> ## Documentation Index
> Fetch the complete documentation index at: https://docs.casebender.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Proofpoint TAP

> Ingérez les événements de menace de Proofpoint Targeted Attack Protection dans CaseBender par interrogation automatique (pull) à l'aide de l'API SIEM.

## Présentation

L'intégration Proofpoint (**INT-012**) ingère les événements de menace de sécurité de la
messagerie (messages malveillants et clics) de Proofpoint Targeted Attack Protection (TAP) dans
CaseBender et les convertit en alertes (et éventuellement en cas).

<Tip>
  **Recommandé : activez l'interrogation automatique.** CaseBender extrait de
  nouveaux événements de menace directement de l'API SIEM de Proofpoint TAP de
  façon planifiée — sans endpoint entrant. Voir
  [Interrogation automatique](#entrant-interrogation-automatique).
</Tip>

<Note>
  L'interrogation utilise l'**API SIEM de Proofpoint TAP**, authentifiée avec un
  **service principal + secret** (HTTP Basic).
</Note>

## Fonctionnalités

| Fonctionnalité                       | Sens    | Description                                                                                           |
| ------------------------------------ | ------- | ----------------------------------------------------------------------------------------------------- |
| **Interrogation des menaces (pull)** | Entrant | CaseBender interroge l'API SIEM de TAP de façon planifiée et ingère les nouveaux événements de menace |
| Événements de messages + clics       | Entrant | Messages bloqués/livrés et clics bloqués/autorisés sont ingérés                                       |
| Extraction d'observables             | Entrant | Expéditeurs, destinataires, URL et indicateurs de menace                                              |
| Étiquetage par classification        | Entrant | Le type de menace et la classification deviennent des tags                                            |

## Prérequis

<Steps>
  <Step title="Créer des identifiants d'API SIEM">
    Dans le tableau de bord Proofpoint TAP, allez dans **Settings → Connected Applications** et
    créez un **Service Principal**. Copiez le **principal** et le **secret**.
  </Step>

  <Step title="Sortie réseau">
    L'interrogateur de CaseBender doit atteindre `https://tap-api-v2.proofpoint.com`.
  </Step>
</Steps>

## Configurer l'intégration dans CaseBender

<Steps>
  <Step title="Ouvrir le catalogue d'intégrations">
    Allez dans **Settings → Integrations → Create**, puis choisissez **Proofpoint** dans la
    catégorie **Email Security**.
  </Step>

  <Step title="Saisir les identifiants d'API">
    | Champ                | Description                                    |
    | -------------------- | ---------------------------------------------- |
    | Service Principal    | Service principal de l'API SIEM de TAP         |
    | Secret               | Secret de l'API SIEM de TAP                    |
    | API URL (facultatif) | Par défaut `https://tap-api-v2.proofpoint.com` |
  </Step>

  <Step title="Activer l'interrogation automatique (recommandé)">
    | Option                   | Effet                                                            |
    | ------------------------ | ---------------------------------------------------------------- |
    | `pollingEnabled`         | Active l'extraction planifiée des événements de menace           |
    | `pollingIntervalMinutes` | Fréquence d'interrogation (par défaut `5` ; gardez à 5 ou moins) |
    | `pollMaxItemsPerRun`     | Limite de sécurité d'éléments par passage (par défaut `500`)     |
  </Step>

  <Step title="Configurer la création automatique de cas">
    | Option               | Effet                                                                               |
    | -------------------- | ----------------------------------------------------------------------------------- |
    | `autoCreateCases`    | Promeut chaque événement de menace en **Cas** (dédupliqué par ID de menace/message) |
    | `minSeverityForCase` | Ne crée automatiquement des cas qu'à partir de cette sévérité                       |
  </Step>
</Steps>

## Entrant (interrogation automatique)

<Steps>
  <Step title="Extraction planifiée">
    À chaque intervalle, CaseBender demande tous les événements de menace depuis le dernier
    curseur. L'API SIEM ne sert au maximum que les **12 dernières heures** par **fenêtres d'une
    heure**, donc CaseBender ajuste la fenêtre de la requête et utilise le `queryEndTime` de l'API
    comme curseur suivant.
  </Step>

  <Step title="Déduplication">
    Les événements sont **dédupliqués par `threatID`/`messageID`**, de sorte que les fenêtres
    d'interrogation qui se chevauchent ne créent jamais de doublons.
  </Step>

  <Step title="Normalisation">
    Chaque événement est normalisé en alerte CaseBender avec des observables
    expéditeur/destinataire/URL et des tags de classification.
  </Step>
</Steps>

<Warning>
  Comme l'API SIEM ne sert que les 12 dernières heures, gardez l'interrogation activée en continu
  et définissez un intervalle court (≤ 5 minutes). Si l'interrogateur est hors ligne plus de 12
  heures, les événements antérieurs à cette fenêtre ne peuvent pas être récupérés rétroactivement.
</Warning>

## Considérations de sécurité

* **Gestion des secrets** — le secret du service principal est stocké dans les paramètres de
  l'intégration ; faites-le tourner selon la politique de votre organisation.
* **Réseau** — restreignez la sortie à `https://tap-api-v2.proofpoint.com`.

## Dépannage

<AccordionGroup>
  <Accordion title="L'interrogation est activée mais aucun événement n'apparaît">
    Confirmez que le service principal + secret sont valides et que TAP a enregistré une activité
    de menace au cours de la dernière heure. Gardez l'intervalle à 5 minutes ou moins.

    **Assurez-vous que tous les services CaseBender fonctionnent** — avec Docker,
    `docker compose ps` doit afficher les services `worker` et `misp-processor` en `Up`.
  </Accordion>

  <Accordion title="401 Unauthorized">
    Le service principal ou le secret est incorrect, ou l'application connectée a été supprimée
    dans le tableau de bord TAP.
  </Accordion>
</AccordionGroup>

## Documentation connexe

* [Présentation des intégrations](./introduction.mdx)
* [API SIEM de Proofpoint TAP](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API)
