Integrar a proteção contra ameaças da Proofpoint ao Google SecOps

Versão da integração: 1.0

Neste documento, explicamos como integrar o Proofpoint Threat Protection ao Google Security Operations.

Casos de uso

Na plataforma Google SecOps, a integração do Proofpoint Threat Protection é compatível com os seguintes casos de uso:

Mitigação automática de phishing: adiciona automaticamente endereços de e-mail e domínios de remetentes maliciosos à lista de bloqueio do Proofpoint depois que um alerta de phishing é verificado para evitar a entrega de ameaças semelhantes em toda a organização.
Resposta acelerada a incidentes: atualize rapidamente as entradas da lista de bloqueio para endereços IP e nomes de host durante uma investigação ativa para garantir que os indicadores de comprometimento (IOCs) recém-descobertos sejam neutralizados imediatamente no gateway de e-mail.
Proteção proativa contra ameaças: consulte e recupere de forma proativa as entradas das listas de permissão e bloqueio para garantir que as políticas de segurança permaneçam atualizadas e consistentes com a inteligência de ameaças atual, reduzindo a superfície de ataque da organização.
Gerenciamento simplificado de políticas: simplifique a administração das políticas de segurança de e-mail usando playbooks para gerenciar adições ou remoções em massa de remetentes confiáveis na lista de permissão com base em solicitações comerciais aprovadas.

Antes de começar

Antes de configurar a integração na plataforma do Google SecOps, verifique se você tem o seguinte:

Credenciais da API Proofpoint Threat Protection: verifique se você tem um ID e uma chave secreta do cliente válidos. Eles são gerados no console administrativo do Proofpoint.
ID do cluster: identifique o ID do cluster específico associado à sua instância do Proofpoint. Ele é necessário para segmentar as listas de permissões e de bloqueio corretas.
Conectividade de rede: verifique se o ambiente do Google SecOps pode se comunicar com o endpoint raiz da API Proofpoint Threat Protection. Se você estiver usando um proxy, verifique se as credenciais e os endereços estão disponíveis.

Parâmetros de integração

A integração do Proofpoint Threat Protection exige os seguintes parâmetros:

Parâmetro	Descrição
`API Root`	Obrigatório. O URL de base da instância do Proofpoint Threat Protection.
`Client ID`	Obrigatório. O ID do cliente associado às suas credenciais da API Proofpoint Threat Protection.
`Client Secret`	Obrigatório. A chave secreta do cliente associada às suas credenciais da API Proofpoint Threat Protection.
`Cluster ID`	Obrigatório. O ID do cluster associado à sua instância da API Proofpoint Threat Protection.
`Verify SSL`	Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Proofpoint Threat Protection. Ativado por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Adicionar entrada à lista de permissões

Use a ação Adicionar entrada à lista de permissões para adicionar uma entrada à lista de permissões do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar entrada à lista de permissões exige os seguintes parâmetros:

Parâmetro Descrição

Cluster ID

Opcional.

O ID do cluster da lista de permissão.

Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.

Allowlist Item

Obrigatório.

O objeto JSON que representa o item da lista de permissão a ser adicionado.

O valor padrão é:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Saídas de ação

A ação Adicionar entrada à lista de permissões fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Adicionar entrada à lista de permissões pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully added a new entry to the allow list.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully added a new entry to the allow list.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar entrada à lista de permissões:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Adicionar entrada à lista de bloqueio

Use a ação Adicionar entrada à lista de bloqueio para adicionar uma entrada à lista de bloqueio do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar entrada à lista de bloqueio exige os seguintes parâmetros:

Parâmetro Descrição

Cluster ID

Opcional.

O ID do cluster da lista de bloqueio.

Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.

Blocklist Item

Obrigatório.

O objeto JSON que representa o item da lista de bloqueio a ser adicionado.

O valor padrão é:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Saídas de ação

A ação Adicionar entrada à lista de bloqueio fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Adicionar entrada à lista de bloqueio pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully added new entry to the block list.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully added new entry to the block list.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar entrada à lista de bloqueio:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Adicionar IOC à lista de permissões

Use a ação Adicionar IOC à lista de permissões para incluir IOCs específicos na lista de permissões do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar IOC à lista de permissões exige os seguintes parâmetros:

Parâmetro	Descrição
`Cluster ID`	Opcional. O ID do cluster da lista de permissão. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.
`Recipient Email Address`	Opcional. Uma lista separada por vírgulas de endereços de e-mail de destinatários para adicionar à lista de permissões.
`Sender Email Address`	Opcional. Uma lista de endereços de e-mail do remetente separados por vírgulas para adicionar à lista de permissões.
`Sender IP Address`	Opcional. Uma lista separada por vírgulas de endereços IP de remetentes para adicionar à lista de permissões.
`Sender Hostname`	Opcional. Uma lista separada por vírgulas de nomes de host do remetente para adicionar à lista de permissões.
`Sender HELO Domain Name`	Opcional. Uma lista separada por vírgulas de nomes de domínio HELO para adicionar à lista de permissões.
`Message Header From (Address Only)`	Opcional. Uma lista separada por vírgulas de entradas "Cabeçalho da mensagem: de" para adicionar à lista de permissões.
`Comment`	Opcional. Uma descrição ou justificativa associada às entradas da lista de permissões.

Saídas de ação

A ação Adicionar IOC à lista de permissões fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Adicionar IOC à lista de permissões pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully added new entries to the allow list.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully added new entries to the allow list.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar IOC à lista de permissões:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Adicionar IOC à lista de bloqueio

Use a ação Adicionar IOC à lista de bloqueio para incluir IOCs específicos na lista de bloqueio do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar IOC à lista de bloqueio exige os seguintes parâmetros:

Parâmetro	Descrição
`Cluster ID`	Opcional. O ID do cluster da lista de bloqueio. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.
`Recipient Email Address`	Opcional. Uma lista de endereços de e-mail de destinatários separados por vírgulas para adicionar à lista de bloqueio.
`Sender Email Address`	Opcional. Uma lista de endereços de e-mail de remetentes separados por vírgulas para adicionar à lista de bloqueio.
`Sender IP Address`	Opcional. Uma lista separada por vírgulas de endereços IP de remetentes para adicionar à lista de bloqueio.
`Sender Hostname`	Opcional. Uma lista separada por vírgulas de nomes de host de remetentes para adicionar à lista de bloqueio.
`Sender HELO Domain Name`	Opcional. Uma lista separada por vírgulas de nomes de domínio HELO para adicionar à lista de bloqueio.
`Message Header From (Address Only)`	Opcional. Uma lista separada por vírgulas de entradas "Cabeçalho da mensagem: de" para adicionar à lista de bloqueio.
`Comment`	Opcional. Uma descrição ou justificativa associada às entradas da lista de bloqueio.

Saídas de ação

A ação Adicionar IOC à lista de bloqueio fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Adicionar IOC à lista de bloqueio pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully added new entries to the block list.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully added new entries to the block list.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar IOC à lista de bloqueio:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Receber entradas da lista de permissões

Use a ação Receber entradas da lista de permissões para recuperar as entradas atuais da lista de permissões do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber entradas da lista de permissões exige os seguintes parâmetros:

Parâmetro Descrição

Cluster ID

Obrigatório.

O ID do cluster da lista de permissões.

Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.

IOC Type To Return

Opcional.

Os tipos de IOCs a serem retornados.

Se All estiver selecionado, a ação vai retornar todas as entradas.

Os valores possíveis são:

All
Recipient Email Address
Sender Email Address
Sender IP Address
Sender Hostname
Sender HELO Domain Name
Message Header From (Address Only)

O valor padrão é All.

Max IOCs To Return

Opcional.

O número de IOCs a serem retornados.

O valor máximo é 1000.

O valor padrão é 100.

Saídas de ação

A ação Extrair entradas da lista de permissões fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber entradas da lista de permissões:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]

Mensagens de saída

A ação Get Allow List Entries pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully listed entries in the allow list based on the provided criteria.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully listed entries in the allow list based on the provided criteria.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber entradas da lista de permissão:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Receber entradas da lista de bloqueio

Use a ação Get Block List Entries para recuperar entradas da lista de bloqueio do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber entradas da lista de bloqueio exige os seguintes parâmetros:

Parâmetro Descrição

Cluster ID

Obrigatório.

O ID do cluster da lista de bloqueio.

Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.

IOC Type To Return

Opcional.

Os tipos de IOCs a serem retornados.

Se All estiver selecionado, a ação vai retornar todas as entradas.

Os valores possíveis são:

All
Recipient Email Address
Sender Email Address
Sender IP Address
Sender Hostname
Sender HELO Domain Name
Message Header From (Address Only)

O valor padrão é All.

Max IOCs To Return

Opcional.

O número de IOCs a serem retornados.

O valor máximo é 1000.

O valor padrão é 100.

Saídas de ação

A ação Receber entradas da lista de bloqueio fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber entradas da lista de bloqueio:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]

Mensagens de saída

A ação Get Block List Entries pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully listed entries in the block list based on the provided criteria.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully listed entries in the block list based on the provided criteria.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber entradas da lista de bloqueio:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Ping

Use a ação Ping para testar a conectividade com o Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

A ação foi concluída.

Failed to connect to the Proofpoint Threat Protection server!
      Error is ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Remover entrada da lista de permissões

Use a ação Remover entrada da lista de permissão para remover uma entrada da lista de permissão do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Remover entrada da lista de permissões exige os seguintes parâmetros:

Parâmetro	Descrição
`Cluster ID`	Obrigatório. O ID do cluster da lista de permissões. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.
`IOC Type To Search`	Opcional. Os tipos de IOCs a serem pesquisados. Se `All` for selecionado, a ação vai remover todas as entradas que correspondem ao valor. Os valores possíveis são: `All` `Recipient Email Address` `Sender Email Address` `Sender IP Address` `Sender Hostname` `Sender HELO Domain Name` `Message Header From (Address Only)` O valor padrão é `All`.
`Value`	Opcional. O valor a ser removido da lista de permissões.
`Case Insensitive Search`	Obrigatório. Se selecionada, a ação realiza uma pesquisa sem diferenciação de maiúsculas e minúsculas para identificar e remover todas as entradas correspondentes.

Saídas de ação

A ação Remover entrada da lista de permissões fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Remover entrada da lista de permissões pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully deleted entry in the allow list based on the provided criteria.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully deleted entry in the allow list based on the provided criteria.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover entrada da lista de permissões:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Remover entrada da lista de bloqueio

Use a ação Remover entrada da lista de bloqueio para remover uma entrada da lista de bloqueio do Proofpoint Threat Protection.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Remover entrada da lista de bloqueio exige os seguintes parâmetros:

Parâmetro	Descrição
`Cluster ID`	Obrigatório. O ID do cluster da lista de bloqueio. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração.
`IOC Type To Search`	Opcional. Os tipos de IOCs a serem pesquisados. Se `All` for selecionado, a ação vai remover todas as entradas que correspondem ao valor. Os valores possíveis são: `All` `Recipient Email Address` `Sender Email Address` `Sender IP Address` `Sender Hostname` `Sender HELO Domain Name` `Message Header From (Address Only)` O valor padrão é `All`.
`Value`	Opcional. O valor a ser removido da lista de bloqueio.
`Case Insensitive Search`	Obrigatório. Se selecionada, a ação realiza uma pesquisa sem diferenciação de maiúsculas e minúsculas para identificar e remover todas as entradas correspondentes.

Saídas de ação

A ação Remover entrada da lista de bloqueio fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Remover entrada da lista de bloqueio pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully deleted entry in the block list based on the provided criteria.`	A ação foi concluída.
`Error ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully deleted entry in the block list based on the provided criteria.

A ação foi concluída.

Error ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover entrada da lista de bloqueio:

Nome do resultado do script	Valor
is_success	`true` ou `false`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.