Se usó la API de Cloud Translation para traducir esta página.

Integra Proofpoint TAP con Google SecOps

En este documento, se explica cómo integrar Proofpoint TAP con Google Security Operations (Google SecOps).

Versión de integración: 11.0

Parámetros de integración

La integración de Proofpoint TAP requiere los siguientes parámetros:

Parámetro	Descripción
Raíz de la API	Obligatorio. Es la raíz de la API de la instancia de Protección contra ataques individualizados (TAP) de Proofpoint.
Nombre de usuario	Obligatorio. Es el nombre de usuario de la instancia de Proofpoint TAP. Importante: En la cuenta de Proofpoint TAP, el nombre de usuario es el nombre del principal de servicio.
Contraseña	Obligatorio. Es la clave de API de la instancia de Proofpoint TAP. Importante: En la cuenta de Proofpoint TAP, la contraseña es la clave de API.
Verificar SSL	Opcional. Si está habilitada, esa acción verifica la validez del certificado SSL.

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.

DecodeURL

Usa la acción DecodeURL para decodificar las URLs codificadas de Proofpoint.

Esta acción se ejecuta en la siguiente entidad de Google SecOps:

URL

Entradas de acción

Parámetro Descripción

URLs codificadas

Parámetro	Descripción
URLs codificadas	Opcional. Es una lista de URLs separadas por comas que se deben decodificar. Nota: Las entidades de URL en el alcance de la alerta se decodificarán juntas.
Crea entidades de URL	Opcional. Si se selecciona, la acción crea una entidad de URL a partir de la URL después de que se decodifica correctamente. El valor predeterminado es `Checked`.

Opcional.

Es una lista de URLs separadas por comas que se deben decodificar.

Crea entidades de URL

Opcional.

Si se selecciona, la acción crea una entidad de URL a partir de la URL después de que se decodifica correctamente.

El valor predeterminado es Checked.

Resultados de la acción

La acción DecodeURL proporciona los siguientes resultados.

Enriquecimiento de entidades

La acción DecodeURL admite la siguiente lógica de enriquecimiento de entidades:

Nombre del campo de enriquecimiento Lógica: Cuándo aplicar

URLs codificadas

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
URLs codificadas	Es una lista de URLs separadas por comas que se deben decodificar. Nota: Las entidades de URL en el alcance de la alerta se decodificarán juntas.
Crea entidades de URL	Si se selecciona, la acción crea una entidad de URL decodificada correctamente a partir de la URL después de que se haya decodificado correctamente. El valor predeterminado es `Checked`.

Es una lista de URLs separadas por comas que se deben decodificar.

Crea entidades de URL

Si se selecciona, la acción crea una entidad de URL decodificada correctamente a partir de la URL después de que se haya decodificado correctamente.

El valor predeterminado es Checked.

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción DecodeURL:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
decoded_urls	N/A	N/A

GetCampaign

Usa la acción GetCampaign para obtener información de la campaña por su ID.

Esta acción se ejecuta en todas las entidades.

Entradas de acción

La acción GetCampaign requiere el siguiente parámetro:

Parámetro	Descripción
ID de la campaña	Obligatorio. Es el ID de la campaña sobre la que se obtendrá información.
Crear estadística	Opcional. Si se selecciona, la acción crea una estadística con la información de la campaña. Esta opción se selecciona de forma predeterminada.
Crea una entidad de campaña de amenazas	Opcional. Si se selecciona, la acción crea una entidad de campaña de amenazas a partir de la información de la campaña. Esta opción se selecciona de forma predeterminada.
Recupera información forense	Opcional. Si se selecciona, la acción recupera información forense de la campaña. Esta opción se selecciona de forma predeterminada.
Filtro de tipo de evidencia forense	Opcional. Es una lista separada por comas de los tipos de evidencia que se devolverán cuando se recupere la información forense. Valores posibles: `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain`, `behavior`.
Cantidad máxima de evidencia forense que se devolverá	Opcional. Es la cantidad de evidencia que se devolverá por campaña. El valor predeterminado es `50`. El valor máximo es `1000`.

Resultados de la acción

La acción GetCampaign proporciona los siguientes resultados.

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción GetCampaign:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
campaign_info	N/A	N/A

Ping

Usa la acción Ping para probar la conectividad de ProofPoint TAP.

Esta acción se ejecuta en todas las entidades.

Entradas de acción

La acción Ping no requiere ningún parámetro.

Resultados de la acción

La acción Ping proporciona los siguientes resultados.

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.