Proofpoint 위협 보호를 Google SecOps와 통합

통합 버전: 1.0

이 문서에서는 Proofpoint 위협 보호를 Google Security Operations와 통합하는 방법을 설명합니다.

사용 사례

Google SecOps 플랫폼에서 Proofpoint Threat Protection 통합은 다음 사용 사례를 지원합니다.

  • 자동 피싱 완화: 피싱 알림이 확인된 후 악성 발신자 이메일 주소와 도메인을 Proofpoint 차단 목록에 자동으로 추가하여 조직 전체에서 유사한 위협이 추가로 전송되지 않도록 합니다.

  • 사고 대응 가속화: 활성 조사 중에 IP 주소 및 호스트 이름의 차단 목록 항목을 신속하게 업데이트하여 새로 발견된 침해 지표 (IOC)가 이메일 게이트웨이에서 즉시 무력화되도록 합니다.

  • 선제적 위협 방지: 기존 허용 및 차단 목록 항목을 선제적으로 쿼리하고 검색하여 보안 정책이 최신 상태로 유지되고 현재 위협 인텔리전스와 일관되도록 함으로써 조직의 공격 표면을 줄입니다.

  • 간소화된 정책 관리: 플레이북을 사용하여 승인된 비즈니스 요청에 따라 허용 목록에 있는 신뢰할 수 있는 발신자를 일괄적으로 추가하거나 삭제하여 이메일 보안 정책 관리를 간소화합니다.

시작하기 전에

Google SecOps 플랫폼에서 통합을 구성하기 전에 다음이 있는지 확인하세요.

  • Proofpoint Threat Protection API 사용자 인증 정보: 유효한 클라이언트 ID와 클라이언트 보안 비밀번호가 있는지 확인합니다. 이러한 코드는 Proofpoint 관리 콘솔 내에서 생성됩니다.

  • 클러스터 ID: Proofpoint 인스턴스와 연결된 특정 클러스터 ID를 확인합니다. 이 ID는 올바른 허용 목록 및 차단 목록을 타겟팅하는 데 필요합니다.

  • 네트워크 연결: Google SecOps 환경이 Proofpoint Threat Protection API 루트 엔드포인트와 통신할 수 있는지 확인합니다. 프록시를 사용하는 경우 사용자 인증 정보와 주소를 사용할 수 있는지 확인합니다.

통합 매개변수

Proofpoint 위협 보호 통합에는 다음 매개변수가 필요합니다.

매개변수 설명
API Root

필수 항목입니다.

Proofpoint Threat Protection 인스턴스의 기본 URL입니다.
Client ID

필수 항목입니다.

Proofpoint Threat Protection API 사용자 인증 정보와 연결된 클라이언트 ID입니다.
Client Secret

필수 항목입니다.

Proofpoint Threat Protection API 사용자 인증 정보와 연결된 클라이언트 보안 비밀번호입니다.
Cluster ID

필수 항목입니다.

Proofpoint Threat Protection API 인스턴스와 연결된 클러스터 ID입니다.
Verify SSL

선택사항입니다.

선택하면 Proofpoint Threat Protection 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다.

기본적으로 사용 설정됩니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답수동 작업 실행을 참고하세요.

허용 목록에 항목 추가

허용 목록에 항목 추가 작업을 사용하여 Proofpoint 위협 보호 허용 목록에 항목을 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

허용 목록에 항목 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

선택사항입니다.

허용 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
Allowlist Item

필수 항목입니다.

추가할 허용 목록 항목을 나타내는 JSON 객체입니다.

기본값은 다음과 같습니다.

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

작업 출력

허용 목록에 항목 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 불가
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

허용 목록에 항목 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully added a new entry to the allow list.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 허용 목록에 항목 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

차단 목록에 항목 추가

차단 목록에 항목 추가 작업을 사용하여 Proofpoint Threat Protection 차단 목록에 항목을 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

차단 목록에 항목 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

선택사항입니다.

차단 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
Blocklist Item

필수 항목입니다.

추가할 차단 목록 항목을 나타내는 JSON 객체입니다.

기본값은 다음과 같습니다.

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

작업 출력

차단 목록에 항목 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 불가
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

차단 목록에 항목 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully added new entry to the block list.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 차단 목록에 항목 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

허용 목록에 IOC 추가

허용 목록에 IOC 추가 작업을 사용하여 Proofpoint Threat Protection 허용 목록에 특정 IOC를 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

허용 목록에 IOC 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

선택사항입니다.

허용 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
Recipient Email Address

선택사항입니다.

허용 목록에 추가할 수신자 이메일 주소를 쉼표로 구분한 목록입니다.
Sender Email Address

선택사항입니다.

허용 목록에 추가할 발신자 이메일 주소를 쉼표로 구분한 목록입니다.
Sender IP Address

선택사항입니다.

허용 목록에 추가할 발신자 IP 주소의 쉼표로 구분된 목록입니다.
Sender Hostname

선택사항입니다.

허용 목록에 추가할 발신자 호스트 이름의 쉼표로 구분된 목록입니다.
Sender HELO Domain Name

선택사항입니다.

허용 목록에 추가할 쉼표로 구분된 HELO 도메인 이름 목록입니다.
Message Header From (Address Only)

선택사항입니다.

허용 목록에 추가할 '메시지 헤더 From' 항목의 쉼표로 구분된 목록입니다.
Comment

선택사항입니다.

허용 목록 항목과 관련된 설명 또는 근거입니다.

작업 출력

허용 목록에 IOC 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 불가
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

허용 목록에 IOC 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully added new entries to the allow list.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 허용 목록에 IOC 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

차단 목록에 IOC 추가

차단 목록에 IOC 추가 작업을 사용하여 Proofpoint Threat Protection 차단 목록에 특정 IOC를 추가합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

차단 목록에 IOC 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

선택사항입니다.

차단 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
Recipient Email Address

선택사항입니다.

차단 목록에 추가할 수신자 이메일 주소를 쉼표로 구분한 목록입니다.
Sender Email Address

선택사항입니다.

차단 목록에 추가할 발신자 이메일 주소를 쉼표로 구분한 목록입니다.
Sender IP Address

선택사항입니다.

차단 목록에 추가할 발신자 IP 주소를 쉼표로 구분한 목록입니다.
Sender Hostname

선택사항입니다.

차단 목록에 추가할 발신자 호스트 이름의 쉼표로 구분된 목록입니다.
Sender HELO Domain Name

선택사항입니다.

차단 목록에 추가할 HELO 도메인 이름의 쉼표로 구분된 목록입니다.
Message Header From (Address Only)

선택사항입니다.

차단 목록에 추가할 '메시지 헤더 From' 항목의 쉼표로 구분된 목록입니다.
Comment

선택사항입니다.

차단 목록 항목과 관련된 설명 또는 근거입니다.

작업 출력

차단 목록에 IOC 추가 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 불가
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

차단 목록에 IOC 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully added new entries to the block list.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 차단 목록에 IOC 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

허용 목록 항목 가져오기

허용 목록 항목 가져오기 작업을 사용하여 Proofpoint Threat Protection 허용 목록에서 기존 항목을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

허용 목록 항목 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

필수 항목입니다.

허용 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
IOC Type To Return

선택사항입니다.

반환할 IOC 유형입니다.

All을 선택하면 작업에서 모든 항목을 반환합니다.

가능한 값은 다음과 같습니다.

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

기본값은 All입니다.
Max IOCs To Return

선택사항입니다.

반환할 IOC의 수입니다.

최댓값은 1000입니다.

기본값은 100입니다.

작업 출력

허용 목록 항목 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 허용 목록 항목 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
출력 메시지

허용 목록 항목 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully listed entries in the allow list based on the provided criteria.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 허용 목록 항목 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

차단 목록 항목 가져오기

차단 목록 항목 가져오기 작업을 사용하여 Proofpoint Threat Protection 차단 목록에서 기존 항목을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

차단 목록 항목 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

필수 항목입니다.

차단 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
IOC Type To Return

선택사항입니다.

반환할 IOC 유형입니다.

All을 선택하면 작업에서 모든 항목을 반환합니다.

가능한 값은 다음과 같습니다.

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

기본값은 All입니다.
Max IOCs To Return

선택사항입니다.

반환할 IOC의 수입니다.

최댓값은 1000입니다.

기본값은 100입니다.

작업 출력

차단 목록 항목 가져오기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 차단 목록 항목 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
출력 메시지

차단 목록 항목 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully listed entries in the block list based on the provided criteria.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 차단 목록 항목 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

Ping 작업을 사용하여 Proofpoint Threat Protection과의 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 불가
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

 작업이 완료되었습니다.
Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

허용 목록에서 항목 삭제

허용 목록에서 항목 삭제 작업을 사용하여 Proofpoint Threat Protection 허용 목록에서 항목을 삭제합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

허용 목록에서 항목 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

필수 항목입니다.

허용 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
IOC Type To Search

선택사항입니다.

검색할 IOC 유형입니다.

All를 선택하면 작업에서 값과 일치하는 모든 항목을 삭제합니다.

가능한 값은 다음과 같습니다.

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

기본값은 All입니다.
Value

선택사항입니다.

허용 목록에서 삭제할 값입니다.
Case Insensitive Search

필수 항목입니다.

선택하면 이 작업은 대소문자를 구분하지 않는 검색을 실행하여 일치하는 모든 항목을 식별하고 삭제합니다.

작업 출력

허용 목록에서 항목 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 불가
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

허용 목록에서 항목 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully deleted entry in the allow list based on the provided criteria.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 허용 목록에서 항목 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

차단 목록에서 항목 삭제

차단 목록에서 항목 삭제 작업을 사용하여 Proofpoint Threat Protection 차단 목록에서 항목을 삭제합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

차단 목록에서 항목 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Cluster ID

필수 항목입니다.

차단 목록의 클러스터 ID입니다.

값이 제공되지 않으면 작업에서 통합 구성의 클러스터 ID를 사용합니다.
IOC Type To Search

선택사항입니다.

검색할 IOC 유형입니다.

All를 선택하면 작업에서 값과 일치하는 모든 항목을 삭제합니다.

가능한 값은 다음과 같습니다.

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

기본값은 All입니다.
Value

선택사항입니다.

차단 목록에서 삭제할 값입니다.
Case Insensitive Search

필수 항목입니다.

선택하면 이 작업은 대소문자를 구분하지 않는 검색을 실행하여 일치하는 모든 항목을 식별하고 삭제합니다.

작업 출력

차단 목록에서 항목 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 불가
케이스 월 링크 사용 불가
케이스 월 테이블 사용 불가
보강 테이블 사용 불가
JSON 결과 사용 불가
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

차단 목록에서 항목 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully deleted entry in the block list based on the provided criteria.

 작업이 완료되었습니다.
Error ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 차단 목록에서 항목 삭제 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success true 또는 false

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.