> ## Documentation Index
> Fetch the complete documentation index at: https://docs.casebender.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Proofpoint TAP

> Ingiera los eventos de amenazas de Proofpoint Targeted Attack Protection en CaseBender mediante sondeo automático (pull) usando la API SIEM.

## Descripción general

La integración de Proofpoint (**INT-012**) ingiere los eventos de amenazas de seguridad de correo
(mensajes maliciosos y clics) de Proofpoint Targeted Attack Protection (TAP) en CaseBender y los
convierte en alertas (y opcionalmente casos).

<Tip>
  **Recomendado: active el sondeo automático.** CaseBender extrae nuevos eventos
  de amenazas directamente de la API SIEM de Proofpoint TAP de forma programada —
  sin endpoint entrante. Véase
  [Sondeo automático](#entrada-sondeo-automatico-recomendado).
</Tip>

<Note>
  El sondeo usa la **API SIEM de Proofpoint TAP**, autenticada con un **service
  principal + secret** (HTTP Basic).
</Note>

## Capacidades

| Capacidad                     | Dirección | Descripción                                                                                     |
| ----------------------------- | --------- | ----------------------------------------------------------------------------------------------- |
| **Sondeo de amenazas (pull)** | Entrante  | CaseBender consulta la API SIEM de TAP de forma programada e ingiere nuevos eventos de amenazas |
| Eventos de mensajes + clics   | Entrante  | Se ingieren mensajes bloqueados/entregados y clics bloqueados/permitidos                        |
| Extracción de observables     | Entrante  | Remitentes, destinatarios, URL e indicadores de amenaza                                         |
| Etiquetado por clasificación  | Entrante  | El tipo de amenaza y la clasificación se convierten en etiquetas                                |

## Requisitos previos

<Steps>
  <Step title="Crear credenciales de la API SIEM">
    En el panel de Proofpoint TAP, vaya a **Settings → Connected Applications** y cree un
    **Service Principal**. Copie el **principal** y el **secret**.
  </Step>

  <Step title="Salida de red">
    El sondeador de CaseBender debe alcanzar `https://tap-api-v2.proofpoint.com`.
  </Step>
</Steps>

## Configurar la integración en CaseBender

<Steps>
  <Step title="Abrir el catálogo de integraciones">
    Vaya a **Settings → Integrations → Create** y elija **Proofpoint** en la categoría
    **Email Security**.
  </Step>

  <Step title="Introducir las credenciales de la API">
    | Campo              | Descripción                                     |
    | ------------------ | ----------------------------------------------- |
    | Service Principal  | Service principal de la API SIEM de TAP         |
    | Secret             | Secret de la API SIEM de TAP                    |
    | API URL (opcional) | Por defecto `https://tap-api-v2.proofpoint.com` |
  </Step>

  <Step title="Activar el sondeo automático (recomendado)">
    | Opción                   | Efecto                                                             |
    | ------------------------ | ------------------------------------------------------------------ |
    | `pollingEnabled`         | Activa la extracción programada de eventos de amenazas             |
    | `pollingIntervalMinutes` | Frecuencia de sondeo (por defecto `5`; manténgalo en 5 o menos)    |
    | `pollMaxItemsPerRun`     | Límite de seguridad de elementos por ejecución (por defecto `500`) |
  </Step>

  <Step title="Configurar la creación automática de casos">
    | Opción               | Efecto                                                                                |
    | -------------------- | ------------------------------------------------------------------------------------- |
    | `autoCreateCases`    | Promueve cada evento de amenaza a un **Caso** (deduplicado por ID de amenaza/mensaje) |
    | `minSeverityForCase` | Solo crea casos automáticamente a partir de esta severidad                            |
  </Step>
</Steps>

## Entrada (sondeo automático, recomendado)

<Steps>
  <Step title="Extracción programada">
    En cada intervalo, CaseBender solicita todos los eventos de amenazas desde el último cursor.
    La API SIEM sirve como máximo las **últimas 12 horas** en **ventanas de una hora**, por lo que
    CaseBender ajusta la ventana de la solicitud y usa el `queryEndTime` de la API como el
    siguiente cursor.
  </Step>

  <Step title="Deduplicación">
    Los eventos se **deduplican por `threatID`/`messageID`**, por lo que las ventanas de sondeo
    superpuestas nunca crean duplicados.
  </Step>

  <Step title="Normalización">
    Cada evento se normaliza como una alerta de CaseBender con observables de
    remitente/destinatario/URL y etiquetas de clasificación.
  </Step>
</Steps>

<Warning>
  Como la API SIEM solo sirve las últimas 12 horas, mantenga el sondeo activado de forma continua
  y establezca un intervalo corto (≤ 5 minutos). Si el sondeador está fuera de línea más de 12
  horas, los eventos anteriores a esa ventana no se pueden recuperar de forma retroactiva.
</Warning>

## Consideraciones de seguridad

* **Manejo de secretos** — el secret del service principal se almacena en la configuración de la
  integración; rótelo según la política de su organización.
* **Red** — restrinja la salida a `https://tap-api-v2.proofpoint.com`.

## Solución de problemas

<AccordionGroup>
  <Accordion title="El sondeo está activado pero no aparecen eventos">
    Confirme que el service principal + secret son válidos y que TAP registró actividad de
    amenazas en la última hora. Mantenga el intervalo en 5 minutos o menos.

    **Asegúrese de que todos los servicios de CaseBender estén en ejecución** — con Docker,
    `docker compose ps` debe mostrar los servicios `worker` y `misp-processor` como `Up`.
  </Accordion>

  <Accordion title="401 Unauthorized">
    El service principal o el secret son incorrectos, o la aplicación conectada se eliminó en el
    panel de TAP.
  </Accordion>
</AccordionGroup>

## Documentación relacionada

* [Descripción general de integraciones](./introduction.mdx)
* [API SIEM de Proofpoint TAP](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API)
