メインコンテンツへスキップ

概要

Proofpoint 統合(INT-012)は、Proofpoint Targeted Attack Protection(TAP)からのメールセキュリティ 脅威イベント(悪意あるメッセージとクリック)を CaseBender に取り込み、アラート(および任意でケース) に変換します。
推奨: 自動ポーリングを有効にしてください。 CaseBender はスケジュールに基づき、 Proofpoint TAP SIEM API から直接新しい脅威イベントをプルします。インバウンド エンドポイントは不要です。 自動ポーリング を参照してください。
ポーリングは Proofpoint TAP SIEM API を使用し、service principal + secret (HTTP Basic)で認証します。

機能

前提条件

1

SIEM API 認証情報を作成

Proofpoint TAP ダッシュボードで Settings → Connected Applications に移動し、Service Principal を作成します。principalsecret をコピーします。
2

ネットワーク送信

CaseBender のポーラーが https://tap-api-v2.proofpoint.com に到達できる必要があります。

CaseBender で統合を構成

1

統合カタログを開く

Settings → Integrations → Create に移動し、Email Security カテゴリの Proofpoint を選択します。
2

API 認証情報を入力

3

自動ポーリングを有効にする(推奨)

4

ケースの自動作成を構成

インバウンド(自動ポーリング)

1

スケジュール取得

各間隔で、CaseBender は前回のカーソル以降のすべての脅威イベントを要求します。SIEM API は最大でも 直近 12 時間1 時間のウィンドウ で提供するため、CaseBender はリクエストのウィンドウを 調整し、API の queryEndTime を次のカーソルとして使用します。
2

重複排除

イベントは threatID/messageID で重複排除 されるため、ポーリングウィンドウが重なっても 重複は作成されません。
3

正規化

各イベントは、送信者/受信者/URL 観測対象と分類タグを含む CaseBender のアラートに正規化されます。
SIEM API は直近 12 時間のみを提供するため、ポーリングを継続的に有効にし、間隔を短く(≤ 5 分) 設定してください。ポーラーが 12 時間を超えてオフラインになると、そのウィンドウより前のイベントは 遡って取得できません。

セキュリティ上の考慮事項

  • シークレットの取り扱い — service principal の secret は統合設定に保存されます。組織のポリシー に従ってローテーションしてください。
  • ネットワーク — 送信を https://tap-api-v2.proofpoint.com に制限してください。

トラブルシューティング

service principal + secret が有効で、TAP が直近 1 時間に脅威アクティビティを記録していることを 確認してください。間隔は 5 分以下に保ちます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では docker compose psworkermisp-processor サービスが Up である必要があります。
service principal または secret が正しくないか、接続済みアプリケーションが TAP ダッシュボードで 削除されています。

関連ドキュメント