Esta página se ha traducido con Cloud Translation API.

Integrar Proofpoint TAP con Google SecOps

En este documento se explica cómo integrar Proofpoint TAP con Google Security Operations (Google SecOps).

Versión de integración: 11.0

Parámetros de integración

La integración de Proofpoint TAP requiere los siguientes parámetros:

Parámetro	Descripción
Raíz de la API	Obligatorio. La raíz de la API de la instancia de Proofpoint Targeted Attack Protection (TAP).
Nombre de usuario	Obligatorio. Nombre de usuario de la instancia de Proofpoint TAP. Importante: En la cuenta de Proofpoint TAP, el nombre de usuario es el nombre principal de servicio.
Contraseña	Obligatorio. Clave de API de la instancia de Proofpoint TAP. Importante: En la cuenta de Proofpoint TAP, la contraseña es la clave de API.
Verificar SSL	Opcional. Si está habilitada, esta acción verifica la validez del certificado SSL.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

DecodeURL

Usa la acción DecodeURL para decodificar las URLs codificadas de Proofpoint.

Esta acción se ejecuta en la siguiente entidad de Google SecOps:

URL

Entradas de acciones

Parámetro Descripción

URLs codificadas

Parámetro	Descripción
URLs codificadas	Opcional. Lista de URLs separadas por comas que se van a decodificar. Nota: Las entidades de URL del ámbito de la alerta se decodificarán juntas.
Crear entidades de URL	Opcional. Si se selecciona esta opción, la acción crea una entidad de URL a partir de la URL después de que se haya decodificado correctamente. El valor predeterminado es `Checked`.

Opcional.

Lista de URLs separadas por comas que se van a decodificar.

Crear entidades de URL

Opcional.

Si se selecciona esta opción, la acción crea una entidad de URL a partir de la URL después de que se haya decodificado correctamente.

El valor predeterminado es Checked.

Resultados de la acción

La acción DecodeURL proporciona las siguientes salidas.

Enriquecimiento de entidades

La acción DecodeURL admite la siguiente lógica de enriquecimiento de entidades:

Nombre del campo de enriquecimiento Lógica: cuándo aplicar

URLs codificadas

Nombre del campo de enriquecimiento	Lógica: cuándo aplicar
URLs codificadas	Lista de URLs separadas por comas que se van a decodificar. Nota: Las entidades de URL del ámbito de la alerta se decodificarán juntas.
Crear entidades de URL	Si se selecciona esta opción, la acción crea una entidad de URL decodificada correctamente a partir de la URL después de que se haya decodificado correctamente. El valor predeterminado es `Checked`.

Lista de URLs separadas por comas que se van a decodificar.

Crear entidades de URL

Si se selecciona esta opción, la acción crea una entidad de URL decodificada correctamente a partir de la URL después de que se haya decodificado correctamente.

El valor predeterminado es Checked.

Resultado de secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción DecodeURL:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
decoded_urls	N/A	N/A

GetCampaign

Usa la acción GetCampaign para obtener información de una campaña a partir de su ID.

Esta acción se ejecuta en todas las entidades.

Entradas de acciones

La acción GetCampaign requiere el siguiente parámetro:

Parámetro	Descripción
Campaign ID	Obligatorio. ID de la campaña de la que se quiere obtener información.
Crear estadística	Opcional. Si se selecciona esta opción, la acción crea una estadística con la información de la campaña. Seleccionado de forma predeterminada
Crea una entidad de campaña de amenazas	Opcional. Si se selecciona esta opción, la acción crea una entidad de campaña de amenazas a partir de la información de la campaña. Seleccionado de forma predeterminada
Obtener información forense	Opcional. Si se selecciona esta opción, la acción obtiene información forense de la campaña. Seleccionado de forma predeterminada
Filtro de tipo de prueba forense	Opcional. Lista de tipos de pruebas separadas por comas que se devolverán al obtener información forense. Posibles valores: `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain` y `behavior`.
Número máximo de pruebas forenses que se devolverán	Opcional. Cantidad de pruebas que se deben devolver por campaña. El valor predeterminado es `50`. El valor máximo es `1000`.

Resultados de la acción

La acción GetCampaign proporciona los siguientes resultados.

Resultado de secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción GetCampaign:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
campaign_info	N/A	N/A

Ping

Usa la acción Ping para probar la conectividad de ProofPoint TAP.

Esta acción se ejecuta en todas las entidades.

Entradas de acciones

La acción Ping no requiere ningún parámetro.

Resultados de la acción

La acción Ping proporciona los siguientes resultados.

Resultado de secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.