메인 콘텐츠로 건너뛰기

개요

Proofpoint 통합(INT-012)은 Proofpoint Targeted Attack Protection(TAP)의 이메일 보안 위협 이벤트(악성 메시지 및 클릭)를 CaseBender로 수집하여 알림(및 선택적으로 케이스)으로 변환합니다.
권장: 자동 폴링을 활성화하세요. CaseBender는 예약된 일정에 따라 Proofpoint TAP SIEM API에서 직접 새 위협 이벤트를 가져옵니다. 인바운드 엔드포인트가 필요하지 않습니다. 자동 폴링을 참조하세요.
폴링은 Proofpoint TAP SIEM API를 사용하며 service principal + secret(HTTP Basic)으로 인증합니다.

기능

사전 요구 사항

1

SIEM API 자격 증명 생성

Proofpoint TAP 대시보드에서 Settings → Connected Applications로 이동하여 Service Principal을 생성합니다. principalsecret을 복사합니다.
2

네트워크 아웃바운드

CaseBender 폴러가 https://tap-api-v2.proofpoint.com에 도달할 수 있어야 합니다.

CaseBender에서 통합 구성

1

통합 카탈로그 열기

Settings → Integrations → Create로 이동하여 Email Security 카테고리에서 Proofpoint을 선택합니다.
2

API 자격 증명 입력

3

자동 폴링 활성화(권장)

4

케이스 자동 생성 구성

인바운드(자동 폴링)

1

예약 가져오기

각 주기마다 CaseBender는 마지막 커서 이후의 모든 위협 이벤트를 요청합니다. SIEM API는 최대 최근 12시간1시간 윈도우로 제공하므로, CaseBender는 요청 윈도우를 조정하고 API의 queryEndTime 을 다음 커서로 사용합니다.
2

중복 제거

이벤트는 threatID/messageID로 중복 제거되므로 폴링 윈도우가 겹쳐도 중복이 생성되지 않습니다.
3

정규화

각 이벤트는 발신자/수신자/URL 관찰 대상과 분류 태그를 포함한 CaseBender 알림으로 정규화됩니다.
SIEM API는 최근 12시간만 제공하므로 폴링을 지속적으로 활성화하고 주기를 짧게(≤ 5분) 설정하세요. 폴러가 12시간 이상 오프라인이면 해당 윈도우 이전의 이벤트는 소급하여 가져올 수 없습니다.

보안 고려 사항

  • 시크릿 처리 — service principal secret은 통합 설정에 저장됩니다. 조직 정책에 따라 교체하세요.
  • 네트워크 — 아웃바운드를 https://tap-api-v2.proofpoint.com으로 제한하세요.

문제 해결

service principal + secret이 유효하고 TAP가 최근 1시간 내에 위협 활동을 기록했는지 확인하세요. 주기를 5분 이하로 유지하세요.모든 CaseBender 서비스가 실행 중인지 확인하세요 — Docker에서는 docker compose ps에서 workermisp-processor 서비스가 Up 상태여야 합니다.
service principal 또는 secret이 올바르지 않거나, 연결된 애플리케이션이 TAP 대시보드에서 제거되었습니다.

관련 문서