개요
Proofpoint 통합(INT-012)은 Proofpoint Targeted Attack Protection(TAP)의 이메일 보안 위협 이벤트(악성 메시지 및 클릭)를 CaseBender로 수집하여 알림(및 선택적으로 케이스)으로 변환합니다.폴링은 Proofpoint TAP SIEM API를 사용하며 service principal + secret(HTTP
Basic)으로 인증합니다.
기능
사전 요구 사항
1
SIEM API 자격 증명 생성
Proofpoint TAP 대시보드에서 Settings → Connected Applications로 이동하여 Service
Principal을 생성합니다. principal과 secret을 복사합니다.
2
네트워크 아웃바운드
CaseBender 폴러가
https://tap-api-v2.proofpoint.com에 도달할 수 있어야 합니다.CaseBender에서 통합 구성
1
통합 카탈로그 열기
Settings → Integrations → Create로 이동하여 Email Security 카테고리에서 Proofpoint을
선택합니다.
2
API 자격 증명 입력
3
자동 폴링 활성화(권장)
4
케이스 자동 생성 구성
인바운드(자동 폴링)
1
예약 가져오기
각 주기마다 CaseBender는 마지막 커서 이후의 모든 위협 이벤트를 요청합니다. SIEM API는 최대 최근
12시간을 1시간 윈도우로 제공하므로, CaseBender는 요청 윈도우를 조정하고 API의
queryEndTime
을 다음 커서로 사용합니다.2
중복 제거
이벤트는
threatID/messageID로 중복 제거되므로 폴링 윈도우가 겹쳐도 중복이 생성되지
않습니다.3
정규화
각 이벤트는 발신자/수신자/URL 관찰 대상과 분류 태그를 포함한 CaseBender 알림으로 정규화됩니다.
보안 고려 사항
- 시크릿 처리 — service principal secret은 통합 설정에 저장됩니다. 조직 정책에 따라 교체하세요.
- 네트워크 — 아웃바운드를
https://tap-api-v2.proofpoint.com으로 제한하세요.
문제 해결
폴링은 활성화되어 있지만 이벤트가 표시되지 않음
폴링은 활성화되어 있지만 이벤트가 표시되지 않음
service principal + secret이 유효하고 TAP가 최근 1시간 내에 위협 활동을 기록했는지 확인하세요.
주기를 5분 이하로 유지하세요.모든 CaseBender 서비스가 실행 중인지 확인하세요 — Docker에서는
docker compose ps에서
worker 및 misp-processor 서비스가 Up 상태여야 합니다.