Diese Seite wurde von der Cloud Translation API übersetzt.

Proofpoint TAP in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Proofpoint TAP in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 11.0

Integrationsparameter

Für die Proofpoint TAP-Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
API-Stamm	Erforderlich. Der API-Root der Proofpoint Targeted Attack Protection-Instanz (TAP).
Nutzername	Erforderlich. Der Nutzername der Proofpoint TAP-Instanz. Wichtig: Im Proofpoint TAP-Konto ist der Nutzername der Service Principal Name.
Passwort	Erforderlich. Der API-Schlüssel der Proofpoint TAP-Instanz. Wichtig: Im Proofpoint TAP-Konto ist „Password“ der API-Schlüssel.
SSL überprüfen	Optional. Wenn diese Option aktiviert ist, wird die Gültigkeit des SSL-Zertifikats überprüft.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

DecodeURL

Verwenden Sie die Aktion DecodeURL, um die codierten URLs von Proofpoint zu decodieren.

Diese Aktion wird für die folgende Google SecOps-Entität ausgeführt:

URL

Aktionseingaben

Parameter Beschreibung

Codierte URLs

Parameter	Beschreibung
Codierte URLs	Optional. Eine durch Kommas getrennte Liste von zu decodierenden URLs. Hinweis : URL-Entitäten im Bereich der Benachrichtigung werden gemeinsam decodiert.
URL-Entitäten erstellen	Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion nach erfolgreicher Decodierung eine URL-Entität aus der URL erstellt. Der Standardwert ist `Checked`.

Optional.

Eine durch Kommas getrennte Liste von zu decodierenden URLs.

: URL-Entitäten im Bereich der Benachrichtigung werden gemeinsam decodiert.

URL-Entitäten erstellen

Optional.

Wenn diese Option ausgewählt ist, wird durch die Aktion nach erfolgreicher Decodierung eine URL-Entität aus der URL erstellt.

Der Standardwert ist Checked.

Aktionsausgaben

Die Aktion DecodeURL stellt die folgenden Ausgaben bereit.

Entitätsanreicherung

Die Aktion DecodeURL unterstützt die folgende Logik zur Entitätenanreicherung:

Name des Anreicherungsfelds Logik – Wann anwenden?

Codierte URLs

Name des Anreicherungsfelds	Logik – Wann anwenden?
Codierte URLs	Eine durch Kommas getrennte Liste von zu decodierenden URLs. Hinweis : URL-Entitäten im Bereich der Benachrichtigung werden gemeinsam decodiert.
URL-Entitäten erstellen	Wenn diese Option ausgewählt ist, wird durch die Aktion eine erfolgreich dekodierte URL-Entität aus der URL erstellt, nachdem sie erfolgreich dekodiert wurde. Der Standardwert ist `Checked`.

Eine durch Kommas getrennte Liste von zu decodierenden URLs.

: URL-Entitäten im Bereich der Benachrichtigung werden gemeinsam decodiert.

URL-Entitäten erstellen

Wenn diese Option ausgewählt ist, wird durch die Aktion eine erfolgreich dekodierte URL-Entität aus der URL erstellt, nachdem sie erfolgreich dekodiert wurde.

Der Standardwert ist Checked.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion DecodeURL beschrieben:

Name des Scriptergebnisses	Wertoptionen	Beispiel
decoded_urls	–	–

GetCampaign

Mit der Aktion GetCampaign können Sie Kampagneninformationen anhand der Kampagnen-ID abrufen.

Diese Aktion wird für alle Elemente ausgeführt.

Aktionseingaben

Für die Aktion GetCampaign ist der folgende Parameter erforderlich:

Parameter	Beschreibung
Campaign ID	Erforderlich. Die ID der Kampagne, zu der Informationen abgerufen werden sollen.
Insight erstellen	Optional. Wenn diese Option ausgewählt ist, wird eine Statistik mit den Kampagneninformationen erstellt. Standardmäßig ausgewählt
Entität für Bedrohungskampagne erstellen	Optional. Wenn diese Option ausgewählt ist, wird anhand der Kampagneninformationen eine Threat Campaign-Entität erstellt. Standardmäßig ausgewählt
Forensikinformationen abrufen	Optional. Bei Auswahl dieser Option werden forensische Informationen aus der Kampagne abgerufen. Standardmäßig ausgewählt
Filter für forensische Beweistypen	Optional. Eine durch Kommas getrennte Liste der Beweistypen, die beim Abrufen forensischer Informationen zurückgegeben werden sollen. Mögliche Werte: `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain`, `behavior`.
Maximale Anzahl zurückzugebender forensischer Beweise	Optional. Die Menge an Beweismitteln, die pro Kampagne zurückgegeben werden sollen. Der Standardwert ist `50`. Der Höchstwert ist `1000`.

Aktionsausgaben

Die Aktion GetCampaign liefert die folgenden Ausgaben.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion GetCampaign beschrieben:

Name des Scriptergebnisses	Wertoptionen	Beispiel
campaign_info	–	–

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu ProofPoint TAP zu testen.

Diese Aktion wird für alle Elemente ausgeführt.

Aktionseingaben

Für die Aktion Ping sind keine Parameter erforderlich.

Aktionsausgaben

Die Aktion Ping liefert die folgenden Ausgaben.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten