Integra la protección contra amenazas de Proofpoint con Google SecOps
Versión de la integración: 1.0
En este documento, se explica cómo integrar la Protección contra amenazas de Proofpoint en Google Security Operations.
Casos de uso
En la plataforma de Google SecOps, la integración de Proofpoint Threat Protection admite los siguientes casos de uso:
Mitigación automática del phishing: Agrega automáticamente direcciones de correo electrónico y dominios de remitentes maliciosos a la lista de bloqueo de Proofpoint después de que se verifique una alerta de phishing para evitar que se sigan enviando amenazas similares en toda la organización.
Respuesta ante incidentes acelerada: Actualiza rápidamente las entradas de la lista de bloqueo para las direcciones IP y los nombres de host durante una investigación activa para garantizar que los indicadores de compromiso (IOC) recién descubiertos se neutralicen de inmediato en la puerta de enlace de correo electrónico.
Protección proactiva contra amenazas: Consulta y recupera de forma proactiva las entradas existentes de las listas de bloqueo y de entidades permitidas para garantizar que las políticas de seguridad se mantengan actualizadas y coherentes con la inteligencia sobre amenazas actual, lo que reduce la superficie de ataque de la organización.
Administración de políticas simplificada: Optimiza la administración de las políticas de seguridad del correo electrónico con manuales para administrar las adiciones o eliminaciones masivas de remitentes de confianza en la lista de entidades permitidas según las solicitudes comerciales aprobadas.
Antes de comenzar
Antes de configurar la integración en la plataforma de Google SecOps, verifica que tengas lo siguiente:
Credenciales de la API de Proofpoint Threat Protection: Asegúrate de tener un ID de cliente y un secreto del cliente válidos. Se generan en la consola administrativa de Proofpoint.
ID del clúster: Identifica el ID del clúster específico asociado con tu instancia de Proofpoint. Este ID es necesario para segmentar las listas de bloqueo y de entidades permitidas correctas.
Conectividad de red: Verifica que el entorno de Google SecOps pueda comunicarse con el extremo raíz de la API de Proofpoint Threat Protection. Si usas un proxy, asegúrate de que las credenciales y las direcciones estén disponibles.
Parámetros de integración
La integración de Proofpoint Threat Protection requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. Es la URL base de la instancia de Proofpoint Threat Protection. |
Client ID |
Obligatorio. Es el ID de cliente asociado con tus credenciales de la API de Proofpoint Threat Protection. |
Client Secret |
Obligatorio. Es el secreto del cliente asociado a tus credenciales de la API de Proofpoint Threat Protection. |
Cluster ID |
Obligatorio. Es el ID del clúster asociado con tu instancia de la API de Proofpoint Threat Protection. |
Verify SSL |
Es opcional. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Proofpoint Threat Protection. Habilitada de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los playbooks. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Agregar entrada a la lista de entidades permitidas
Usa la acción Add Entry to Allow List para agregar una entrada a la lista de entidades permitidas de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Add Entry to Allow List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Es opcional. Es el ID del clúster de la lista de entidades permitidas. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
Allowlist Item |
Obligatorio. Objeto JSON que representa el elemento de la lista de entidades permitidas que se agregará. El valor predeterminado es el siguiente: |
Resultados de la acción
La acción Add Entry to Allow List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add Entry to Allow List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Entry to Allow List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Agregar entrada a la lista de bloqueo
Usa la acción Add Entry to Block List para agregar una entrada a la lista de bloqueo de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Add Entry to Block List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Es opcional. Es el ID del clúster de la lista de bloqueo. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
Blocklist Item |
Obligatorio. Objeto JSON que representa el elemento de la lista de bloqueo que se agregará. El valor predeterminado es el siguiente: |
Resultados de la acción
La acción Add Entry to Block List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add Entry to Block List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Entry to Block List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Agregar un IoC a la lista de entidades permitidas
Usa la acción Add IOC to Allow List para agregar IOC específicos a la lista de entidades permitidas de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Add IOC to Allow List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Es opcional. Es el ID del clúster de la lista de entidades permitidas. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
Recipient Email Address |
Es opcional. Es una lista separada por comas de las direcciones de correo electrónico de los destinatarios que se agregarán a la lista de entidades permitidas. |
Sender Email Address |
Es opcional. Es una lista de direcciones de correo electrónico de remitentes separadas por comas que se agregarán a la lista de entidades permitidas. |
Sender IP Address |
Es opcional. Es una lista de direcciones IP de remitentes separadas por comas para agregar a la lista de entidades permitidas. |
Sender Hostname |
Es opcional. Es una lista separada por comas de los nombres de host del remitente que se agregarán a la lista de entidades permitidas. |
Sender HELO Domain Name |
Es opcional. Es una lista separada por comas de los nombres de dominio HELO que se agregarán a la lista de entidades permitidas. |
Message Header From (Address Only) |
Es opcional. Es una lista separada por comas de las entradas "De encabezado del mensaje" que se agregarán a la lista de entidades permitidas. |
Comment |
Es opcional. Es una descripción o justificación asociada a las entradas de la lista de entidades permitidas. |
Resultados de la acción
La acción Add IOC to Allow List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add IOC to Allow List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add IOC to Allow List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Agregar IOC a la lista de bloqueo
Usa la acción Add IOC to Block List para agregar IOCs específicos a la lista de bloqueo de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Add IOC to Block List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Es opcional. Es el ID del clúster de la lista de bloqueo. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
Recipient Email Address |
Es opcional. Es una lista separada por comas de las direcciones de correo electrónico de los destinatarios que se agregarán a la lista de bloqueo. |
Sender Email Address |
Es opcional. Es una lista de direcciones de correo electrónico de remitentes separadas por comas que se agregarán a la lista de bloqueo. |
Sender IP Address |
Es opcional. Es una lista separada por comas de las direcciones IP de los remitentes que se agregarán a la lista de bloqueo. |
Sender Hostname |
Es opcional. Es una lista separada por comas de los nombres de host del remitente que se agregarán a la lista de bloqueo. |
Sender HELO Domain Name |
Es opcional. Es una lista separada por comas de los nombres de dominio HELO que se agregarán a la lista de bloqueo. |
Message Header From (Address Only) |
Es opcional. Es una lista separada por comas de las entradas "Message Header From" que se agregarán a la lista de bloqueo. |
Comment |
Es opcional. Es una descripción o justificación asociada a las entradas de la lista de bloqueo. |
Resultados de la acción
La acción Add IOC to Block List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add IOC to Block List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add IOC to Block List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Obtén entradas de la lista de entidades permitidas
Usa la acción Get Allow List Entries para recuperar las entradas existentes de la lista de entidades permitidas de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Get Allow List Entries requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Obligatorio. Es el ID del clúster de la lista de entidades permitidas. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
IOC Type To Return |
Es opcional. Son los tipos de IOC que se devolverán. Si se selecciona Los valores posibles son los siguientes:
El valor predeterminado es |
Max IOCs To Return |
Es opcional. Es la cantidad de IOCs que se devolverán. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Get Allow List Entries proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Allow List Entries:
[
{
"attribute": "$from",
"operator": "equal",
"value": "test@example.com",
"comment": ""
}
]
Mensajes de salida
La acción Get Allow List Entries puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Allow List Entries:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Obtén entradas de la lista de bloqueo
Usa la acción Get Block List Entries para recuperar las entradas existentes de la lista de entidades bloqueadas de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Get Block List Entries requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Obligatorio. Es el ID del clúster de la lista de bloqueo. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
IOC Type To Return |
Es opcional. Son los tipos de IOC que se devolverán. Si se selecciona Los valores posibles son los siguientes:
El valor predeterminado es |
Max IOCs To Return |
Es opcional. Es la cantidad de IOCs que se devolverán. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Get Block List Entries proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Block List Entries:
[
{
"attribute": "$from",
"operator": "equal",
"value": "test@example.com",
"comment": ""
}
]
Mensajes de salida
La acción Get Block List Entries puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Block List Entries:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Ping
Usa la acción Ping para probar la conectividad con Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Failed to connect to the Proofpoint Threat Protection server!
Error is ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Cómo quitar una entrada de la lista de entidades permitidas
Usa la acción Remove Entry from Allow List para quitar una entrada de la lista de entidades permitidas de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Remove Entry from Allow List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Obligatorio. Es el ID del clúster de la lista de entidades permitidas. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
IOC Type To Search |
Es opcional. Son los tipos de IOC que se buscarán. Si se selecciona Los valores posibles son los siguientes:
El valor predeterminado es |
Value |
Es opcional. Es el valor que se quitará de la lista de entidades permitidas. |
Case Insensitive Search |
Obligatorio. Si se selecciona, la acción realiza una búsqueda que no distingue mayúsculas de minúsculas para identificar y quitar todas las entradas coincidentes. |
Resultados de la acción
La acción Remove Entry from Allow List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Remove Entry from Allow List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Remove Entry from Allow List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
Cómo quitar una entrada de la lista de bloqueo
Usa la acción Remove Entry from Block List para quitar una entrada de la lista de bloqueo de Proofpoint Threat Protection.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Remove Entry from Block List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Cluster ID |
Obligatorio. Es el ID del clúster de la lista de bloqueo. Si no se proporciona ningún valor, la acción usa el ID del clúster de la configuración de la integración. |
IOC Type To Search |
Es opcional. Son los tipos de IOC que se buscarán. Si se selecciona Los valores posibles son los siguientes:
El valor predeterminado es |
Value |
Es opcional. Es el valor que se quitará de la lista de bloqueo. |
Case Insensitive Search |
Obligatorio. Si se selecciona, la acción realiza una búsqueda que no distingue mayúsculas de minúsculas para identificar y quitar todas las entradas coincidentes. |
Resultados de la acción
La acción Remove Entry from Block List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Remove Entry from Block List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Remove Entry from Block List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | true o false |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.