau jika stempel waktu berakhir. Nilai defaultnya adalah |
Max Incidents To Fetch |
Wajib. Jumlah maksimum insiden yang akan diproses dalam setiap iterasi konektor. Nilai maksimum adalah Nilai defaultnya adalah |
Use dynamic list as a blocklist |
Wajib. Jika dipilih, konektor akan menggunakan daftar dinamis (berdasarkan nilai Sumber) sebagai daftar yang tidak diizinkan untuk mengecualikan insiden tertentu. Dinonaktifkan secara default. |
Disable Overflow |
Opsional. Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps. Dinonaktifkan secara default. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Proofpoint Cloud Threat Response. Dinonaktifkan secara default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.