Esta página foi traduzida pela API Cloud Translation.

Integre o Proofpoint TAP com o Google SecOps

Este documento explica como integrar o Proofpoint TAP com o Google Security Operations (Google SecOps).

Versão da integração: 11.0

Parâmetros de integração

A integração do Proofpoint TAP requer os seguintes parâmetros:

Parâmetro	Descrição
Raiz da API	Obrigatório. A raiz da API da instância do Proofpoint Targeted Attack Protection (TAP).
Nome de utilizador	Obrigatório. O nome de utilizador da instância do Proofpoint TAP. Importante: na conta do Proofpoint TAP, o nome de utilizador é o nome principal do serviço.
Palavra-passe	Obrigatório. A chave da API da instância do Proofpoint TAP. Importante: na conta do Proofpoint TAP, a palavra-passe é a chave da API.
Validar SSL	Opcional. Se estiver ativada, essa ação verifica a validade do certificado SSL.

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.

DecodeURL

Use a ação DecodeURL para descodificar os URLs codificados do Proofpoint.

Esta ação é executada na seguinte entidade do Google SecOps:

URL

Dados de ações

Parâmetro Descrição

URLs codificados

Parâmetro	Descrição
URLs codificados	Opcional. Uma lista de URLs separados por vírgulas para descodificar. Nota: as entidades de URL no âmbito do alerta são descodificadas em conjunto.
Crie entidades de URL	Opcional. Se estiver selecionada, a ação cria uma entidade de URL a partir do URL depois de ter sido descodificado com êxito. O valor predefinido é `Checked`.

Opcional.

Uma lista de URLs separados por vírgulas para descodificar.

Crie entidades de URL

Opcional.

Se estiver selecionada, a ação cria uma entidade de URL a partir do URL depois de ter sido descodificado com êxito.

O valor predefinido é Checked.

Resultados da ação

A ação DecodeURL fornece os seguintes resultados.

Enriquecimento de entidades

A ação DecodeURL suporta a seguinte lógica de enriquecimento de entidades:

Nome do campo de enriquecimento Lógica: quando aplicar

URLs codificados

Nome do campo de enriquecimento	Lógica: quando aplicar
URLs codificados	Uma lista de URLs separados por vírgulas para descodificar. Nota: as entidades de URL no âmbito do alerta são descodificadas em conjunto.
Crie entidades de URL	Se estiver selecionada, a ação cria uma entidade de URL descodificada com êxito a partir do URL depois de ter sido descodificado com êxito. O valor predefinido é `Checked`.

Uma lista de URLs separados por vírgulas para descodificar.

Crie entidades de URL

Se estiver selecionada, a ação cria uma entidade de URL descodificada com êxito a partir do URL depois de ter sido descodificado com êxito.

O valor predefinido é Checked.

Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação DecodeURL:

Nome do resultado do script	Opções de valores	Exemplo
decoded_urls	N/A	N/A

Obter campanha

Use a ação GetCampaign para obter informações da campanha através do ID da campanha.

Esta ação é executada em todas as entidades.

Dados de ações

A ação GetCampaign requer o seguinte parâmetro:

Parâmetro	Descrição
ID da campanha	Obrigatório. O ID da campanha sobre a qual quer obter informações.
Crie estatísticas	Opcional. Se estiver selecionada, a ação cria uma estatística com as informações da campanha. Selecionado por predefinição
Crie uma entidade de campanha de ameaças	Opcional. Se selecionada, a ação cria uma entidade de campanha de ameaças a partir das informações da campanha. Selecionado por predefinição
Obtenha informações forenses	Opcional. Se estiver selecionada, a ação obtém informações forenses da campanha. Selecionado por predefinição
Filtro de tipo de prova forense	Opcional. Uma lista separada por vírgulas de tipos de provas a devolver quando são obtidas informações forenses. Valores possíveis: `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain`, `behavior`.
Max Forensics Evidence To Return	Opcional. A quantidade de provas a devolver por campanha. O valor predefinido é `50`. O valor máximo é `1000`.

Resultados da ação

A ação GetCampaign fornece os seguintes resultados.

Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação GetCampaign:

Nome do resultado do script	Opções de valores	Exemplo
campaign_info	N/A	N/A

Tchim-tchim

Use a ação Ping para testar a conetividade do ProofPoint TAP.

Esta ação é executada em todas as entidades.

Dados de ações

A ação Ping não requer parâmetros.

Resultados da ação

A ação Ping fornece os seguintes resultados.

Resultado do script

A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.