Integrar o Proofpoint TAP ao Google SecOps

Este documento explica como integrar o Proofpoint TAP ao Google Security Operations (Google SecOps).

Versão da integração: 11.0

Parâmetros de integração

A integração do Proofpoint TAP exige os seguintes parâmetros:

Parâmetro	Descrição
Raiz da API	Obrigatório. A raiz da API da instância do Proofpoint Targeted Attack Protection (TAP).
Nome de usuário	Obrigatório. O nome de usuário da instância do Proofpoint TAP. Importante: na conta do Proofpoint TAP, o nome de usuário é o Nome principal do serviço.
Senha	Obrigatório. A chave de API da instância do Proofpoint TAP. Importante: na conta do Proofpoint TAP, "Senha" é a chave de API.
Verificar SSL	Opcional. Se ativada, essa ação verifica a validade do certificado SSL.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

DecodeURL

Use a ação DecodeURL para decodificar os URLs codificados do Proofpoint.

Essa ação é executada na seguinte entidade do Google SecOps:

URL

Entradas de ação

Parâmetro Descrição

URLs codificados

Parâmetro	Descrição
URLs codificados	Opcional. Uma lista de URLs separados por vírgulas a serem decodificados. Observação: as entidades de URL no escopo do alerta serão decodificadas juntas.
Criar entidades de URL	Opcional. Se selecionada, a ação cria uma entidade de URL com base no URL depois que ele é decodificado. O valor padrão é `Checked`.

Opcional.

Uma lista de URLs separados por vírgulas a serem decodificados.

Criar entidades de URL

Opcional.

Se selecionada, a ação cria uma entidade de URL com base no URL depois que ele é decodificado.

O valor padrão é Checked.

Saídas de ação

A ação DecodeURL fornece as seguintes saídas.

Enriquecimento de entidades

A ação DecodeURL é compatível com a seguinte lógica de enriquecimento de entidade:

Nome do campo de enriquecimento Lógica: quando aplicar

URLs codificados

Nome do campo de enriquecimento	Lógica: quando aplicar
URLs codificados	Uma lista de URLs separados por vírgulas a serem decodificados. Observação: as entidades de URL no escopo do alerta serão decodificadas juntas.
Criar entidades de URL	Se selecionada, a ação cria uma entidade de URL decodificada com sucesso do URL após a decodificação. O valor padrão é `Checked`.

Uma lista de URLs separados por vírgulas a serem decodificados.

Criar entidades de URL

Se selecionada, a ação cria uma entidade de URL decodificada com sucesso do URL após a decodificação.

O valor padrão é Checked.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação DecodeURL:

Nome do resultado do script	Opções de valor	Exemplo
decoded_urls	N/A	N/A

GetCampaign

Use a ação GetCampaign para receber informações da campanha pelo ID dela.

Essa ação é executada em todas as entidades.

Entradas de ação

A ação GetCampaign exige o seguinte parâmetro:

Parâmetro	Descrição
ID da campanha	Obrigatório. O ID da campanha sobre a qual você quer receber informações.
Criar insight	Opcional. Se selecionada, a ação cria um insight com as informações da campanha. Essa configuração é selecionada por padrão
Criar entidade de campanha de ameaça	Opcional. Se selecionada, a ação cria uma entidade de campanha de ameaça com base nas informações da campanha. Essa configuração é selecionada por padrão
Buscar informações forenses	Opcional. Se selecionada, a ação vai buscar informações forenses da campanha. Essa configuração é selecionada por padrão
Filtro de tipo de evidência forense	Opcional. Uma lista separada por vírgulas de tipos de evidências a serem retornadas ao buscar informações forenses. Valores possíveis: `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain`, `behavior`.
Max Forensics Evidence To Return	Opcional. A quantidade de evidências a serem retornadas por campanha. O valor padrão é `50`. O valor máximo é `1000`.

Saídas de ação

A ação GetCampaign fornece as seguintes saídas.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação GetCampaign:

Nome do resultado do script	Opções de valor	Exemplo
campaign_info	N/A	N/A

Ping

Use a ação Ping para testar a conectividade do Proofpoint TAP.

Essa ação é executada em todas as entidades.

Entradas de ação

A ação Ping não exige parâmetros.

Saídas de ação

A ação Ping fornece as seguintes saídas.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.