Cette page a été traduite par l'API Cloud Translation.

Intégrer Proofpoint TAP à Google SecOps

Ce document explique comment intégrer Proofpoint TAP à Google Security Operations (Google SecOps).

Version de l'intégration : 11.0

Paramètres d'intégration

L'intégration de Proofpoint TAP nécessite les paramètres suivants :

Paramètre	Description
Racine de l'API	Obligatoire. Racine de l'API de l'instance Proofpoint Targeted Attack Protection (TAP).
Nom d'utilisateur	Obligatoire. Nom d'utilisateur de l'instance Proofpoint TAP. Important : Dans le compte Proofpoint TAP, le nom d'utilisateur correspond au nom principal du service.
Mot de passe	Obligatoire. Clé API de l'instance Proofpoint TAP. Important : Dans le compte Proofpoint TAP, le mot de passe correspond à la clé API.
Vérifier le protocole SSL	Facultatif. Si cette option est activée, l'action vérifie la validité du certificat SSL.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

DecodeURL

Utilisez l'action DecodeURL pour décoder les URL encodées de Proofpoint.

Cette action s'exécute sur l'entité Google SecOps suivante :

URL

Entrées d'action

Paramètre Description

URL encodées

Paramètre	Description
URL encodées	Facultatif. Liste d'URL à décoder, séparées par une virgule. Remarque : Les entités URL dans le champ d'application de l'alerte seront décodées ensemble.
Créer des entités URL	Facultatif. Si cette option est sélectionnée, l'action crée une entité URL à partir de l'URL une fois qu'elle a été décodée. La valeur par défaut est `Checked`.

Facultatif.

Liste d'URL à décoder, séparées par une virgule.

Créer des entités URL

Facultatif.

Si cette option est sélectionnée, l'action crée une entité URL à partir de l'URL une fois qu'elle a été décodée.

La valeur par défaut est Checked.

Sorties d'action

L'action DecodeURL fournit les sorties suivantes.

Enrichissement d'entités

L'action DecodeURL accepte la logique d'enrichissement d'entités suivante :

Nom du champ d'enrichissement Logique : quand les utiliser ?

URL encodées

Nom du champ d'enrichissement	Logique : quand les utiliser ?
URL encodées	Liste d'URL à décoder, séparées par une virgule. Remarque : Les entités URL dans le champ d'application de l'alerte seront décodées ensemble.
Créer des entités URL	Si cette option est sélectionnée, l'action crée une entité URL décodée à partir de l'URL une fois qu'elle a été décodée. La valeur par défaut est `Checked`.

Liste d'URL à décoder, séparées par une virgule.

Créer des entités URL

Si cette option est sélectionnée, l'action crée une entité URL décodée à partir de l'URL une fois qu'elle a été décodée.

La valeur par défaut est Checked.

Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action DecodeURL :

Nom du résultat du script	Options de valeur	Exemple
decoded_urls	N/A	N/A

Obtenir une campagne

Utilisez l'action GetCampaign pour obtenir des informations sur une campagne à partir de son ID.

Cette action s'exécute sur toutes les entités.

Entrées d'action

L'action GetCampaign nécessite le paramètre suivant :

Paramètre	Description
Campaign ID	Obligatoire. Identifiant de la campagne pour laquelle obtenir des informations.
Créer un insight	Facultatif. Si cette option est sélectionnée, l'action crée un insight avec les informations sur la campagne. Sélectionné par défaut
Créer une entité de campagne de menace	Facultatif. Si cette option est sélectionnée, l'action crée une entité de campagne de menace à partir des informations de la campagne. Sélectionné par défaut
Récupérer les informations d'expertise	Facultatif. Si cette option est sélectionnée, l'action récupère les informations d'analyse de la campagne. Sélectionné par défaut
Filtre par type de preuve médico-légale	Facultatif. Liste de types de preuves séparés par une virgule à renvoyer lors de la récupération d'informations médico-légales. Valeurs possibles : `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain`, `behavior`.
Nombre maximal de résultats d'analyse à renvoyer	Facultatif. Quantité de preuves à renvoyer par campagne. La valeur par défaut est `50`. La valeur maximale est de `1000`.

Sorties d'action

L'action GetCampaign fournit les sorties suivantes.

Résultat du script

Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action GetCampaign :

Nom du résultat du script	Options de valeur	Exemple
campaign_info	N/A	N/A

Ping

Utilisez l'action Ping pour tester la connectivité ProofPoint TAP.

Cette action s'exécute sur toutes les entités.

Entrées d'action

L'action Ping ne nécessite aucun paramètre.

Sorties d'action

L'action Ping fournit les résultats suivants.

Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.