> ## Documentation Index
> Fetch the complete documentation index at: https://docs.casebender.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Proofpoint TAP

> Acquisisci gli eventi di minaccia di Proofpoint Targeted Attack Protection in CaseBender tramite polling automatico (pull) utilizzando l'API SIEM.

## Panoramica

L'integrazione di Proofpoint (**INT-012**) acquisisce gli eventi di minaccia della sicurezza email
(messaggi dannosi e clic) da Proofpoint Targeted Attack Protection (TAP) in CaseBender e li
trasforma in avvisi (ed eventualmente casi).

<Tip>
  **Consigliato: abilita il polling automatico.** CaseBender estrae nuovi eventi
  di minaccia direttamente dall'API SIEM di Proofpoint TAP in modo pianificato —
  senza endpoint in entrata. Vedi
  [Polling automatico](#entrata-polling-automatico).
</Tip>

<Note>
  Il polling utilizza l'**API SIEM di Proofpoint TAP**, autenticata con un **service
  principal + secret** (HTTP Basic).
</Note>

## Funzionalità

| Funzionalità                      | Direzione | Descrizione                                                                                        |
| --------------------------------- | --------- | -------------------------------------------------------------------------------------------------- |
| **Polling delle minacce (pull)**  | Entrata   | CaseBender interroga l'API SIEM di TAP in modo pianificato e acquisisce i nuovi eventi di minaccia |
| Eventi di messaggi + clic         | Entrata   | Vengono acquisiti messaggi bloccati/consegnati e clic bloccati/consentiti                          |
| Estrazione di osservabili         | Entrata   | Mittenti, destinatari, URL e indicatori di minaccia                                                |
| Etichettatura per classificazione | Entrata   | Il tipo di minaccia e la classificazione diventano tag                                             |

## Prerequisiti

<Steps>
  <Step title="Crea le credenziali dell'API SIEM">
    Nella dashboard di Proofpoint TAP, vai su **Settings → Connected Applications** e crea un
    **Service Principal**. Copia il **principal** e il **secret**.
  </Step>

  <Step title="Uscita di rete">
    Il poller di CaseBender deve raggiungere `https://tap-api-v2.proofpoint.com`.
  </Step>
</Steps>

## Configurare l'integrazione in CaseBender

<Steps>
  <Step title="Apri il catalogo delle integrazioni">
    Vai su **Settings → Integrations → Create** e scegli **Proofpoint** nella categoria
    **Email Security**.
  </Step>

  <Step title="Inserisci le credenziali dell'API">
    | Campo                 | Descrizione                                     |
    | --------------------- | ----------------------------------------------- |
    | Service Principal     | Service principal dell'API SIEM di TAP          |
    | Secret                | Secret dell'API SIEM di TAP                     |
    | API URL (facoltativo) | Predefinito `https://tap-api-v2.proofpoint.com` |
  </Step>

  <Step title="Abilita il polling automatico (consigliato)">
    | Opzione                  | Effetto                                                            |
    | ------------------------ | ------------------------------------------------------------------ |
    | `pollingEnabled`         | Attiva l'estrazione pianificata degli eventi di minaccia           |
    | `pollingIntervalMinutes` | Frequenza di polling (predefinito `5`; mantieni a 5 o meno)        |
    | `pollMaxItemsPerRun`     | Limite di sicurezza di elementi per esecuzione (predefinito `500`) |
  </Step>

  <Step title="Configura la creazione automatica dei casi">
    | Opzione              | Effetto                                                                             |
    | -------------------- | ----------------------------------------------------------------------------------- |
    | `autoCreateCases`    | Promuove ogni evento di minaccia a **Caso** (deduplicato per ID minaccia/messaggio) |
    | `minSeverityForCase` | Crea automaticamente casi solo a partire da questa gravità                          |
  </Step>
</Steps>

## Entrata (polling automatico)

<Steps>
  <Step title="Estrazione pianificata">
    A ogni intervallo, CaseBender richiede tutti gli eventi di minaccia dall'ultimo cursore. L'API
    SIEM serve al massimo le **ultime 12 ore** in **finestre di un'ora**, quindi CaseBender adatta
    la finestra della richiesta e usa il `queryEndTime` dell'API come cursore successivo.
  </Step>

  <Step title="Deduplicazione">
    Gli eventi vengono **deduplicati per `threatID`/`messageID`**, quindi finestre di polling
    sovrapposte non creano mai duplicati.
  </Step>

  <Step title="Normalizzazione">
    Ogni evento viene normalizzato in un avviso di CaseBender con osservabili
    mittente/destinatario/URL e tag di classificazione.
  </Step>
</Steps>

<Warning>
  Poiché l'API SIEM serve solo le ultime 12 ore, mantieni il polling abilitato in modo continuo e
  imposta un intervallo breve (≤ 5 minuti). Se il poller è offline per più di 12 ore, gli eventi
  precedenti a quella finestra non possono essere recuperati retroattivamente.
</Warning>

## Considerazioni sulla sicurezza

* **Gestione dei segreti** — il secret del service principal è memorizzato nelle impostazioni
  dell'integrazione; ruotalo secondo la policy della tua organizzazione.
* **Rete** — limita l'uscita a `https://tap-api-v2.proofpoint.com`.

## Risoluzione dei problemi

<AccordionGroup>
  <Accordion title="Il polling è abilitato ma non appaiono eventi">
    Conferma che il service principal + secret siano validi e che TAP abbia registrato attività di
    minaccia nell'ultima ora. Mantieni l'intervallo a 5 minuti o meno.

    **Assicurati che tutti i servizi di CaseBender siano in esecuzione** — con Docker,
    `docker compose ps` deve mostrare i servizi `worker` e `misp-processor` come `Up`.
  </Accordion>

  <Accordion title="401 Unauthorized">
    Il service principal o il secret è errato, oppure l'applicazione connessa è stata rimossa nella
    dashboard di TAP.
  </Accordion>
</AccordionGroup>

## Documentazione correlata

* [Panoramica delle integrazioni](./introduction.mdx)
* [API SIEM di Proofpoint TAP](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API)
