Saltar al contenido principal

Descripción general

La integración de Proofpoint (INT-012) ingiere los eventos de amenazas de seguridad de correo (mensajes maliciosos y clics) de Proofpoint Targeted Attack Protection (TAP) en CaseBender y los convierte en alertas (y opcionalmente casos).
Recomendado: active el sondeo automático. CaseBender extrae nuevos eventos de amenazas directamente de la API SIEM de Proofpoint TAP de forma programada — sin endpoint entrante. Véase Sondeo automático.
El sondeo usa la API SIEM de Proofpoint TAP, autenticada con un service principal + secret (HTTP Basic).

Capacidades

Requisitos previos

1

Crear credenciales de la API SIEM

En el panel de Proofpoint TAP, vaya a Settings → Connected Applications y cree un Service Principal. Copie el principal y el secret.
2

Salida de red

El sondeador de CaseBender debe alcanzar https://tap-api-v2.proofpoint.com.

Configurar la integración en CaseBender

1

Abrir el catálogo de integraciones

Vaya a Settings → Integrations → Create y elija Proofpoint en la categoría Email Security.
2

Introducir las credenciales de la API

3

Activar el sondeo automático (recomendado)

4

Configurar la creación automática de casos

Entrada (sondeo automático, recomendado)

1

Extracción programada

En cada intervalo, CaseBender solicita todos los eventos de amenazas desde el último cursor. La API SIEM sirve como máximo las últimas 12 horas en ventanas de una hora, por lo que CaseBender ajusta la ventana de la solicitud y usa el queryEndTime de la API como el siguiente cursor.
2

Deduplicación

Los eventos se deduplican por threatID/messageID, por lo que las ventanas de sondeo superpuestas nunca crean duplicados.
3

Normalización

Cada evento se normaliza como una alerta de CaseBender con observables de remitente/destinatario/URL y etiquetas de clasificación.
Como la API SIEM solo sirve las últimas 12 horas, mantenga el sondeo activado de forma continua y establezca un intervalo corto (≤ 5 minutos). Si el sondeador está fuera de línea más de 12 horas, los eventos anteriores a esa ventana no se pueden recuperar de forma retroactiva.

Consideraciones de seguridad

  • Manejo de secretos — el secret del service principal se almacena en la configuración de la integración; rótelo según la política de su organización.
  • Red — restrinja la salida a https://tap-api-v2.proofpoint.com.

Solución de problemas

Confirme que el service principal + secret son válidos y que TAP registró actividad de amenazas en la última hora. Mantenga el intervalo en 5 minutos o menos.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker, docker compose ps debe mostrar los servicios worker y misp-processor como Up.
El service principal o el secret son incorrectos, o la aplicación conectada se eliminó en el panel de TAP.

Documentación relacionada