Passer au contenu principal

Présentation

L’intégration Proofpoint (INT-012) ingère les événements de menace de sécurité de la messagerie (messages malveillants et clics) de Proofpoint Targeted Attack Protection (TAP) dans CaseBender et les convertit en alertes (et éventuellement en cas).
Recommandé : activez l’interrogation automatique. CaseBender extrait de nouveaux événements de menace directement de l’API SIEM de Proofpoint TAP de façon planifiée — sans endpoint entrant. Voir Interrogation automatique.
L’interrogation utilise l’API SIEM de Proofpoint TAP, authentifiée avec un service principal + secret (HTTP Basic).

Fonctionnalités

Prérequis

1

Créer des identifiants d'API SIEM

Dans le tableau de bord Proofpoint TAP, allez dans Settings → Connected Applications et créez un Service Principal. Copiez le principal et le secret.
2

Sortie réseau

L’interrogateur de CaseBender doit atteindre https://tap-api-v2.proofpoint.com.

Configurer l’intégration dans CaseBender

1

Ouvrir le catalogue d'intégrations

Allez dans Settings → Integrations → Create, puis choisissez Proofpoint dans la catégorie Email Security.
2

Saisir les identifiants d'API

3

Activer l'interrogation automatique (recommandé)

4

Configurer la création automatique de cas

Entrant (interrogation automatique)

1

Extraction planifiée

À chaque intervalle, CaseBender demande tous les événements de menace depuis le dernier curseur. L’API SIEM ne sert au maximum que les 12 dernières heures par fenêtres d’une heure, donc CaseBender ajuste la fenêtre de la requête et utilise le queryEndTime de l’API comme curseur suivant.
2

Déduplication

Les événements sont dédupliqués par threatID/messageID, de sorte que les fenêtres d’interrogation qui se chevauchent ne créent jamais de doublons.
3

Normalisation

Chaque événement est normalisé en alerte CaseBender avec des observables expéditeur/destinataire/URL et des tags de classification.
Comme l’API SIEM ne sert que les 12 dernières heures, gardez l’interrogation activée en continu et définissez un intervalle court (≤ 5 minutes). Si l’interrogateur est hors ligne plus de 12 heures, les événements antérieurs à cette fenêtre ne peuvent pas être récupérés rétroactivement.

Considérations de sécurité

  • Gestion des secrets — le secret du service principal est stocké dans les paramètres de l’intégration ; faites-le tourner selon la politique de votre organisation.
  • Réseau — restreignez la sortie à https://tap-api-v2.proofpoint.com.

Dépannage

Confirmez que le service principal + secret sont valides et que TAP a enregistré une activité de menace au cours de la dernière heure. Gardez l’intervalle à 5 minutes ou moins.Assurez-vous que tous les services CaseBender fonctionnent — avec Docker, docker compose ps doit afficher les services worker et misp-processor en Up.
Le service principal ou le secret est incorrect, ou l’application connectée a été supprimée dans le tableau de bord TAP.

Documentation connexe