整合 Proofpoint Threat Protection 與 Google SecOps

整合版本:1.0

本文說明如何將 Proofpoint Threat Protection 與 Google Security Operations 整合。

用途

在 Google SecOps 平台中,Proofpoint Threat Protection 整合服務支援下列用途:

  • 自動防範網路釣魚:確認網路釣魚警示後,系統會自動將惡意寄件者的電子郵件地址和網域加入 Proofpoint 封鎖清單,防止類似威脅在整個機構中傳播。

  • 加快事件回應速度:在調查期間,快速更新 IP 位址和主機名稱的封鎖清單項目,確保在電子郵件閘道中,立即清除新發現的入侵指標 (IOC)。

  • 主動防範威脅:主動查詢及擷取現有的允許和封鎖清單項目,確保安全政策與目前的威脅情報保持一致,並持續更新,進而縮小組織的攻擊面。

  • 簡化政策管理:根據核准的業務要求,使用劇本大量新增或移除許可清單中的信任寄件者,簡化電子郵件安全政策的管理作業。

事前準備

在 Google SecOps 平台中設定整合功能前,請確認您具備下列項目:

  • Proofpoint Threat Protection API 憑證:請確認您擁有有效的用戶端 ID 和用戶端密鑰。這些權杖是在 Proofpoint 管理控制台中產生

  • 叢集 ID:找出與 Proofpoint 執行個體相關聯的特定叢集 ID。您必須提供這個 ID,才能指定正確的允許和封鎖清單。

  • 網路連線:確認 Google SecOps 環境可以與 Proofpoint Threat Protection API 根端點通訊。如果使用 Proxy,請確認您有相關憑證和地址。

整合參數

整合 Proofpoint Threat Protection 需要下列參數:

參數 說明
API Root

必填。

Proofpoint Threat Protection 執行個體的基準網址。
Client ID

必填。

與 Proofpoint Threat Protection API 憑證相關聯的用戶端 ID。
Client Secret

必填。

與 Proofpoint Threat Protection API 憑證相關聯的用戶端密鑰。
Cluster ID

必填。

與 Proofpoint Threat Protection API 執行個體相關聯的叢集 ID。
Verify SSL

選填。

如果選取這個選項,整合服務會在連線至 Proofpoint Threat Protection 伺服器時驗證 SSL 憑證。

(預設為啟用)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

將項目加入許可清單

使用「Add Entry to Allow List」(將項目新增至許可清單) 動作,將項目新增至 Proofpoint Threat Protection 許可清單。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將項目新增至允許清單」動作需要下列參數:

參數 說明
Cluster ID

選填。

允許清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
Allowlist Item

必填。

代表要新增許可清單項目的 JSON 物件。

預設值為:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

動作輸出內容

「將項目新增至允許清單」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將項目新增至允許清單」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added a new entry to the allow list.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「將項目新增至允許清單」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

將項目新增至封鎖清單

使用「Add Entry to Block List」(將項目新增至封鎖清單) 動作,將項目新增至 Proofpoint Threat Protection 封鎖清單。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將項目新增至封鎖清單」動作需要下列參數:

參數 說明
Cluster ID

選填。

封鎖清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
Blocklist Item

必填。

代表要新增封鎖清單項目的 JSON 物件。

預設值為:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

動作輸出內容

「將項目新增至封鎖清單」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Add Entry to Block List」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added new entry to the block list.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「將項目新增至封鎖清單」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

將 IOC 加入許可清單

使用「將 IOC 新增至許可清單」動作,將特定 IOC 新增至 Proofpoint Threat Protection 許可清單。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將 IOC 新增至允許清單」動作需要下列參數:

參數 說明
Cluster ID

選填。

允許清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
Recipient Email Address

選填。

以半形逗號分隔的收件者電子郵件地址清單,可新增至許可清單。
Sender Email Address

選填。

以半形逗號分隔的寄件者電子郵件地址清單,可新增至許可清單。
Sender IP Address

選填。

以半形逗號分隔的寄件者 IP 位址清單,可加入許可清單。
Sender Hostname

選填。

以半形逗號分隔的寄件者主機名稱清單,可新增至允許清單。
Sender HELO Domain Name

選填。

以半形逗號分隔的 HELO 網域名稱清單,可加入許可清單。
Message Header From (Address Only)

選填。

以半形逗號分隔的「郵件標頭 From」項目清單,可新增至許可清單。
Comment

選填。

與允許清單項目相關的說明或正當理由。

動作輸出內容

「將 IOC 新增至允許清單」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將 IOC 新增至允許清單」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added new entries to the allow list.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「將 IOC 新增至允許清單」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

將 IOC 新增至封鎖清單

使用「將 IOC 新增至封鎖清單」動作,將特定 IOC 新增至 Proofpoint Threat Protection 封鎖清單。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將 IOC 新增至封鎖清單」動作需要下列參數:

參數 說明
Cluster ID

選填。

封鎖清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
Recipient Email Address

選填。

以半形逗號分隔的收件者電子郵件地址清單,可新增至封鎖清單。
Sender Email Address

選填。

以半形逗號分隔的寄件者電子郵件地址清單,可新增至封鎖清單。
Sender IP Address

選填。

以半形逗號分隔的寄件者 IP 位址清單,這些 IP 位址會加入封鎖清單。
Sender Hostname

選填。

以半形逗號分隔的寄件者主機名稱清單,可加入封鎖清單。
Sender HELO Domain Name

選填。

以半形逗號分隔的 HELO 網域名稱清單,可加入封鎖清單。
Message Header From (Address Only)

選填。

以半形逗號分隔的「郵件標頭寄件者」項目清單,可加入封鎖清單。
Comment

選填。

與封鎖清單項目相關的說明或正當理由。

動作輸出內容

「將 IOC 新增至封鎖清單」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Add IOC to Block List」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added new entries to the block list.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「Add IOC to Block List」(將 IOC 新增至封鎖清單) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

取得許可清單項目

使用「Get Allow List Entries」(取得允許清單項目) 動作,從 Proofpoint Threat Protection 允許清單中擷取現有項目。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Get Allow List Entries」(取得允許清單項目) 動作需要下列參數:

參數 說明
Cluster ID

必填。

允許清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
IOC Type To Return

選填。

要傳回的 IOC 類型。

如果選取 All,動作會傳回所有項目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

預設值為 All
Max IOCs To Return

選填。

要傳回的 IOC 數量。

最大值為 1000

預設值為 100

動作輸出內容

「取得允許清單項目」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得允許清單項目」動作時收到的 JSON 結果輸出內容:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
輸出訊息

「Get Allow List Entries」(取得允許清單項目) 動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully listed entries in the allow list based on the provided criteria.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「Get Allow List Entries」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

取得封鎖清單項目

使用「Get Block List Entries」動作,從 Proofpoint Threat Protection 封鎖清單中擷取現有項目。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得封鎖名單項目」動作需要下列參數:

參數 說明
Cluster ID

必填。

封鎖清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
IOC Type To Return

選填。

要傳回的 IOC 類型。

如果選取 All,動作會傳回所有項目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

預設值為 All
Max IOCs To Return

選填。

要傳回的 IOC 數量。

最大值為 1000

預設值為 100

動作輸出內容

「取得封鎖清單項目」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得封鎖清單項目」動作時收到的 JSON 結果輸出內容:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
輸出訊息

「Get Block List Entries」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully listed entries in the block list based on the provided criteria.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得封鎖清單項目」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

乒乓

使用「Ping」動作測試與 Proofpoint Threat Protection 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Ping」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

 動作成功。
Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

從許可清單中移除項目

使用「從許可清單中移除項目」動作,從 Proofpoint Threat Protection 許可清單中移除項目。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「從允許清單中移除項目」動作需要下列參數:

參數 說明
Cluster ID

必填。

允許清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
IOC Type To Search

選填。

要搜尋的 IOC 類型。

如果選取 All,這項動作會移除所有符合該值的項目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

預設值為 All
Value

選填。

要從許可清單中移除的值。
Case Insensitive Search

必填。

如果選取這個選項,系統會執行不區分大小寫的搜尋,找出並移除所有相符項目。

動作輸出內容

「從允許清單中移除項目」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「從允許清單中移除項目」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully deleted entry in the allow list based on the provided criteria.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「從允許清單中移除項目」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

從封鎖清單中移除項目

使用「Remove Entry from Block List」(從封鎖清單中移除項目) 動作,從 Proofpoint Threat Protection 封鎖清單中移除項目。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「從封鎖清單移除項目」動作需要下列參數:

參數 說明
Cluster ID

必填。

封鎖清單的叢集 ID。

如未提供任何值,動作會使用整合設定中的叢集 ID。
IOC Type To Search

選填。

要搜尋的 IOC 類型。

如果選取 All,這項動作會移除所有符合該值的項目。

可能的值如下:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

預設值為 All
Value

選填。

要從封鎖清單中移除的值。
Case Insensitive Search

必填。

如果選取這個選項,系統會執行不區分大小寫的搜尋,找出並移除所有相符項目。

動作輸出內容

「從封鎖清單移除項目」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「從封鎖清單移除項目」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully deleted entry in the block list based on the provided criteria.

 動作成功。
Error ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「從封鎖清單中移除項目」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。