Esta página foi traduzida pela API Cloud Translation.

Integrar o Proofpoint TAP ao Google SecOps

Este documento explica como integrar o Proofpoint TAP ao Google Security Operations (Google SecOps).

Versão da integração: 11.0

Parâmetros de integração

A integração do Proofpoint TAP exige os seguintes parâmetros:

Parâmetro	Descrição
Raiz da API	Obrigatório. A raiz da API da instância do Proofpoint Targeted Attack Protection (TAP).
Nome de usuário	Obrigatório. O nome de usuário da instância do Proofpoint TAP. Importante: na conta do Proofpoint TAP, o nome de usuário é o nome principal do serviço.
Senha	Obrigatório. A chave de API da instância do Proofpoint TAP. Importante: na conta do Proofpoint TAP, "Senha" é a chave de API.
Verificar SSL	Opcional. Se ativada, essa ação verifica a validade do certificado SSL.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

DecodeURL

Use a ação DecodeURL para decodificar os URLs codificados do Proofpoint.

Essa ação é executada na seguinte entidade do Google SecOps:

URL

Entradas de ação

Parâmetro Descrição

URLs codificados

Parâmetro	Descrição
URLs codificados	Opcional. Uma lista de URLs separados por vírgulas a serem decodificados. Observação: as entidades de URL no escopo do alerta serão decodificadas juntas.
Criar entidades de URL	Opcional. Se selecionada, a ação cria uma entidade de URL com base no URL depois que ele é decodificado. O valor padrão é `Checked`.

Opcional.

Uma lista de URLs separados por vírgulas a serem decodificados.

Criar entidades de URL

Opcional.

Se selecionada, a ação cria uma entidade de URL com base no URL depois que ele é decodificado.

O valor padrão é Checked.

Saídas de ação

A ação DecodeURL fornece as seguintes saídas.

Enriquecimento de entidades

A ação DecodeURL é compatível com a seguinte lógica de enriquecimento de entidade:

Nome do campo de enriquecimento Lógica: quando aplicar

URLs codificados

Nome do campo de enriquecimento	Lógica: quando aplicar
URLs codificados	Uma lista de URLs separados por vírgulas a serem decodificados. Observação: as entidades de URL no escopo do alerta serão decodificadas juntas.
Criar entidades de URL	Se selecionada, a ação cria uma entidade de URL decodificada com sucesso do URL após a decodificação. O valor padrão é `Checked`.

Uma lista de URLs separados por vírgulas a serem decodificados.

Criar entidades de URL

Se selecionada, a ação cria uma entidade de URL decodificada com sucesso do URL após a decodificação.

O valor padrão é Checked.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação DecodeURL:

Nome do resultado do script	Opções de valor	Exemplo
decoded_urls	N/A	N/A

GetCampaign

Use a ação GetCampaign para receber informações da campanha pelo ID dela.

Essa ação é executada em todas as entidades.

Entradas de ação

A ação GetCampaign exige o seguinte parâmetro:

Parâmetro	Descrição
ID da campanha	Obrigatório. O ID da campanha sobre a qual você quer receber informações.
Criar insight	Opcional. Se selecionada, a ação cria um insight com as informações da campanha. Essa configuração é selecionada por padrão
Criar entidade de campanha de ameaça	Opcional. Se selecionada, a ação cria uma entidade de campanha de ameaça com base nas informações da campanha. Essa configuração é selecionada por padrão
Buscar informações forenses	Opcional. Se selecionada, a ação vai buscar informações forenses da campanha. Essa configuração é selecionada por padrão
Filtro de tipo de evidência forense	Opcional. Uma lista separada por vírgulas de tipos de evidências a serem retornadas ao buscar informações forenses. Valores possíveis: `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain`, `behavior`.
Max Forensics Evidence To Return	Opcional. A quantidade de evidências a serem retornadas por campanha. O valor padrão é `50`. O valor máximo é `1000`.

Saídas de ação

A ação GetCampaign fornece as seguintes saídas.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação GetCampaign:

Nome do resultado do script	Opções de valor	Exemplo
campaign_info	N/A	N/A

Ping

Use a ação Ping para testar a conectividade do ProofPoint TAP.

Essa ação é executada em todas as entidades.

Entradas de ação

A ação Ping não exige parâmetros.

Saídas de ação

A ação Ping fornece as seguintes saídas.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.