Intégrer Proofpoint Threat Protection à Google SecOps

Version de l'intégration : 1.0

Ce document explique comment intégrer Proofpoint Threat Protection à Google Security Operations.

Cas d'utilisation

Dans la plate-forme Google SecOps, l'intégration Proofpoint Threat Protection est compatible avec les cas d'utilisation suivants :

  • Atténuation automatisée de l'hameçonnage : ajoutez automatiquement les adresses e-mail et les domaines des expéditeurs malveillants à la liste de blocage Proofpoint après la validation d'une alerte d'hameçonnage pour empêcher la distribution d'autres menaces similaires dans l'organisation.

  • Réponse accélérée aux incidents : mettez rapidement à jour les entrées de la liste de blocage pour les adresses IP et les noms d'hôte lors d'une enquête active afin de vous assurer que les nouveaux indicateurs de compromission (IOC) découverts sont immédiatement neutralisés au niveau de la passerelle de messagerie.

  • Protection proactive contre les menaces : interrogez et récupérez de manière proactive les entrées existantes des listes d'autorisation et de blocage pour vous assurer que les règles de sécurité restent à jour et cohérentes avec les informations actuelles sur les menaces, ce qui réduit la surface d'attaque de l'organisation.

  • Gestion simplifiée des règles : simplifiez l'administration des règles de sécurité des e-mails en utilisant des playbooks pour gérer les ajouts ou les suppressions groupés d'expéditeurs de confiance à la liste d'autorisation en fonction des demandes commerciales approuvées.

Avant de commencer

Avant de configurer l'intégration dans la plate-forme Google SecOps, vérifiez que vous disposez des éléments suivants :

  • Identifiants de l'API Proofpoint Threat Protection : assurez-vous de disposer d'un ID client et d'un code secret du client valides. Ils sont générés dans la console d'administration Proofpoint.

  • ID du cluster : identifiez l'ID de cluster spécifique associé à votre instance Proofpoint. Cet ID est nécessaire pour cibler les listes d'autorisation et de blocage appropriées.

  • Connectivité réseau : vérifiez que l'environnement Google SecOps peut communiquer avec le point de terminaison racine de l'API Proofpoint Threat Protection. Si vous utilisez un proxy, assurez-vous que les identifiants et les adresses sont disponibles.

Paramètres d'intégration

L'intégration de Proofpoint Threat Protection nécessite les paramètres suivants :

Paramètre Description
API Root

Obligatoire.

URL de base de l'instance Proofpoint Threat Protection.
Client ID

Obligatoire.

ID client associé à vos identifiants de l'API Proofpoint Threat Protection.
Client Secret

Obligatoire.

Code secret du client associé à vos identifiants de l'API Proofpoint Threat Protection.
Cluster ID

Obligatoire.

ID du cluster associé à votre instance de l'API Proofpoint Threat Protection.
Verify SSL

Facultatif.

Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Proofpoint Threat Protection.

Cette option est activée par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ajouter une entrée à la liste d'autorisation

Utilisez l'action Ajouter une entrée à la liste d'autorisation pour ajouter une entrée à la liste d'autorisation Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter une entrée à la liste d'autorisation nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Facultatif.

ID du cluster de la liste d'autorisation.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
Allowlist Item

Obligatoire.

Objet JSON représentant l'élément à ajouter à la liste d'autorisation.

La valeur par défaut est la suivante :

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Sorties d'action

L'action Ajouter une entrée à la liste d'autorisation fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter une entrée à la liste d'autorisation peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully added a new entry to the allow list.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter une entrée à la liste d'autorisation :

Nom du résultat du script Valeur
is_success true ou false

Ajouter une entrée à la liste des adresses bloquées

Utilisez l'action Ajouter une entrée à la liste de blocage pour ajouter une entrée à la liste de blocage Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter une entrée à la liste des éléments bloqués nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Facultatif.

ID du cluster de la liste de blocage.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
Blocklist Item

Obligatoire.

Objet JSON représentant l'élément de la liste de blocage à ajouter.

La valeur par défaut est la suivante :

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Sorties d'action

L'action Ajouter une entrée à la liste des adresses bloquées fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter une entrée à la liste des blocs peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully added new entry to the block list.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter une entrée à la liste des adresses bloquées :

Nom du résultat du script Valeur
is_success true ou false

Ajouter un IOC à la liste d'autorisation

Utilisez l'action Ajouter un IOC à la liste d'autorisation pour ajouter des IOC spécifiques à la liste d'autorisation Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter un IOC à la liste d'autorisation nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Facultatif.

ID du cluster de la liste d'autorisation.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
Recipient Email Address

Facultatif.

Liste d'adresses e-mail de destinataires à ajouter à la liste autorisée, séparées par une virgule.
Sender Email Address

Facultatif.

Liste d'adresses e-mail d'expéditeurs à ajouter à la liste autorisée, séparées par une virgule.
Sender IP Address

Facultatif.

Liste d'adresses IP d'expéditeurs à ajouter à la liste d'autorisation, séparées par une virgule.
Sender Hostname

Facultatif.

Liste de noms d'hôte d'expéditeurs à ajouter à la liste d'autorisation, séparés par une virgule.
Sender HELO Domain Name

Facultatif.

Liste de noms de domaine HELO séparés par une virgule à ajouter à la liste d'autorisation.
Message Header From (Address Only)

Facultatif.

Liste d'entrées "De" d'en-tête de message à ajouter à la liste d'autorisation, séparées par une virgule.
Comment

Facultatif.

Description ou justification associée aux entrées de la liste d'autorisation.

Sorties d'action

L'action Ajouter un IOC à la liste d'autorisation fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter un IOC à la liste d'autorisation peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully added new entries to the allow list.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un IoC à la liste d'autorisation :

Nom du résultat du script Valeur
is_success true ou false

Ajouter un IOC à la liste de blocage

Utilisez l'action Ajouter un IOC à la liste des éléments bloqués pour ajouter des IOC spécifiques à la liste des éléments bloqués de Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter un IoC à la liste des éléments bloqués nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Facultatif.

ID du cluster de la liste de blocage.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
Recipient Email Address

Facultatif.

Liste d'adresses e-mail de destinataires à ajouter à la liste de blocage, séparées par une virgule.
Sender Email Address

Facultatif.

Liste d'adresses e-mail d'expéditeurs à ajouter à la liste de blocage, séparées par une virgule.
Sender IP Address

Facultatif.

Liste d'adresses IP d'expéditeurs à ajouter à la liste de blocage, séparées par une virgule.
Sender Hostname

Facultatif.

Liste de noms d'hôte d'expéditeurs à ajouter à la liste de blocage, séparés par une virgule.
Sender HELO Domain Name

Facultatif.

Liste de noms de domaine HELO séparés par une virgule à ajouter à la liste de blocage.
Message Header From (Address Only)

Facultatif.

Liste d'entrées "De" de l'en-tête de message à ajouter à la liste de blocage, séparées par une virgule.
Comment

Facultatif.

Description ou justification associée aux entrées de la liste de blocage.

Sorties d'action

L'action Ajouter un IoC à la liste des éléments bloqués fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter un IoC à la liste des éléments bloqués peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully added new entries to the block list.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un IoC à la liste de blocage :

Nom du résultat du script Valeur
is_success true ou false

Obtenir les entrées de la liste d'autorisation

Utilisez l'action Get Allow List Entries (Obtenir les entrées de la liste d'autorisation) pour récupérer les entrées existantes de la liste d'autorisation Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Get Allow List Entries (Obtenir les entrées de la liste d'autorisation) nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Obligatoire.

ID du cluster de la liste d'autorisation.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
IOC Type To Return

Facultatif.

Types d'IOC à renvoyer.

Si All est sélectionné, l'action renvoie toutes les entrées.

Les valeurs possibles sont les suivantes :

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

La valeur par défaut est All.
Max IOCs To Return

Facultatif.

Nombre d'IOC à renvoyer.

La valeur maximale est de 1000.

La valeur par défaut est 100.

Sorties d'action

L'action Obtenir les entrées de la liste d'autorisation fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les entrées de la liste d'autorisation :

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
Messages de sortie

L'action Obtenir les entrées de la liste d'autorisation peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully listed entries in the allow list based on the provided criteria.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les entrées de la liste d'autorisation :

Nom du résultat du script Valeur
is_success true ou false

Obtenir les entrées de la liste de blocage

Utilisez l'action Get Block List Entries (Obtenir les entrées de la liste de blocage) pour récupérer les entrées existantes de la liste de blocage Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir les entrées de la liste de blocage nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Obligatoire.

ID du cluster de la liste de blocage.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
IOC Type To Return

Facultatif.

Types d'IOC à renvoyer.

Si All est sélectionné, l'action renvoie toutes les entrées.

Les valeurs possibles sont les suivantes :

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

La valeur par défaut est All.
Max IOCs To Return

Facultatif.

Nombre d'IOC à renvoyer.

La valeur maximale est de 1000.

La valeur par défaut est 100.

Sorties d'action

L'action Obtenir les entrées de la liste de blocage fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Block List Entries (Obtenir les entrées de la liste de blocage) :

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
Messages de sortie

L'action Get Block List Entries (Obtenir les entrées de la liste de blocage) peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully listed entries in the block list based on the provided criteria.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les entrées de la liste de blocage :

Nom du résultat du script Valeur
is_success true ou false

Ping

Utilisez l'action Ping pour tester la connectivité à Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message de sortie Description du message

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

 L'action a réussi.
Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success true ou false

Supprimer une entrée de la liste d'autorisation

Utilisez l'action Supprimer une entrée de la liste d'autorisation pour supprimer une entrée de la liste d'autorisation Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Supprimer une entrée de la liste d'autorisation nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Obligatoire.

ID du cluster de la liste d'autorisation.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
IOC Type To Search

Facultatif.

Types d'IOC à rechercher.

Si All est sélectionné, l'action supprime toutes les entrées correspondant à la valeur.

Les valeurs possibles sont les suivantes :

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

La valeur par défaut est All.
Value

Facultatif.

Valeur à supprimer de la liste d'autorisation.
Case Insensitive Search

Obligatoire.

Si cette option est sélectionnée, l'action effectue une recherche insensible à la casse pour identifier et supprimer toutes les entrées correspondantes.

Sorties d'action

L'action Supprimer une entrée de la liste d'autorisation fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Supprimer une entrée de la liste d'autorisation peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully deleted entry in the allow list based on the provided criteria.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer une entrée de la liste des autorisations :

Nom du résultat du script Valeur
is_success true ou false

Supprimer une entrée de la liste de blocage

Utilisez l'action Remove Entry from Block List (Supprimer une entrée de la liste de blocage) pour supprimer une entrée de la liste de blocage Proofpoint Threat Protection.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Supprimer une entrée de la liste des contacts bloqués nécessite les paramètres suivants :

Paramètre Description
Cluster ID

Obligatoire.

ID du cluster de la liste de blocage.

Si aucune valeur n'est fournie, l'action utilise l'ID de cluster de la configuration de l'intégration.
IOC Type To Search

Facultatif.

Types d'IOC à rechercher.

Si All est sélectionné, l'action supprime toutes les entrées correspondant à la valeur.

Les valeurs possibles sont les suivantes :

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

La valeur par défaut est All.
Value

Facultatif.

Valeur à supprimer de la liste des contacts bloqués.
Case Insensitive Search

Obligatoire.

Si cette option est sélectionnée, l'action effectue une recherche insensible à la casse pour identifier et supprimer toutes les entrées correspondantes.

Sorties d'action

L'action Supprimer une entrée de la liste des applications bloquées fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Supprimer une entrée de la liste des contacts bloqués peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully deleted entry in the block list based on the provided criteria.

 L'action a réussi.
Error ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer une entrée de la liste des expéditeurs bloqués :

Nom du résultat du script Valeur
is_success true ou false

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.