Integra Proofpoint Threat Protection con Google SecOps

Versione integrazione: 1.0

Questo documento spiega come integrare Proofpoint Threat Protection con Google Security Operations.

Casi d'uso

Nella piattaforma Google SecOps, l'integrazione di Proofpoint Threat Protection supporta i seguenti casi d'uso:

  • Mitigazione automatica del phishing: aggiungi automaticamente indirizzi email e domini di mittenti dannosi all'elenco bloccati di Proofpoint dopo la verifica di un avviso di phishing per impedire l'ulteriore recapito di minacce simili nell'organizzazione.

  • Risposta agli incidenti accelerata: aggiorna rapidamente le voci dell'elenco bloccati per indirizzi IP e nomi host durante un'indagine attiva per garantire che i nuovi indicatori di compromissione (IOC) scoperti vengano immediatamente neutralizzati nel gateway di posta.

  • Protezione proattiva dalle minacce: esegui query e recupera in modo proattivo le voci esistenti delle liste consentite e bloccate per garantire che le norme di sicurezza rimangano aggiornate e coerenti con le informazioni sulle minacce attuali, riducendo la superficie di attacco dell'organizzazione.

  • Gestione semplificata delle norme: semplifica l'amministrazione delle norme di sicurezza email utilizzando i playbook per gestire aggiunte o rimozioni collettive di mittenti attendibili all'allowlist in base alle richieste aziendali approvate.

Prima di iniziare

Prima di configurare l'integrazione nella piattaforma Google SecOps, verifica di disporre di quanto segue:

  • Credenziali API Proofpoint Threat Protection: assicurati di disporre di un ID client e di un client secret validi. Questi vengono generati all'interno della console di amministrazione di Proofpoint.

  • ID cluster: identifica l'ID cluster specifico associato alla tua istanza Proofpoint. Questo ID è necessario per scegliere come target le liste consentite e bloccate corrette.

  • Connettività di rete: verifica che l'ambiente Google SecOps possa comunicare con l'endpoint principale dell'API Proofpoint Threat Protection. Se utilizzi un proxy, assicurati che le credenziali e gli indirizzi siano disponibili.

Parametri di integrazione

L'integrazione di Proofpoint Threat Protection richiede i seguenti parametri:

Parametro Descrizione
API Root

Obbligatorio.

L'URL di base dell'istanza di Proofpoint Threat Protection.
Client ID

Obbligatorio.

L'ID client associato alle credenziali dell'API Proofpoint Threat Protection.
Client Secret

Obbligatorio.

Il client secret associato alle credenziali dell'API Proofpoint Threat Protection.
Cluster ID

Obbligatorio.

L'ID cluster associato all'istanza dell'API Proofpoint Threat Protection.
Verify SSL

Facoltativo.

Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Proofpoint Threat Protection.

Abilitato per impostazione predefinita.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Aggiungi voce alla lista consentita

Utilizza l'azione Aggiungi voce alla lista consentita per aggiungere una voce alla lista consentita di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi voce all'elenco consentiti richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Facoltativo.

L'ID cluster della lista consentita.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
Allowlist Item

Obbligatorio.

L'oggetto JSON che rappresenta l'elemento della lista consentita da aggiungere.

Il valore predefinito è:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Output dell'azione

L'azione Aggiungi voce alla lista consentita fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Aggiungi voce all'elenco consentiti può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added a new entry to the allow list.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi voce all'elenco consentiti:

Nome del risultato dello script Valore
is_success true o false

Aggiungi voce alla lista bloccata

Utilizza l'azione Aggiungi voce all'elenco bloccati per aggiungere una voce all'elenco bloccati di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi voce all'elenco bloccati richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Facoltativo.

L'ID cluster dell'elenco di siti bloccati.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
Blocklist Item

Obbligatorio.

L'oggetto JSON che rappresenta l'elemento dell'elenco bloccati da aggiungere.

Il valore predefinito è:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Output dell'azione

L'azione Aggiungi voce all'elenco di blocco fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Aggiungi voce all'elenco bloccati può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added new entry to the block list.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi voce alla lista bloccata:

Nome del risultato dello script Valore
is_success true o false

Aggiungere un IOC alla lista consentita

Utilizza l'azione Aggiungi indicatore di compromissione all'elenco consentito per aggiungere indicatori di compromissione specifici all'elenco consentito di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi indicatore di compromissione all'elenco consentito richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Facoltativo.

L'ID cluster della lista consentita.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
Recipient Email Address

Facoltativo.

Un elenco di indirizzi email dei destinatari separati da virgole da aggiungere alla lista consentita.
Sender Email Address

Facoltativo.

Un elenco di indirizzi email del mittente separati da virgole da aggiungere alla lista consentita.
Sender IP Address

Facoltativo.

Un elenco separato da virgole di indirizzi IP del mittente da aggiungere alla lista consentita.
Sender Hostname

Facoltativo.

Un elenco separato da virgole di nomi host mittente da aggiungere alla lista consentita.
Sender HELO Domain Name

Facoltativo.

Un elenco separato da virgole di nomi di dominio HELO da aggiungere all'elenco consentito.
Message Header From (Address Only)

Facoltativo.

Un elenco separato da virgole di voci "Intestazione messaggio da" da aggiungere alla lista consentita.
Comment

Facoltativo.

Una descrizione o una motivazione associata alle voci della lista consentita.

Output dell'azione

L'azione Aggiungi IOC all'elenco consentiti fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Aggiungi indicatore di compromissione all'elenco consentiti può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added new entries to the allow list.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi indicatore di compromissione all'elenco consentiti:

Nome del risultato dello script Valore
is_success true o false

Aggiungi indicatore di compromissione all'elenco bloccati

Utilizza l'azione Aggiungi IOC all'elenco bloccati per aggiungere IOC specifici all'elenco bloccati di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi indicatore di compromissione all'elenco bloccati richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Facoltativo.

L'ID cluster dell'elenco di siti bloccati.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
Recipient Email Address

Facoltativo.

Un elenco di indirizzi email dei destinatari separati da virgole da aggiungere alla lista bloccati.
Sender Email Address

Facoltativo.

Un elenco di indirizzi email del mittente separati da virgole da aggiungere all'elenco bloccati.
Sender IP Address

Facoltativo.

Un elenco separato da virgole di indirizzi IP del mittente da aggiungere all'elenco bloccati.
Sender Hostname

Facoltativo.

Un elenco separato da virgole di nomi host del mittente da aggiungere alla lista bloccata.
Sender HELO Domain Name

Facoltativo.

Un elenco di nomi di dominio HELO separati da virgole da aggiungere all'elenco bloccati.
Message Header From (Address Only)

Facoltativo.

Un elenco separato da virgole di voci "Intestazione messaggio Da" da aggiungere alla lista bloccata.
Comment

Facoltativo.

Una descrizione o una motivazione associata alle voci dell'elenco bloccati.

Output dell'azione

L'azione Aggiungi IOC all'elenco di blocco fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Aggiungi indicatore di compromissione all'elenco bloccati può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added new entries to the block list.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Aggiungi IOC alla lista bloccata:

Nome del risultato dello script Valore
is_success true o false

Ottieni voci dell'elenco consentito

Utilizza l'azione Recupera voci della lista consentita per recuperare le voci esistenti dalla lista consentita di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Recupera voci della lista consentita richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Obbligatorio.

L'ID cluster della lista consentita.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
IOC Type To Return

Facoltativo.

I tipi di indicatori di compromissione da restituire.

Se viene selezionata l'opzione All, l'azione restituisce tutte le voci.

I valori possibili sono:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Il valore predefinito è All.
Max IOCs To Return

Facoltativo.

Il numero di indicatori di compromissione da restituire.

Il valore massimo è 1000.

Il valore predefinito è 100.

Output dell'azione

L'azione Recupera voci della lista consentita fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni voci della lista consentita:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
Messaggi di output

L'azione Recupera voci della lista consentita può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully listed entries in the allow list based on the provided criteria.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni voci della lista consentita:

Nome del risultato dello script Valore
is_success true o false

Recupera voci della lista bloccata

Utilizza l'azione Recupera voci della lista bloccata per recuperare le voci esistenti dalla lista bloccata di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ottieni voci dell'elenco bloccati richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Obbligatorio.

L'ID cluster dell'elenco di siti bloccati.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
IOC Type To Return

Facoltativo.

I tipi di indicatori di compromissione da restituire.

Se viene selezionata l'opzione All, l'azione restituisce tutte le voci.

I valori possibili sono:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Il valore predefinito è All.
Max IOCs To Return

Facoltativo.

Il numero di indicatori di compromissione da restituire.

Il valore massimo è 1000.

Il valore predefinito è 100.

Output dell'azione

L'azione Recupera voci dell'elenco di blocco fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Block List Entries:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
Messaggi di output

L'azione Recupera voci dell'elenco bloccati può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully listed entries in the block list based on the provided criteria.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Ottieni voci dell'elenco bloccati:

Nome del risultato dello script Valore
is_success true o false

Dindin

Utilizza l'azione Ping per testare la connettività a Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

 L'azione è riuscita.
Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success true o false

Rimuovi voce dalla lista consentita

Utilizza l'azione Rimuovi voce dall'elenco consentiti per rimuovere una voce dall'elenco consentiti di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Rimuovi voce dall'elenco consentiti richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Obbligatorio.

L'ID cluster della lista consentita.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
IOC Type To Search

Facoltativo.

I tipi di IOC da cercare.

Se è selezionata l'opzione All, l'azione rimuove tutte le voci corrispondenti al valore.

I valori possibili sono:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Il valore predefinito è All.
Value

Facoltativo.

Il valore da rimuovere dalla whitelist.
Case Insensitive Search

Obbligatorio.

Se selezionata, l'azione esegue una ricerca senza distinzione tra maiuscole e minuscole per identificare e rimuovere tutte le voci corrispondenti.

Output dell'azione

L'azione Rimuovi voce dall'elenco consentiti fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Rimuovi voce dall'elenco consentiti può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully deleted entry in the allow list based on the provided criteria.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Rimuovi voce dalla lista consentita:

Nome del risultato dello script Valore
is_success true o false

Rimuovere una voce dalla lista bloccata

Utilizza l'azione Rimuovi voce dalla lista bloccata per rimuovere una voce dalla lista bloccata di Proofpoint Threat Protection.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Rimuovi voce dall'elenco di blocco richiede i seguenti parametri:

Parametro Descrizione
Cluster ID

Obbligatorio.

L'ID cluster dell'elenco di siti bloccati.

Se non viene fornito alcun valore, l'azione utilizza l'ID cluster della configurazione dell'integrazione.
IOC Type To Search

Facoltativo.

I tipi di IOC da cercare.

Se è selezionata l'opzione All, l'azione rimuove tutte le voci corrispondenti al valore.

I valori possibili sono:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Il valore predefinito è All.
Value

Facoltativo.

Il valore da rimuovere dall'elenco degli utenti bloccati.
Case Insensitive Search

Obbligatorio.

Se selezionata, l'azione esegue una ricerca senza distinzione tra maiuscole e minuscole per identificare e rimuovere tutte le voci corrispondenti.

Output dell'azione

L'azione Rimuovi voce dall'elenco di blocco fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Rimuovi voce dall'elenco bloccati può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully deleted entry in the block list based on the provided criteria.

 L'azione è riuscita.
Error ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Rimuovi voce dall'elenco bloccati:

Nome del risultato dello script Valore
is_success true o false

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.