概要
Proofpoint 統合(INT-012)は、Proofpoint Targeted Attack Protection(TAP)からのメールセキュリティ 脅威イベント(悪意あるメッセージとクリック)を CaseBender に取り込み、アラート(および任意でケース) に変換します。ポーリングは Proofpoint TAP SIEM API を使用し、service principal + secret
(HTTP Basic)で認証します。
機能
前提条件
1
SIEM API 認証情報を作成
Proofpoint TAP ダッシュボードで Settings → Connected Applications に移動し、Service
Principal を作成します。principal と secret をコピーします。
2
ネットワーク送信
CaseBender のポーラーが
https://tap-api-v2.proofpoint.com に到達できる必要があります。CaseBender で統合を構成
1
統合カタログを開く
Settings → Integrations → Create に移動し、Email Security カテゴリの Proofpoint
を選択します。
2
API 認証情報を入力
3
自動ポーリングを有効にする(推奨)
4
ケースの自動作成を構成
インバウンド(自動ポーリング)
1
スケジュール取得
各間隔で、CaseBender は前回のカーソル以降のすべての脅威イベントを要求します。SIEM API は最大でも
直近 12 時間 を 1 時間のウィンドウ で提供するため、CaseBender はリクエストのウィンドウを
調整し、API の
queryEndTime を次のカーソルとして使用します。2
重複排除
イベントは
threatID/messageID で重複排除 されるため、ポーリングウィンドウが重なっても
重複は作成されません。3
正規化
各イベントは、送信者/受信者/URL 観測対象と分類タグを含む CaseBender のアラートに正規化されます。
セキュリティ上の考慮事項
- シークレットの取り扱い — service principal の secret は統合設定に保存されます。組織のポリシー に従ってローテーションしてください。
- ネットワーク — 送信を
https://tap-api-v2.proofpoint.comに制限してください。
トラブルシューティング
ポーリングは有効だがイベントが表示されない
ポーリングは有効だがイベントが表示されない
service principal + secret が有効で、TAP が直近 1 時間に脅威アクティビティを記録していることを
確認してください。間隔は 5 分以下に保ちます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では
docker compose ps で worker と misp-processor サービスが Up である必要があります。