将 Proofpoint TAP 与 Google SecOps 集成
本文档介绍了如何将 Proofpoint TAP 与 Google Security Operations (Google SecOps) 集成。
集成版本:11.0
集成参数
Proofpoint TAP 集成需要以下参数:
| 参数 | 说明 |
|---|---|
| API 根 | 必填。 Proofpoint Targeted Attack Protection (TAP) 实例的 API 根。 |
| 用户名 | 必填。 Proofpoint TAP 实例的用户名。 |
| 密码 | 必填。 Proofpoint TAP 实例的 API 密钥。 |
| 验证 SSL | 可选。 如果启用,该操作会验证 SSL 证书的有效性。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
DecodeURL
使用 DecodeURL 操作解码 Proofpoint 的编码网址。
此操作在以下 Google SecOps 实体上运行:
URL
操作输入
| 参数 | 说明 |
|---|---|
| 编码后的网址 | 可选。 要解码的网址的逗号分隔列表。 |
| 创建网址实体 | 可选。 如果选择此项,该操作会在成功解码网址后,根据该网址创建一个网址实体。 默认值为 |
操作输出
DecodeURL 操作提供以下输出。
实体扩充
DecodeURL 操作支持以下实体丰富逻辑:
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 编码后的网址 | 要解码的网址的逗号分隔列表。 |
| 创建网址实体 | 如果选择此项,则操作会在成功解码网址后,从该网址创建一个成功解码的网址实体。 默认值为 |
脚本结果
下表介绍了使用 DecodeURL 操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| decoded_urls | 不适用 | 不适用 |
GetCampaign
使用 GetCampaign 操作可按广告系列 ID 获取广告系列信息。
此操作会在所有实体上运行。
操作输入
GetCampaign 操作需要以下参数:
| 参数 | 说明 |
|---|---|
| 广告系列 ID | 必填。 要获取其相关信息的广告系列的 ID。 |
| 创建分析数据 | 可选。 如果选择此项,该操作会根据广告系列信息创建数据洞见。 默认处于选中状态 |
| 创建威胁宣传活动实体 | 可选。 如果选择此操作,系统会根据广告系列信息创建威胁广告系列实体。 默认处于选中状态 |
| 提取取证信息 | 可选。 如果选中,该操作会从广告系列中提取取证信息。 默认处于选中状态 |
| 法庭证据类型过滤条件 | 可选。 在提取取证信息时要返回的证据类型(以英文逗号分隔的列表)。 可能的值:
|
| 要返回的取证证据数量上限 | 可选。 每个广告系列要返回的证据数量。 默认值为 最大值为 |
操作输出
GetCampaign 操作提供以下输出。
脚本结果
下表介绍了使用 GetCampaign 操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| campaign_info | 不适用 | 不适用 |
Ping
使用 Ping 操作测试 ProofPoint TAP 连接。
此操作会在所有实体上运行。
操作输入
Ping 操作不需要任何参数。
操作输出
Ping 操作提供以下输出。
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。