Proofpoint Threat Protection を Google SecOps と統合する

統合バージョン: 1.0

このドキュメントでは、Proofpoint Threat Protection を Google Security Operations と統合する方法について説明します。

ユースケース

Google SecOps プラットフォームでは、Proofpoint Threat Protection 統合は次のユースケースをサポートしています。

  • フィッシングの自動軽減: フィッシング アラートが確認された後、組織全体で同様の脅威が配信されないように、悪意のある送信者のメールアドレスとドメインを Proofpoint のブロックリストに自動的に追加します。

  • インシデント対応の迅速化: 調査中に IP アドレスとホスト名のブロックリスト エントリを迅速に更新し、新たに検出されたセキュリティ侵害の証拠や痕跡(IOC)がメールゲートウェイで直ちに無効化されるようにします。

  • プロアクティブな脅威保護: 既存の許可リストとブロックリストのエントリをプロアクティブにクエリして取得し、セキュリティ ポリシーが最新の状態に保たれ、現在の脅威インテリジェンスと一貫性を保つようにします。これにより、組織の攻撃対象領域が縮小されます。

  • ポリシー管理の簡素化: プレイブックを使用して、承認済みのビジネス リクエストに基づいて、信頼できる送信者の許可リストへの一括追加や削除を管理することで、メール セキュリティ ポリシーの管理を効率化します。

始める前に

Google SecOps プラットフォームで統合を構成する前に、次のものが揃っていることを確認してください。

  • Proofpoint Threat Protection API 認証情報: 有効なクライアント ID とクライアント シークレットがあることを確認します。これらは Proofpoint 管理コンソール内で生成されます。

  • Cluster ID: Proofpoint インスタンスに関連付けられている特定のクラスタ ID を特定します。この ID は、正しい許可リストとブロックリストをターゲットにするために必要です。

  • ネットワーク接続: Google SecOps 環境が Proofpoint Threat Protection API ルート エンドポイントと通信できることを確認します。プロキシを使用している場合は、認証情報とアドレスが使用可能であることを確認します。

統合のパラメータ

Proofpoint Threat Protection の統合には、次のパラメータが必要です。

パラメータ 説明
API Root

必須。

Proofpoint Threat Protection インスタンスのベース URL。
Client ID

必須。

Proofpoint Threat Protection API の認証情報に関連付けられているクライアント ID。
Client Secret

必須。

Proofpoint Threat Protection API 認証情報に関連付けられているクライアント シークレット。
Cluster ID

必須。

Proofpoint Threat Protection API インスタンスに関連付けられたクラスタ ID。
Verify SSL

省略可。

選択すると、Proofpoint Threat Protection サーバーに接続するときに SSL 証明書が検証されます。

デフォルトで有効になっています。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、 デスクから保留中のアクションに対応する手動アクションを実行するをご覧ください。

許可リストにエントリを追加する

[Add Entry to Allow List] アクションを使用して、Proofpoint Threat Protection の許可リストにエントリを追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Add Entry to Allow List] アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

省略可。

許可リストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
Allowlist Item

必須。

追加する許可リスト アイテムを表す JSON オブジェクト。

デフォルト値は次のとおりです。

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

アクションの出力

[Add Entry to Allow List] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Add Entry to Allow List] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added a new entry to the allow list.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Add Entry to Allow List] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

ブロックリストにエントリを追加する

[ブロック リストにエントリを追加] アクションを使用して、Proofpoint Threat Protection のブロック リストにエントリを追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[ブロックリストにエントリを追加] アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

省略可。

ブロックリストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
Blocklist Item

必須。

追加するブロック リスト アイテムを表す JSON オブジェクト。

デフォルト値は次のとおりです。

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

アクションの出力

[ブロックリストにエントリを追加] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[ブロックリストにエントリを追加] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added new entry to the block list.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[ブロックリストにエントリを追加] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

IOC を許可リストに追加する

[Add IOC to Allow List] アクションを使用して、特定の IOC を Proofpoint Threat Protection の許可リストに追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[許可リストに IOC を追加] アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

省略可。

許可リストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
Recipient Email Address

省略可。

許可リストに追加する受信者のメールアドレスのカンマ区切りリスト。
Sender Email Address

省略可。

許可リストに追加する送信者のメールアドレスのカンマ区切りリスト。
Sender IP Address

省略可。

許可リストに追加する送信者の IP アドレスのカンマ区切りリスト。
Sender Hostname

省略可。

許可リストに追加する送信者のホスト名のカンマ区切りリスト。
Sender HELO Domain Name

省略可。

許可リストに追加する HELO ドメイン名のカンマ区切りリスト。
Message Header From (Address Only)

省略可。

許可リストに追加する「Message Header From」エントリのカンマ区切りリスト。
Comment

省略可。

許可リスト エントリに関連付けられた説明または正当な理由。

アクションの出力

[Add IOC to Allow List] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[IOC を許可リストに追加] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added new entries to the allow list.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[IOC を許可リストに追加] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

ブロックリストに IOC を追加する

IOC をブロック リストに追加アクションを使用して、特定の IOC を Proofpoint Threat Protection ブロック リストに追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[IOC をブロックリストに追加] アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

省略可。

ブロックリストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
Recipient Email Address

省略可。

ブロックリストに追加する受信者のメールアドレスのカンマ区切りのリスト。
Sender Email Address

省略可。

ブロックリストに追加する送信者のメールアドレスのカンマ区切りのリスト。
Sender IP Address

省略可。

ブロックリストに追加する送信者の IP アドレスのカンマ区切りのリスト。
Sender Hostname

省略可。

ブロックリストに追加する送信者ホスト名のカンマ区切りのリスト。
Sender HELO Domain Name

省略可。

ブロック リストに追加する HELO ドメイン名のカンマ区切りリスト。
Message Header From (Address Only)

省略可。

ブロック リストに追加する「Message Header From」エントリのカンマ区切りリスト。
Comment

省略可。

ブロックリスト エントリに関連付けられた説明または理由。

アクションの出力

[ブロックリストに IOC を追加] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[ブロックリストに IOC を追加] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added new entries to the block list.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[IOC をブロックリストに追加] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

許可リストのエントリを取得する

[Get Allow List Entries] アクションを使用して、Proofpoint Threat Protection の許可リストから既存のエントリを取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

Get Allow List Entries アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

必須。

許可リストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
IOC Type To Return

省略可。

返される IOC のタイプ。

All を選択した場合、アクションはすべてのエントリを返します。

値は次のいずれかになります。

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

デフォルト値は All です。
Max IOCs To Return

省略可。

返す IOC の数。

最大値は 1000 です。

デフォルト値は 100 です。

アクションの出力

[Get Allow List Entries] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、許可リスト エントリを取得アクションを使用した場合に受信する JSON 結果の出力です。

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
出力メッセージ

[Get Allow List Entries] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully listed entries in the allow list based on the provided criteria.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、許可リスト エントリを取得アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

ブロックリスト エントリを取得する

ブロック リスト エントリを取得アクションを使用して、Proofpoint Threat Protection ブロック リストから既存のエントリを取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[ブロックリスト エントリを取得] アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

必須。

ブロックリストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
IOC Type To Return

省略可。

返される IOC のタイプ。

All を選択した場合、アクションはすべてのエントリを返します。

値は次のいずれかになります。

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

デフォルト値は All です。
Max IOCs To Return

省略可。

返す IOC の数。

最大値は 1000 です。

デフォルト値は 100 です。

アクションの出力

[ブロックリスト エントリを取得] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、ブロックリスト エントリを取得アクションを使用した場合に受信する JSON 結果の出力です。

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
出力メッセージ

[ブロックリスト エントリを取得] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully listed entries in the block list based on the provided criteria.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、ブロックリスト エントリを取得アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

Ping

Ping アクションを使用して、Proofpoint Threat Protection への接続をテストします。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

 アクションが成功しました。
Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

許可リストからエントリを削除する

[Remove Entry from Allow List] アクションを使用して、Proofpoint Threat Protection の許可リストからエントリを削除します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Remove Entry from Allow List] アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

必須。

許可リストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
IOC Type To Search

省略可。

検索する IOC のタイプ。

All が選択されている場合、このアクションは値に一致するすべてのエントリを削除します。

値は次のいずれかになります。

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

デフォルト値は All です。
Value

省略可。

許可リストから削除する値。
Case Insensitive Search

必須。

選択すると、大文字と小文字を区別しない検索が実行され、一致するすべてのエントリが特定されて削除されます。

アクションの出力

[Remove Entry from Allow List] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Remove Entry from Allow List] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully deleted entry in the allow list based on the provided criteria.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Remove Entry from Allow List] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

ブロックリストからエントリを削除する

Remove Entry from Block List アクションを使用して、Proofpoint Threat Protection のブロックリストからエントリを削除します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[ブロックリストからエントリを削除] アクションには、次のパラメータが必要です。

パラメータ 説明
Cluster ID

必須。

ブロックリストのクラスタ ID。

値が指定されていない場合、アクションは統合構成のクラスタ ID を使用します。
IOC Type To Search

省略可。

検索する IOC のタイプ。

All が選択されている場合、このアクションは値に一致するすべてのエントリを削除します。

値は次のいずれかになります。

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

デフォルト値は All です。
Value

省略可。

ブロックリストから削除する値。
Case Insensitive Search

必須。

選択すると、大文字と小文字を区別しない検索が実行され、一致するすべてのエントリが特定されて削除されます。

アクションの出力

[ブロックリストからエントリを削除] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Remove Entry from Block List] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully deleted entry in the block list based on the provided criteria.

 アクションが成功しました。
Error ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Remove Entry from Block List] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success true または false

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。