将 Proofpoint Cloud Threat Response 与 Google SecOps 集成
集成版本:1.0
本文档介绍了如何将 Proofpoint Cloud Threat Response 与 Google Security Operations 集成。
使用场景
Proofpoint Cloud Threat Response 集成可满足以下安全运营使用场景:
自动提取突发事件:自动将 Proofpoint 中的突发事件和相关电子邮件消息提取到 Google SecOps 中,以减少手动监控并加快分诊速度。
优先处理威胁:根据特定的严重程度和置信度阈值过滤接收到的提醒,确保分析师优先关注高影响的威胁。
精细的判决分析:通过根据 Proofpoint 判决(例如“威胁”或“人工审核”)和处置(例如“恶意软件”或“钓鱼式攻击”)过滤事件,简化工作流程。
自定义环境映射:使用字段映射和正则表达式模式将提取的提醒动态分配给特定环境,确保适当的数据隔离和多租户支持。
准备工作
在 Google SecOps 平台中配置集成之前,请验证您是否具备以下条件:
Proofpoint API 凭据:从您的 Proofpoint Threat Response 账号生成的有效客户端 ID 和客户端密钥。集成需要这些凭据才能进行身份验证并生成不记名令牌。
API 根网址:Proofpoint Cloud Threat Response 实例的特定端点(默认值为
https://threatprotection-api.proofpoint.com)。网络访问权限:确保 Google SecOps 平台可以通过端口 443 与 Proofpoint API 端点通信。如果您的组织使用代理,请准备好代理服务器地址和凭据。
集成参数
Proofpoint Cloud Threat Response 集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Root |
必填。 Proofpoint Cloud Threat Response 实例的 API 根网址。 默认值为 |
Client ID |
必填。 用于向 Proofpoint Cloud Threat Response 实例进行身份验证的客户端 ID。 |
Client Secret |
必填。 用于向 Proofpoint Cloud Threat Response 实例进行身份验证的客户端密钥。 |
Verify SSL |
必填。 如果选中此复选框,集成会在连接到 Proofpoint Cloud Threat Response 服务器时验证 SSL 证书。 默认处于启用状态。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如果需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
Ping
使用 Ping 操作测试与 Proofpoint Cloud Threat Response 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the Proofpoint Cloud Threat Response
server with the provided connection parameters! |
操作成功。 |
Failed to connect to the Proofpoint Cloud Threat Response
server! Error is ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
Proofpoint Cloud Threat Response - Incidents 连接器
使用 Proofpoint Cloud Threat Response - Incidents Connector 从 Proofpoint Cloud Threat Response 中检索事件和相关消息数据,并将它们作为提醒注入到 Google SecOps 中。
连接器输入
Proofpoint Cloud Threat Response - Incidents 连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为从代码引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必填。 用于确定事件名称或子类型的字段的名称。 默认值为 |
Environment Field Name |
可选。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Regex Pattern |
可选。 用于从 默认值为 |
Script Timeout (Seconds) |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 Proofpoint Cloud Threat Response 实例的 API 根网址。 默认值为 |
Client ID |
必填。 用于向 Proofpoint Cloud Threat Response 实例进行身份验证的客户端 ID。 |
Client Secret |
必填。 用于向 Proofpoint Cloud Threat Response 实例进行身份验证的客户端密钥。 |
Lowest Severity To Fetch |
可选。 要检索的事件的最低严重程度。例如,选择 可能的值如下:
|
Status Filter |
可选。 以英文逗号分隔的要纳入提取范围的突发事件状态列表。 可能的值包括 默认值为 |
Lowest Confidence To Fetch |
可选。 要检索的突发事件的最低置信度。例如,选择 可能的值如下:
|
Disposition Filter |
可选。 以英文逗号分隔的要包含的处置列表(例如 |
Verdict Filter |
可选。 要纳入到提取中的判决结果的英文逗号分隔列表。 可能的值包括 |
Max Hours Backwards |
必填。 在第一次迭代期间或时间戳过期时,要搜索事件的当前时间之前的小时数。 默认值为 |
Max Incidents To Fetch |
必填。 每次连接器迭代中要处理的突发事件数量上限。 最大值为 默认值为 |
Use dynamic list as a blocklist |
必填。 如果选择此选项,连接器会使用动态列表(基于来源值)作为屏蔽列表来排除特定事件。 默认情况下,该环境处于停用状态。 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 默认情况下,该环境处于停用状态。 |
Verify SSL |
必填。 如果选择此项,集成会在连接到 Proofpoint Cloud Threat Response 服务器时验证 SSL 证书。 默认情况下,该环境处于停用状态。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。