将 Proofpoint Threat Protection 与 Google SecOps 集成

集成版本:1.0

本文档介绍了如何将 Proofpoint Threat Protection 与 Google Security Operations 集成。

使用场景

在 Google SecOps 平台中,Proofpoint Threat Protection 集成支持以下用例:

  • 自动缓解钓鱼式攻击:在验证钓鱼式攻击提醒后,自动将恶意发件人的电子邮件地址和网域添加到 Proofpoint 屏蔽列表中,以防止在整个组织内进一步传播类似威胁。

  • 加快事件响应速度:在进行有效调查期间,快速更新 IP 地址和主机名的屏蔽列表条目,以确保在电子邮件网关中立即中和新发现的入侵指标 (IOC)。

  • 主动威胁防护:主动查询和检索现有的许可列表和屏蔽列表条目,以确保安全政策始终与最新的威胁情报保持一致,从而减少组织的攻击面。

  • 简化政策管理:使用剧本,根据已获批准的业务请求,批量向允许列表添加或从中移除受信任的发件人,从而简化电子邮件安全政策的管理。

准备工作

在 Google SecOps 平台中配置集成之前,请验证您是否具备以下条件:

  • Proofpoint Threat Protection API 凭据:确保您拥有有效的客户端 ID 和客户端密钥。这些令牌是在 Proofpoint 管理控制台中生成的

  • 集群 ID:确定与您的 Proofpoint 实例关联的特定集群 ID。此 ID 是定位正确的许可名单和屏蔽名单所必需的。

  • 网络连接:验证 Google SecOps 环境是否可以与 Proofpoint Threat Protection API 根端点通信。如果您使用的是代理,请确保凭据和地址可用。

集成参数

Proofpoint Threat Protection 集成需要以下参数:

参数 说明
API Root

必填。

Proofpoint Threat Protection 实例的基础网址。
Client ID

必填。

与您的 Proofpoint Threat Protection API 凭据相关联的客户端 ID。
Client Secret

必填。

与您的 Proofpoint Threat Protection API 凭据关联的客户端密钥。
Cluster ID

必填。

与 Proofpoint Threat Protection API 实例关联的集群 ID。
Verify SSL

可选。

如果选中此复选框,集成会在连接到 Proofpoint Threat Protection 服务器时验证 SSL 证书。

默认处于启用状态。

如需了解如何在 Google SecOps 中配置集成,请参阅配置集成

如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例

操作

如需详细了解操作,请参阅 在工作台页面中处理待处理的操作执行手动操作

向许可名单添加条目

使用 Add Entry to Allow List 操作将条目添加到 Proofpoint Threat Protection 允许列表中。

此操作不适用于 Google SecOps 实体。

操作输入

将条目添加到许可名单操作需要以下参数:

参数 说明
Cluster ID

可选。

许可名单的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
Allowlist Item

必填。

表示要添加的许可名单项的 JSON 对象。

默认值为:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

操作输出

将条目添加到许可名单操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将条目添加到许可名单操作可能会返回以下输出消息:

输出消息 消息说明

Successfully added a new entry to the allow list.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用将条目添加到许可名单操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

向屏蔽名单中添加条目

使用 Add Entry to Block List 操作将条目添加到 Proofpoint Threat Protection 屏蔽名单中。

此操作不适用于 Google SecOps 实体。

操作输入

向屏蔽列表添加条目操作需要以下参数:

参数 说明
Cluster ID

可选。

块列表的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
Blocklist Item

必填。

表示要添加的屏蔽列表项的 JSON 对象。

默认值为:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

操作输出

将条目添加到屏蔽列表操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将条目添加到屏蔽列表操作可以返回以下输出消息:

输出消息 消息说明

Successfully added new entry to the block list.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用将条目添加到屏蔽列表操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

将 IOC 添加到许可名单

使用 Add IOC to Allow List 操作将特定 IOC 添加到 Proofpoint Threat Protection 许可名单。

此操作不适用于 Google SecOps 实体。

操作输入

将 IOC 添加到许可名单操作需要以下参数:

参数 说明
Cluster ID

可选。

许可名单的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
Recipient Email Address

可选。

要添加到许可名单中的收件人电子邮件地址的逗号分隔列表。
Sender Email Address

可选。

要添加到许可名单中的发件人电子邮件地址的逗号分隔列表。
Sender IP Address

可选。

要添加到许可名单中的发件人 IP 地址的列表(以英文逗号分隔)。
Sender Hostname

可选。

要添加到许可名单中的发件人主机名的逗号分隔列表。
Sender HELO Domain Name

可选。

要添加到许可名单中的 HELO 域名(以英文逗号分隔的列表)。
Message Header From (Address Only)

可选。

要添加到许可名单中的“Message Header From”条目的逗号分隔列表。
Comment

可选。

与许可名单条目关联的说明或正当理由。

操作输出

将 IOC 添加到许可名单操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将 IOC 添加到许可名单操作可以返回以下输出消息:

输出消息 消息说明

Successfully added new entries to the allow list.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用将 IOC 添加到许可名单操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

将 IOC 添加到屏蔽名单

使用将 IOC 添加到屏蔽列表操作,将特定 IOC 添加到 Proofpoint Threat Protection 屏蔽列表。

此操作不适用于 Google SecOps 实体。

操作输入

将 IOC 添加到屏蔽列表操作需要以下参数:

参数 说明
Cluster ID

可选。

块列表的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
Recipient Email Address

可选。

要添加到屏蔽列表中的收件人电子邮件地址的列表(以英文逗号分隔)。
Sender Email Address

可选。

要添加到屏蔽列表中的发件人电子邮件地址列表(以英文逗号分隔)。
Sender IP Address

可选。

要添加到屏蔽列表的发件人 IP 地址列表(以英文逗号分隔)。
Sender Hostname

可选。

要添加到屏蔽列表中的发件人主机名的逗号分隔列表。
Sender HELO Domain Name

可选。

要添加到屏蔽列表中的 HELO 域名(以英文逗号分隔)的列表。
Message Header From (Address Only)

可选。

要添加到屏蔽列表中的“邮件标头发件人”条目的英文逗号分隔列表。
Comment

可选。

与屏蔽列表条目关联的说明或正当理由。

操作输出

将 IOC 添加到屏蔽列表操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将 IOC 添加到屏蔽列表操作可以返回以下输出消息:

输出消息 消息说明

Successfully added new entries to the block list.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用将 IOC 添加到屏蔽列表操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

获取许可名单条目

使用 Get Allow List Entries 操作可从 Proofpoint Threat Protection 许可名单中检索现有条目。

此操作不适用于 Google SecOps 实体。

操作输入

获取许可名单条目操作需要以下参数:

参数 说明
Cluster ID

必填。

许可名单的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
IOC Type To Return

可选。

要返回的 IOC 类型。

如果选择 All,该操作会返回所有条目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

默认值为 All
Max IOCs To Return

可选。

要返回的 IOC 数量。

最大值为 1000

默认值为 100

操作输出

获取许可名单条目操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例展示了使用 Get Allow List Entries 操作时收到的 JSON 结果输出:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
输出消息

获取许可名单条目操作可以返回以下输出消息:

输出消息 消息说明

Successfully listed entries in the allow list based on the provided criteria.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用 Get Allow List Entries 操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

获取屏蔽列表条目

使用 Get Block List Entries 操作从 Proofpoint Threat Protection 屏蔽名单中检索现有条目。

此操作不适用于 Google SecOps 实体。

操作输入

获取屏蔽列表条目操作需要以下参数:

参数 说明
Cluster ID

必填。

块列表的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
IOC Type To Return

可选。

要返回的 IOC 类型。

如果选择 All,该操作会返回所有条目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

默认值为 All
Max IOCs To Return

可选。

要返回的 IOC 数量。

最大值为 1000

默认值为 100

操作输出

获取屏蔽列表条目操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例展示了使用获取屏蔽列表条目操作时收到的 JSON 结果输出:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
输出消息

获取屏蔽列表条目操作可以返回以下输出消息:

输出消息 消息说明

Successfully listed entries in the block list based on the provided criteria.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用获取屏蔽列表条目操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

Ping

使用 Ping 操作测试与 Proofpoint Threat Protection 的连接。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

Ping 操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

Ping 操作可以返回以下输出消息:

输出消息 消息说明

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

 操作成功。
Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

从许可名单中移除条目

使用 Remove Entry from Allow List 操作可从 Proofpoint Threat Protection 允许列表中移除条目。

此操作不适用于 Google SecOps 实体。

操作输入

从许可名单中移除条目操作需要以下参数:

参数 说明
Cluster ID

必填。

许可名单的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
IOC Type To Search

可选。

要搜索的 IOC 类型。

如果选择了 All,该操作会移除与相应值匹配的所有条目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

默认值为 All
Value

可选。

要从许可名单中移除的值。
Case Insensitive Search

必填。

如果选择此项,该操作会执行不区分大小写的搜索,以识别并移除所有匹配的条目。

操作输出

从许可名单中移除条目操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

从许可名单中移除条目操作可以返回以下输出消息:

输出消息 消息说明

Successfully deleted entry in the allow list based on the provided criteria.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用从许可名单中移除条目操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

从屏蔽名单中移除条目

使用 Remove Entry from Block List 操作可从 Proofpoint Threat Protection 屏蔽列表中移除条目。

此操作不适用于 Google SecOps 实体。

操作输入

从屏蔽列表中移除条目操作需要以下参数:

参数 说明
Cluster ID

必填。

块列表的集群 ID。

如果未提供任何值,该操作将使用集成配置中的集群 ID。
IOC Type To Search

可选。

要搜索的 IOC 类型。

如果选择了 All,该操作会移除与相应值匹配的所有条目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

默认值为 All
Value

可选。

要从屏蔽列表中移除的值。
Case Insensitive Search

必填。

如果选择此项,该操作会执行不区分大小写的搜索,以识别并移除所有匹配的条目。

操作输出

从屏蔽列表中移除条目操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

从屏蔽列表中移除条目操作可以返回以下输出消息:

输出消息 消息说明

Successfully deleted entry in the block list based on the provided criteria.

 操作成功。
Error ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用从屏蔽列表中移除条目操作时脚本结果输出的值:

脚本结果名称
is_success truefalse

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。