このページは Cloud Translation API によって翻訳されました。

Proofpoint TAP を Google SecOps と統合する

このドキュメントでは、Proofpoint TAP を Google Security Operations（Google SecOps）と統合する方法について説明します。

統合バージョン: 11.0

統合のパラメータ

Proofpoint TAP の統合には、次のパラメータが必要です。

パラメータ	説明
API ルート	必須。 Proofpoint Targeted Attack Protection（TAP）インスタンスの API ルート。
ユーザー名	必須。 Proofpoint TAP インスタンスのユーザー名。重要: Proofpoint TAP アカウントでは、ユーザー名はサービスプリンシパル名です。
パスワード	必須。 Proofpoint TAP インスタンスの API キー。重要: Proofpoint TAP アカウントでは、パスワードは API キーです。
SSL を確認する	省略可。有効にすると、そのアクションで SSL 証明書の有効性が検証されます。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。

DecodeURL

DecodeURL アクションを使用して、Proofpoint のエンコードされた URL をデコードします。

このアクションは、次の Google SecOps エンティティに対して実行されます。

URL

アクション入力

パラメータ説明

エンコードされた URL

パラメータ	説明
エンコードされた URL	省略可。デコードする URL のカンマ区切りのリスト。注: アラートのスコープ内の URL エンティティは、まとめてデコードされます。
URL エンティティを作成する	省略可。選択すると、アクションは URL が正常にデコードされた後に URL エンティティを作成します。デフォルト値は `Checked` です。

省略可。

デコードする URL のカンマ区切りのリスト。

URL エンティティを作成する

省略可。

選択すると、アクションは URL が正常にデコードされた後に URL エンティティを作成します。

デフォルト値は Checked です。

アクションの出力

DecodeURL アクションは次の出力を提供します。

エンティティ拡充

DecodeURL アクションは、次のエンティティ拡充ロジックをサポートします。

拡充フィールド名ロジック - 適用するタイミング

エンコードされた URL

拡充フィールド名	ロジック - 適用するタイミング
エンコードされた URL	デコードする URL のカンマ区切りのリスト。注: アラートのスコープ内の URL エンティティは、まとめてデコードされます。
URL エンティティを作成する	選択すると、アクションは URL が正常にデコードされた後、URL から正常にデコードされた URL エンティティを作成します。デフォルト値は `Checked` です。

デコードする URL のカンマ区切りのリスト。

URL エンティティを作成する

選択すると、アクションは URL が正常にデコードされた後、URL から正常にデコードされた URL エンティティを作成します。

デフォルト値は Checked です。

スクリプトの結果

次の表に、DecodeURL アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値のオプション	例
decoded_urls	なし	なし

GetCampaign

GetCampaign アクションを使用して、キャンペーン ID でキャンペーン情報を取得します。

このアクションはすべてのエンティティに対して実行されます。

アクション入力

GetCampaign アクションには次のパラメータが必要です。

パラメータ	説明
キャンペーン ID	必須。情報を取得するキャンペーンの ID。
インサイトの作成	省略可。選択すると、アクションによってキャンペーン情報を含む分析情報が作成されます。デフォルトで選択済み
脅威キャンペーンエンティティを作成する	省略可。選択すると、キャンペーン情報から脅威キャンペーンエンティティが作成されます。デフォルトで選択済み
フォレンジック情報を取得する	省略可。選択すると、アクションによってキャンペーンからフォレンジック情報が取得されます。デフォルトで選択済み
Forensic Evidence Type Filter	省略可。フォレンジック情報を取得するときに返す証拠タイプのカンマ区切りリスト。値は次のいずれかです。 `attachment`、`cookie`、`dns`、`dropper`、`file`、`ids`、`mutex`、`network`、`process`、`registry`、`screenshot`、`url`、`redirect_chain`、`behavior`
返されるフォレンジック証拠の最大数	省略可。キャンペーンごとに返すエビデンスの量。デフォルト値は `50` です。最大値は `1000` です。

アクションの出力

GetCampaign アクションは、次の出力を提供します。

スクリプトの結果

次の表に、GetCampaign アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値のオプション	例
campaign_info	なし	なし

Ping

Ping アクションを使用して、ProofPoint TAP 接続性をテストします。

このアクションはすべてのエンティティに対して実行されます。

アクション入力

Ping アクションにはパラメータは必要ありません。

アクションの出力

[Ping] アクションは次の出力を提供します。

スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値のオプション	例
is_success	True/False	is_success:False

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。