将 Proofpoint Threat Protection 与 Google SecOps 集成
集成版本:1.0
本文档介绍了如何将 Proofpoint Threat Protection 与 Google Security Operations 集成。
使用场景
在 Google SecOps 平台中,Proofpoint Threat Protection 集成支持以下用例:
自动缓解钓鱼式攻击:在验证钓鱼式攻击提醒后,自动将恶意发件人的电子邮件地址和网域添加到 Proofpoint 屏蔽列表中,以防止在整个组织内进一步传播类似威胁。
加快事件响应速度:在进行有效调查期间,快速更新 IP 地址和主机名的屏蔽列表条目,以确保在电子邮件网关中立即中和新发现的入侵指标 (IOC)。
主动威胁防护:主动查询和检索现有的许可列表和屏蔽列表条目,以确保安全政策始终与最新的威胁情报保持一致,从而减少组织的攻击面。
简化政策管理:使用剧本,根据已获批准的业务请求,批量向允许列表添加或从中移除受信任的发件人,从而简化电子邮件安全政策的管理。
准备工作
在 Google SecOps 平台中配置集成之前,请验证您是否具备以下条件:
Proofpoint Threat Protection API 凭据:确保您拥有有效的客户端 ID 和客户端密钥。这些令牌是在 Proofpoint 管理控制台中生成的
集群 ID:确定与您的 Proofpoint 实例关联的特定集群 ID。此 ID 是定位正确的许可名单和屏蔽名单所必需的。
网络连接:验证 Google SecOps 环境是否可以与 Proofpoint Threat Protection API 根端点通信。如果您使用的是代理,请确保凭据和地址可用。
集成参数
Proofpoint Threat Protection 集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Root |
必填。 Proofpoint Threat Protection 实例的基础网址。 |
Client ID |
必填。 与您的 Proofpoint Threat Protection API 凭据相关联的客户端 ID。 |
Client Secret |
必填。 与您的 Proofpoint Threat Protection API 凭据关联的客户端密钥。 |
Cluster ID |
必填。 与 Proofpoint Threat Protection API 实例关联的集群 ID。 |
Verify SSL |
可选。 如果选中此复选框,集成会在连接到 Proofpoint Threat Protection 服务器时验证 SSL 证书。 默认处于启用状态。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
向许可名单添加条目
使用 Add Entry to Allow List 操作将条目添加到 Proofpoint Threat Protection 允许列表中。
此操作不适用于 Google SecOps 实体。
操作输入
将条目添加到许可名单操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
可选。 许可名单的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
Allowlist Item |
必填。 表示要添加的许可名单项的 JSON 对象。 默认值为: |
操作输出
将条目添加到许可名单操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将条目添加到许可名单操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将条目添加到许可名单操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
向屏蔽名单中添加条目
使用 Add Entry to Block List 操作将条目添加到 Proofpoint Threat Protection 屏蔽名单中。
此操作不适用于 Google SecOps 实体。
操作输入
向屏蔽列表添加条目操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
可选。 块列表的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
Blocklist Item |
必填。 表示要添加的屏蔽列表项的 JSON 对象。 默认值为: |
操作输出
将条目添加到屏蔽列表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将条目添加到屏蔽列表操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将条目添加到屏蔽列表操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
将 IOC 添加到许可名单
使用 Add IOC to Allow List 操作将特定 IOC 添加到 Proofpoint Threat Protection 许可名单。
此操作不适用于 Google SecOps 实体。
操作输入
将 IOC 添加到许可名单操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
可选。 许可名单的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
Recipient Email Address |
可选。 要添加到许可名单中的收件人电子邮件地址的逗号分隔列表。 |
Sender Email Address |
可选。 要添加到许可名单中的发件人电子邮件地址的逗号分隔列表。 |
Sender IP Address |
可选。 要添加到许可名单中的发件人 IP 地址的列表(以英文逗号分隔)。 |
Sender Hostname |
可选。 要添加到许可名单中的发件人主机名的逗号分隔列表。 |
Sender HELO Domain Name |
可选。 要添加到许可名单中的 HELO 域名(以英文逗号分隔的列表)。 |
Message Header From (Address Only) |
可选。 要添加到许可名单中的“Message Header From”条目的逗号分隔列表。 |
Comment |
可选。 与许可名单条目关联的说明或正当理由。 |
操作输出
将 IOC 添加到许可名单操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将 IOC 添加到许可名单操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将 IOC 添加到许可名单操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
将 IOC 添加到屏蔽名单
使用将 IOC 添加到屏蔽列表操作,将特定 IOC 添加到 Proofpoint Threat Protection 屏蔽列表。
此操作不适用于 Google SecOps 实体。
操作输入
将 IOC 添加到屏蔽列表操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
可选。 块列表的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
Recipient Email Address |
可选。 要添加到屏蔽列表中的收件人电子邮件地址的列表(以英文逗号分隔)。 |
Sender Email Address |
可选。 要添加到屏蔽列表中的发件人电子邮件地址列表(以英文逗号分隔)。 |
Sender IP Address |
可选。 要添加到屏蔽列表的发件人 IP 地址列表(以英文逗号分隔)。 |
Sender Hostname |
可选。 要添加到屏蔽列表中的发件人主机名的逗号分隔列表。 |
Sender HELO Domain Name |
可选。 要添加到屏蔽列表中的 HELO 域名(以英文逗号分隔)的列表。 |
Message Header From (Address Only) |
可选。 要添加到屏蔽列表中的“邮件标头发件人”条目的英文逗号分隔列表。 |
Comment |
可选。 与屏蔽列表条目关联的说明或正当理由。 |
操作输出
将 IOC 添加到屏蔽列表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将 IOC 添加到屏蔽列表操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将 IOC 添加到屏蔽列表操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
获取许可名单条目
使用 Get Allow List Entries 操作可从 Proofpoint Threat Protection 许可名单中检索现有条目。
此操作不适用于 Google SecOps 实体。
操作输入
获取许可名单条目操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
必填。 许可名单的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
IOC Type To Return |
可选。 要返回的 IOC 类型。 如果选择 可能的值如下:
默认值为 |
Max IOCs To Return |
可选。 要返回的 IOC 数量。 最大值为 默认值为 |
操作输出
获取许可名单条目操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Get Allow List Entries 操作时收到的 JSON 结果输出:
[
{
"attribute": "$from",
"operator": "equal",
"value": "test@example.com",
"comment": ""
}
]
输出消息
获取许可名单条目操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Allow List Entries 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
获取屏蔽列表条目
使用 Get Block List Entries 操作从 Proofpoint Threat Protection 屏蔽名单中检索现有条目。
此操作不适用于 Google SecOps 实体。
操作输入
获取屏蔽列表条目操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
必填。 块列表的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
IOC Type To Return |
可选。 要返回的 IOC 类型。 如果选择 可能的值如下:
默认值为 |
Max IOCs To Return |
可选。 要返回的 IOC 数量。 最大值为 默认值为 |
操作输出
获取屏蔽列表条目操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取屏蔽列表条目操作时收到的 JSON 结果输出:
[
{
"attribute": "$from",
"operator": "equal",
"value": "test@example.com",
"comment": ""
}
]
输出消息
获取屏蔽列表条目操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用获取屏蔽列表条目操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
Ping
使用 Ping 操作测试与 Proofpoint Threat Protection 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to connect to the Proofpoint Threat Protection server!
Error is ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
从许可名单中移除条目
使用 Remove Entry from Allow List 操作可从 Proofpoint Threat Protection 允许列表中移除条目。
此操作不适用于 Google SecOps 实体。
操作输入
从许可名单中移除条目操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
必填。 许可名单的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
IOC Type To Search |
可选。 要搜索的 IOC 类型。 如果选择了 可能的值如下:
默认值为 |
Value |
可选。 要从许可名单中移除的值。 |
Case Insensitive Search |
必填。 如果选择此项,该操作会执行不区分大小写的搜索,以识别并移除所有匹配的条目。 |
操作输出
从许可名单中移除条目操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
从许可名单中移除条目操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用从许可名单中移除条目操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
从屏蔽名单中移除条目
使用 Remove Entry from Block List 操作可从 Proofpoint Threat Protection 屏蔽列表中移除条目。
此操作不适用于 Google SecOps 实体。
操作输入
从屏蔽列表中移除条目操作需要以下参数:
| 参数 | 说明 |
|---|---|
Cluster ID |
必填。 块列表的集群 ID。 如果未提供任何值,该操作将使用集成配置中的集群 ID。 |
IOC Type To Search |
可选。 要搜索的 IOC 类型。 如果选择了 可能的值如下:
默认值为 |
Value |
可选。 要从屏蔽列表中移除的值。 |
Case Insensitive Search |
必填。 如果选择此项,该操作会执行不区分大小写的搜索,以识别并移除所有匹配的条目。 |
操作输出
从屏蔽列表中移除条目操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
从屏蔽列表中移除条目操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用从屏蔽列表中移除条目操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
| is_success | true 或 false |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。