Integrar a proteção contra ameaças da Proofpoint ao Google SecOps
Versão da integração: 1.0
Neste documento, explicamos como integrar o Proofpoint Threat Protection ao Google Security Operations.
Casos de uso
Na plataforma Google SecOps, a integração do Proofpoint Threat Protection é compatível com os seguintes casos de uso:
Mitigação automática de phishing: adiciona automaticamente endereços de e-mail e domínios de remetentes maliciosos à lista de bloqueio do Proofpoint depois que um alerta de phishing é verificado para evitar a entrega de ameaças semelhantes em toda a organização.
Resposta acelerada a incidentes: atualize rapidamente as entradas da lista de bloqueio para endereços IP e nomes de host durante uma investigação ativa para garantir que os indicadores de comprometimento (IOCs) recém-descobertos sejam neutralizados imediatamente no gateway de e-mail.
Proteção proativa contra ameaças: consulte e recupere de forma proativa as entradas das listas de permissão e bloqueio para garantir que as políticas de segurança permaneçam atualizadas e consistentes com a inteligência de ameaças atual, reduzindo a superfície de ataque da organização.
Gerenciamento simplificado de políticas: simplifique a administração das políticas de segurança de e-mail usando playbooks para gerenciar adições ou remoções em massa de remetentes confiáveis na lista de permissão com base em solicitações comerciais aprovadas.
Antes de começar
Antes de configurar a integração na plataforma do Google SecOps, verifique se você tem o seguinte:
Credenciais da API Proofpoint Threat Protection: verifique se você tem um ID e uma chave secreta do cliente válidos. Eles são gerados no console administrativo do Proofpoint.
ID do cluster: identifique o ID do cluster específico associado à sua instância do Proofpoint. Ele é necessário para segmentar as listas de permissões e de bloqueio corretas.
Conectividade de rede: verifique se o ambiente do Google SecOps pode se comunicar com o endpoint raiz da API Proofpoint Threat Protection. Se você estiver usando um proxy, verifique se as credenciais e os endereços estão disponíveis.
Parâmetros de integração
A integração do Proofpoint Threat Protection exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. O URL de base da instância do Proofpoint Threat Protection. |
Client ID |
Obrigatório. O ID do cliente associado às suas credenciais da API Proofpoint Threat Protection. |
Client Secret |
Obrigatório. A chave secreta do cliente associada às suas credenciais da API Proofpoint Threat Protection. |
Cluster ID |
Obrigatório. O ID do cluster associado à sua instância da API Proofpoint Threat Protection. |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Proofpoint Threat Protection. Ativado por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Adicionar entrada à lista de permissões
Use a ação Adicionar entrada à lista de permissões para adicionar uma entrada à lista de permissões do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Adicionar entrada à lista de permissões exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Opcional. O ID do cluster da lista de permissão. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
Allowlist Item |
Obrigatório. O objeto JSON que representa o item da lista de permissão a ser adicionado. O valor padrão é: |
Saídas de ação
A ação Adicionar entrada à lista de permissões fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar entrada à lista de permissões pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar entrada à lista de permissões:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Adicionar entrada à lista de bloqueio
Use a ação Adicionar entrada à lista de bloqueio para adicionar uma entrada à lista de bloqueio do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Adicionar entrada à lista de bloqueio exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Opcional. O ID do cluster da lista de bloqueio. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
Blocklist Item |
Obrigatório. O objeto JSON que representa o item da lista de bloqueio a ser adicionado. O valor padrão é: |
Saídas de ação
A ação Adicionar entrada à lista de bloqueio fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar entrada à lista de bloqueio pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar entrada à lista de bloqueio:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Adicionar IOC à lista de permissões
Use a ação Adicionar IOC à lista de permissões para incluir IOCs específicos na lista de permissões do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Adicionar IOC à lista de permissões exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Opcional. O ID do cluster da lista de permissão. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
Recipient Email Address |
Opcional. Uma lista separada por vírgulas de endereços de e-mail de destinatários para adicionar à lista de permissões. |
Sender Email Address |
Opcional. Uma lista de endereços de e-mail do remetente separados por vírgulas para adicionar à lista de permissões. |
Sender IP Address |
Opcional. Uma lista separada por vírgulas de endereços IP de remetentes para adicionar à lista de permissões. |
Sender Hostname |
Opcional. Uma lista separada por vírgulas de nomes de host do remetente para adicionar à lista de permissões. |
Sender HELO Domain Name |
Opcional. Uma lista separada por vírgulas de nomes de domínio HELO para adicionar à lista de permissões. |
Message Header From (Address Only) |
Opcional. Uma lista separada por vírgulas de entradas "Cabeçalho da mensagem: de" para adicionar à lista de permissões. |
Comment |
Opcional. Uma descrição ou justificativa associada às entradas da lista de permissões. |
Saídas de ação
A ação Adicionar IOC à lista de permissões fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar IOC à lista de permissões pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar IOC à lista de permissões:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Adicionar IOC à lista de bloqueio
Use a ação Adicionar IOC à lista de bloqueio para incluir IOCs específicos na lista de bloqueio do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Adicionar IOC à lista de bloqueio exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Opcional. O ID do cluster da lista de bloqueio. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
Recipient Email Address |
Opcional. Uma lista de endereços de e-mail de destinatários separados por vírgulas para adicionar à lista de bloqueio. |
Sender Email Address |
Opcional. Uma lista de endereços de e-mail de remetentes separados por vírgulas para adicionar à lista de bloqueio. |
Sender IP Address |
Opcional. Uma lista separada por vírgulas de endereços IP de remetentes para adicionar à lista de bloqueio. |
Sender Hostname |
Opcional. Uma lista separada por vírgulas de nomes de host de remetentes para adicionar à lista de bloqueio. |
Sender HELO Domain Name |
Opcional. Uma lista separada por vírgulas de nomes de domínio HELO para adicionar à lista de bloqueio. |
Message Header From (Address Only) |
Opcional. Uma lista separada por vírgulas de entradas "Cabeçalho da mensagem: de" para adicionar à lista de bloqueio. |
Comment |
Opcional. Uma descrição ou justificativa associada às entradas da lista de bloqueio. |
Saídas de ação
A ação Adicionar IOC à lista de bloqueio fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar IOC à lista de bloqueio pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar IOC à lista de bloqueio:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Receber entradas da lista de permissões
Use a ação Receber entradas da lista de permissões para recuperar as entradas atuais da lista de permissões do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber entradas da lista de permissões exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Obrigatório. O ID do cluster da lista de permissões. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
IOC Type To Return |
Opcional. Os tipos de IOCs a serem retornados. Se Os valores possíveis são:
O valor padrão é |
Max IOCs To Return |
Opcional. O número de IOCs a serem retornados. O valor máximo é O valor padrão é |
Saídas de ação
A ação Extrair entradas da lista de permissões fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber entradas da lista de permissões:
[
{
"attribute": "$from",
"operator": "equal",
"value": "test@example.com",
"comment": ""
}
]
Mensagens de saída
A ação Get Allow List Entries pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber entradas da lista de permissão:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Receber entradas da lista de bloqueio
Use a ação Get Block List Entries para recuperar entradas da lista de bloqueio do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber entradas da lista de bloqueio exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Obrigatório. O ID do cluster da lista de bloqueio. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
IOC Type To Return |
Opcional. Os tipos de IOCs a serem retornados. Se Os valores possíveis são:
O valor padrão é |
Max IOCs To Return |
Opcional. O número de IOCs a serem retornados. O valor máximo é O valor padrão é |
Saídas de ação
A ação Receber entradas da lista de bloqueio fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber entradas da lista de bloqueio:
[
{
"attribute": "$from",
"operator": "equal",
"value": "test@example.com",
"comment": ""
}
]
Mensagens de saída
A ação Get Block List Entries pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber entradas da lista de bloqueio:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Ping
Use a ação Ping para testar a conectividade com o Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Failed to connect to the Proofpoint Threat Protection server!
Error is ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Remover entrada da lista de permissões
Use a ação Remover entrada da lista de permissão para remover uma entrada da lista de permissão do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Remover entrada da lista de permissões exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Obrigatório. O ID do cluster da lista de permissões. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
IOC Type To Search |
Opcional. Os tipos de IOCs a serem pesquisados. Se Os valores possíveis são:
O valor padrão é |
Value |
Opcional. O valor a ser removido da lista de permissões. |
Case Insensitive Search |
Obrigatório. Se selecionada, a ação realiza uma pesquisa sem diferenciação de maiúsculas e minúsculas para identificar e remover todas as entradas correspondentes. |
Saídas de ação
A ação Remover entrada da lista de permissões fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Remover entrada da lista de permissões pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover entrada da lista de permissões:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Remover entrada da lista de bloqueio
Use a ação Remover entrada da lista de bloqueio para remover uma entrada da lista de bloqueio do Proofpoint Threat Protection.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Remover entrada da lista de bloqueio exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Cluster ID |
Obrigatório. O ID do cluster da lista de bloqueio. Se nenhum valor for fornecido, a ação vai usar o ID do cluster da configuração de integração. |
IOC Type To Search |
Opcional. Os tipos de IOCs a serem pesquisados. Se Os valores possíveis são:
O valor padrão é |
Value |
Opcional. O valor a ser removido da lista de bloqueio. |
Case Insensitive Search |
Obrigatório. Se selecionada, a ação realiza uma pesquisa sem diferenciação de maiúsculas e minúsculas para identificar e remover todas as entradas correspondentes. |
Saídas de ação
A ação Remover entrada da lista de bloqueio fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Remover entrada da lista de bloqueio pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover entrada da lista de bloqueio:
| Nome do resultado do script | Valor |
|---|---|
| is_success | true ou false |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.