> ## Documentation Index
> Fetch the complete documentation index at: https://docs.casebender.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Proofpoint TAP

> SIEM API を使用した自動ポーリング（pull）で Proofpoint Targeted Attack Protection の脅威イベントを CaseBender に取り込みます。

## 概要

Proofpoint 統合（**INT-012**）は、Proofpoint Targeted Attack Protection（TAP）からのメールセキュリティ
脅威イベント（悪意あるメッセージとクリック）を CaseBender に取り込み、アラート（および任意でケース）
に変換します。

<Tip>
  **推奨: 自動ポーリングを有効にしてください。** CaseBender はスケジュールに基づき、
  Proofpoint TAP SIEM API から直接新しい脅威イベントをプルします。インバウンド
  エンドポイントは不要です。
  [自動ポーリング](#インバウンド自動ポーリング) を参照してください。
</Tip>

<Note>
  ポーリングは **Proofpoint TAP SIEM API** を使用し、**service principal + secret**
  （HTTP Basic）で認証します。
</Note>

## 機能

| 機能                 | 方向     | 説明                                                        |
| ------------------ | ------ | --------------------------------------------------------- |
| **脅威のポーリング（pull）** | インバウンド | CaseBender がスケジュールに基づき TAP SIEM API を照会し、新しい脅威イベントを取り込みます |
| メッセージ + クリックイベント   | インバウンド | ブロック/配信されたメッセージとブロック/許可されたクリックを取り込みます                     |
| 観測対象の抽出            | インバウンド | 送信者、受信者、URL、脅威インジケーター                                     |
| 分類によるタグ付け          | インバウンド | 脅威タイプと分類がタグになります                                          |

## 前提条件

<Steps>
  <Step title="SIEM API 認証情報を作成">
    Proofpoint TAP ダッシュボードで **Settings → Connected Applications** に移動し、**Service
    Principal** を作成します。**principal** と **secret** をコピーします。
  </Step>

  <Step title="ネットワーク送信">
    CaseBender のポーラーが `https://tap-api-v2.proofpoint.com` に到達できる必要があります。
  </Step>
</Steps>

## CaseBender で統合を構成

<Steps>
  <Step title="統合カタログを開く">
    **Settings → Integrations → Create** に移動し、**Email Security** カテゴリの **Proofpoint**
    を選択します。
  </Step>

  <Step title="API 認証情報を入力">
    | フィールド             | 説明                                     |
    | ----------------- | -------------------------------------- |
    | Service Principal | TAP SIEM API の service principal       |
    | Secret            | TAP SIEM API の secret                  |
    | API URL（任意）       | 既定 `https://tap-api-v2.proofpoint.com` |
  </Step>

  <Step title="自動ポーリングを有効にする（推奨）">
    | オプション                    | 効果                          |
    | ------------------------ | --------------------------- |
    | `pollingEnabled`         | 脅威イベントのスケジュール取得を有効化         |
    | `pollingIntervalMinutes` | ポーリング間隔（既定 `5`。5 以下に保つ）     |
    | `pollMaxItemsPerRun`     | 実行あたりの取り込み件数の安全上限（既定 `500`） |
  </Step>

  <Step title="ケースの自動作成を構成">
    | オプション                | 効果                                      |
    | -------------------- | --------------------------------------- |
    | `autoCreateCases`    | 各脅威イベントを **ケース** に昇格（脅威/メッセージ ID で重複排除） |
    | `minSeverityForCase` | この深刻度以上の場合のみケースを自動作成                    |
  </Step>
</Steps>

## インバウンド（自動ポーリング）

<Steps>
  <Step title="スケジュール取得">
    各間隔で、CaseBender は前回のカーソル以降のすべての脅威イベントを要求します。SIEM API は最大でも
    **直近 12 時間** を **1 時間のウィンドウ** で提供するため、CaseBender はリクエストのウィンドウを
    調整し、API の `queryEndTime` を次のカーソルとして使用します。
  </Step>

  <Step title="重複排除">
    イベントは **`threatID`/`messageID` で重複排除** されるため、ポーリングウィンドウが重なっても
    重複は作成されません。
  </Step>

  <Step title="正規化">
    各イベントは、送信者/受信者/URL 観測対象と分類タグを含む CaseBender のアラートに正規化されます。
  </Step>
</Steps>

<Warning>
  SIEM API は直近 12 時間のみを提供するため、ポーリングを継続的に有効にし、間隔を短く（≤ 5 分）
  設定してください。ポーラーが 12 時間を超えてオフラインになると、そのウィンドウより前のイベントは
  遡って取得できません。
</Warning>

## セキュリティ上の考慮事項

* **シークレットの取り扱い** — service principal の secret は統合設定に保存されます。組織のポリシー
  に従ってローテーションしてください。
* **ネットワーク** — 送信を `https://tap-api-v2.proofpoint.com` に制限してください。

## トラブルシューティング

<AccordionGroup>
  <Accordion title="ポーリングは有効だがイベントが表示されない">
    service principal + secret が有効で、TAP が直近 1 時間に脅威アクティビティを記録していることを
    確認してください。間隔は 5 分以下に保ちます。

    **CaseBender のすべてのサービスが稼働していることを確認してください** — Docker では
    `docker compose ps` で `worker` と `misp-processor` サービスが `Up` である必要があります。
  </Accordion>

  <Accordion title="401 Unauthorized">
    service principal または secret が正しくないか、接続済みアプリケーションが TAP ダッシュボードで
    削除されています。
  </Accordion>
</AccordionGroup>

## 関連ドキュメント

* [統合の概要](./introduction.mdx)
* [Proofpoint TAP SIEM API](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API)
