整合 Proofpoint TAP 與 Google SecOps
本文說明如何將 Proofpoint TAP 與 Google Security Operations (Google SecOps) 整合。
整合版本:11.0
整合參數
整合 Proofpoint TAP 時,需要下列參數:
| 參數 | 說明 |
|---|---|
| API 根層級 | 必填。 Proofpoint Targeted Attack Protection (TAP) 執行個體的 API 根目錄。 |
| 使用者名稱 | 必填。 Proofpoint TAP 執行個體的使用者名稱。 |
| 密碼 | 必填。 Proofpoint TAP 執行個體的 API 金鑰。 |
| 驗證 SSL | 選填。 如果啟用,這項動作會驗證 SSL 憑證的有效性。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
DecodeURL
使用 DecodeURL 動作解碼 Proofpoint 編碼的網址。
這項動作會在下列 Google SecOps 實體上執行:
URL
動作輸入內容
| 參數 | 說明 |
|---|---|
| 編碼網址 | 選填。 以半形逗號分隔的網址清單,用於解碼。 |
| 建立網址實體 | 選填。 如果選取這個動作,系統會在成功解碼後,從網址建立網址實體。 預設值為 |
動作輸出內容
「DecodeURL」DecodeURL動作會提供下列輸出內容。
實體擴充
「DecodeURL」DecodeURL動作支援下列實體擴充邏輯:
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 編碼網址 | 以半形逗號分隔的網址清單,用於解碼。 |
| 建立網址實體 | 如果選取這個選項,系統會在成功解碼後,從網址建立已成功解碼的網址實體。 預設值為 |
指令碼執行結果
下表說明使用 DecodeURL 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| decoded_urls | 不適用 | 不適用 |
GetCampaign
使用 GetCampaign 動作,依廣告活動 ID 取得廣告活動資訊。
這項操作會對所有實體執行。
動作輸入內容
GetCampaign 動作需要下列參數:
| 參數 | 說明 |
|---|---|
| 廣告活動 ID | 必填。 要取得相關資訊的廣告活動 ID。 |
| 建立洞察資料 | 選填。 如果選取這個選項,系統會根據廣告活動資訊建立洞察。 預設為選取狀態 |
| 建立威脅廣告活動實體 | 選填。 如果選取這個選項,系統會根據廣告活動資訊建立威脅廣告活動實體。 預設為選取狀態 |
| 擷取鑑識資訊 | 選填。 如果選取這個選項,動作會從廣告活動擷取鑑識資訊。 預設為選取狀態 |
| 法庭證據類型篩選器 | 選填。 以半形逗號分隔的證據類型清單,用於擷取鑑識資訊。 可能的值包括:
|
| 要傳回的鑑識證據數量上限 | 選填。 每個廣告活動要傳回的證據數量。 預設值為 最大值為 |
動作輸出內容
GetCampaign 動作會提供下列輸出內容。
指令碼執行結果
下表說明使用 GetCampaign 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| campaign_info | 不適用 | 不適用 |
乒乓
使用「Ping」動作測試 ProofPoint TAP 連線。
這項操作會對所有實體執行。
動作輸入內容
「Ping」動作不需要任何參數。
動作輸出內容
「Ping」動作會提供下列輸出內容。
指令碼執行結果
下表說明使用 Ping 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。