Vai al contenuto principale

Panoramica

L’integrazione di Proofpoint (INT-012) acquisisce gli eventi di minaccia della sicurezza email (messaggi dannosi e clic) da Proofpoint Targeted Attack Protection (TAP) in CaseBender e li trasforma in avvisi (ed eventualmente casi).
Consigliato: abilita il polling automatico. CaseBender estrae nuovi eventi di minaccia direttamente dall’API SIEM di Proofpoint TAP in modo pianificato — senza endpoint in entrata. Vedi Polling automatico.
Il polling utilizza l’API SIEM di Proofpoint TAP, autenticata con un service principal + secret (HTTP Basic).

Funzionalità

Prerequisiti

1

Crea le credenziali dell'API SIEM

Nella dashboard di Proofpoint TAP, vai su Settings → Connected Applications e crea un Service Principal. Copia il principal e il secret.
2

Uscita di rete

Il poller di CaseBender deve raggiungere https://tap-api-v2.proofpoint.com.

Configurare l’integrazione in CaseBender

1

Apri il catalogo delle integrazioni

Vai su Settings → Integrations → Create e scegli Proofpoint nella categoria Email Security.
2

Inserisci le credenziali dell'API

3

Abilita il polling automatico (consigliato)

4

Configura la creazione automatica dei casi

Entrata (polling automatico)

1

Estrazione pianificata

A ogni intervallo, CaseBender richiede tutti gli eventi di minaccia dall’ultimo cursore. L’API SIEM serve al massimo le ultime 12 ore in finestre di un’ora, quindi CaseBender adatta la finestra della richiesta e usa il queryEndTime dell’API come cursore successivo.
2

Deduplicazione

Gli eventi vengono deduplicati per threatID/messageID, quindi finestre di polling sovrapposte non creano mai duplicati.
3

Normalizzazione

Ogni evento viene normalizzato in un avviso di CaseBender con osservabili mittente/destinatario/URL e tag di classificazione.
Poiché l’API SIEM serve solo le ultime 12 ore, mantieni il polling abilitato in modo continuo e imposta un intervallo breve (≤ 5 minuti). Se il poller è offline per più di 12 ore, gli eventi precedenti a quella finestra non possono essere recuperati retroattivamente.

Considerazioni sulla sicurezza

  • Gestione dei segreti — il secret del service principal è memorizzato nelle impostazioni dell’integrazione; ruotalo secondo la policy della tua organizzazione.
  • Rete — limita l’uscita a https://tap-api-v2.proofpoint.com.

Risoluzione dei problemi

Conferma che il service principal + secret siano validi e che TAP abbia registrato attività di minaccia nell’ultima ora. Mantieni l’intervallo a 5 minuti o meno.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker, docker compose ps deve mostrare i servizi worker e misp-processor come Up.
Il service principal o il secret è errato, oppure l’applicazione connessa è stata rimossa nella dashboard di TAP.

Documentazione correlata