Présentation
L’intégration Proofpoint (INT-012) ingère les événements de menace de sécurité de la messagerie (messages malveillants et clics) de Proofpoint Targeted Attack Protection (TAP) dans CaseBender et les convertit en alertes (et éventuellement en cas).L’interrogation utilise l’API SIEM de Proofpoint TAP, authentifiée avec un
service principal + secret (HTTP Basic).
Fonctionnalités
Prérequis
1
Créer des identifiants d'API SIEM
Dans le tableau de bord Proofpoint TAP, allez dans Settings → Connected Applications et
créez un Service Principal. Copiez le principal et le secret.
2
Sortie réseau
L’interrogateur de CaseBender doit atteindre
https://tap-api-v2.proofpoint.com.Configurer l’intégration dans CaseBender
1
Ouvrir le catalogue d'intégrations
Allez dans Settings → Integrations → Create, puis choisissez Proofpoint dans la
catégorie Email Security.
2
Saisir les identifiants d'API
3
Activer l'interrogation automatique (recommandé)
4
Configurer la création automatique de cas
Entrant (interrogation automatique)
1
Extraction planifiée
À chaque intervalle, CaseBender demande tous les événements de menace depuis le dernier
curseur. L’API SIEM ne sert au maximum que les 12 dernières heures par fenêtres d’une
heure, donc CaseBender ajuste la fenêtre de la requête et utilise le
queryEndTime de l’API
comme curseur suivant.2
Déduplication
Les événements sont dédupliqués par
threatID/messageID, de sorte que les fenêtres
d’interrogation qui se chevauchent ne créent jamais de doublons.3
Normalisation
Chaque événement est normalisé en alerte CaseBender avec des observables
expéditeur/destinataire/URL et des tags de classification.
Considérations de sécurité
- Gestion des secrets — le secret du service principal est stocké dans les paramètres de l’intégration ; faites-le tourner selon la politique de votre organisation.
- Réseau — restreignez la sortie à
https://tap-api-v2.proofpoint.com.
Dépannage
L'interrogation est activée mais aucun événement n'apparaît
L'interrogation est activée mais aucun événement n'apparaît
Confirmez que le service principal + secret sont valides et que TAP a enregistré une activité
de menace au cours de la dernière heure. Gardez l’intervalle à 5 minutes ou moins.Assurez-vous que tous les services CaseBender fonctionnent — avec Docker,
docker compose ps doit afficher les services worker et misp-processor en Up.