Descripción general
La integración de Proofpoint (INT-012) ingiere los eventos de amenazas de seguridad de correo (mensajes maliciosos y clics) de Proofpoint Targeted Attack Protection (TAP) en CaseBender y los convierte en alertas (y opcionalmente casos).El sondeo usa la API SIEM de Proofpoint TAP, autenticada con un service
principal + secret (HTTP Basic).
Capacidades
Requisitos previos
1
Crear credenciales de la API SIEM
En el panel de Proofpoint TAP, vaya a Settings → Connected Applications y cree un
Service Principal. Copie el principal y el secret.
2
Salida de red
El sondeador de CaseBender debe alcanzar
https://tap-api-v2.proofpoint.com.Configurar la integración en CaseBender
1
Abrir el catálogo de integraciones
Vaya a Settings → Integrations → Create y elija Proofpoint en la categoría
Email Security.
2
Introducir las credenciales de la API
3
Activar el sondeo automático (recomendado)
4
Configurar la creación automática de casos
Entrada (sondeo automático, recomendado)
1
Extracción programada
En cada intervalo, CaseBender solicita todos los eventos de amenazas desde el último cursor.
La API SIEM sirve como máximo las últimas 12 horas en ventanas de una hora, por lo que
CaseBender ajusta la ventana de la solicitud y usa el
queryEndTime de la API como el
siguiente cursor.2
Deduplicación
Los eventos se deduplican por
threatID/messageID, por lo que las ventanas de sondeo
superpuestas nunca crean duplicados.3
Normalización
Cada evento se normaliza como una alerta de CaseBender con observables de
remitente/destinatario/URL y etiquetas de clasificación.
Consideraciones de seguridad
- Manejo de secretos — el secret del service principal se almacena en la configuración de la integración; rótelo según la política de su organización.
- Red — restrinja la salida a
https://tap-api-v2.proofpoint.com.
Solución de problemas
El sondeo está activado pero no aparecen eventos
El sondeo está activado pero no aparecen eventos
Confirme que el service principal + secret son válidos y que TAP registró actividad de
amenazas en la última hora. Mantenga el intervalo en 5 minutos o menos.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker,
docker compose ps debe mostrar los servicios worker y misp-processor como Up.