> ## Documentation Index
> Fetch the complete documentation index at: https://docs.casebender.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Proofpoint TAP

> SIEM API를 사용한 자동 폴링(pull)으로 Proofpoint Targeted Attack Protection 위협 이벤트를 CaseBender로 수집합니다.

## 개요

Proofpoint 통합(**INT-012**)은 Proofpoint Targeted Attack Protection(TAP)의 이메일 보안 위협
이벤트(악성 메시지 및 클릭)를 CaseBender로 수집하여 알림(및 선택적으로 케이스)으로 변환합니다.

<Tip>
  **권장: 자동 폴링을 활성화하세요.** CaseBender는 예약된 일정에 따라 Proofpoint TAP
  SIEM API에서 직접 새 위협 이벤트를 가져옵니다. 인바운드 엔드포인트가 필요하지
  않습니다. [자동 폴링](#인바운드자동-폴링)을 참조하세요.
</Tip>

<Note>
  폴링은 **Proofpoint TAP SIEM API**를 사용하며 **service principal + secret**(HTTP
  Basic)으로 인증합니다.
</Note>

## 기능

| 기능              | 방향   | 설명                                                        |
| --------------- | ---- | --------------------------------------------------------- |
| **위협 폴링(pull)** | 인바운드 | CaseBender가 예약된 일정에 따라 TAP SIEM API를 조회하고 새 위협 이벤트를 수집합니다 |
| 메시지 + 클릭 이벤트    | 인바운드 | 차단/전달된 메시지와 차단/허용된 클릭을 수집합니다                              |
| 관찰 대상 추출        | 인바운드 | 발신자, 수신자, URL, 위협 인디케이터                                   |
| 분류별 태그 지정       | 인바운드 | 위협 유형과 분류가 태그가 됩니다                                        |

## 사전 요구 사항

<Steps>
  <Step title="SIEM API 자격 증명 생성">
    Proofpoint TAP 대시보드에서 **Settings → Connected Applications**로 이동하여 **Service
    Principal**을 생성합니다. **principal**과 **secret**을 복사합니다.
  </Step>

  <Step title="네트워크 아웃바운드">
    CaseBender 폴러가 `https://tap-api-v2.proofpoint.com`에 도달할 수 있어야 합니다.
  </Step>
</Steps>

## CaseBender에서 통합 구성

<Steps>
  <Step title="통합 카탈로그 열기">
    **Settings → Integrations → Create**로 이동하여 **Email Security** 카테고리에서 **Proofpoint**을
    선택합니다.
  </Step>

  <Step title="API 자격 증명 입력">
    | 필드                | 설명                                      |
    | ----------------- | --------------------------------------- |
    | Service Principal | TAP SIEM API service principal          |
    | Secret            | TAP SIEM API secret                     |
    | API URL(선택)       | 기본값 `https://tap-api-v2.proofpoint.com` |
  </Step>

  <Step title="자동 폴링 활성화(권장)">
    | 옵션                       | 효과                         |
    | ------------------------ | -------------------------- |
    | `pollingEnabled`         | 위협 이벤트의 예약 가져오기 활성화        |
    | `pollingIntervalMinutes` | 폴링 주기(기본값 `5`. 5 이하로 유지)   |
    | `pollMaxItemsPerRun`     | 실행당 수집 항목 안전 상한(기본값 `500`) |
  </Step>

  <Step title="케이스 자동 생성 구성">
    | 옵션                   | 효과                                      |
    | -------------------- | --------------------------------------- |
    | `autoCreateCases`    | 각 위협 이벤트를 **케이스**로 승격(위협/메시지 ID로 중복 제거) |
    | `minSeverityForCase` | 이 심각도 이상일 때만 케이스를 자동 생성                 |
  </Step>
</Steps>

## 인바운드(자동 폴링)

<Steps>
  <Step title="예약 가져오기">
    각 주기마다 CaseBender는 마지막 커서 이후의 모든 위협 이벤트를 요청합니다. SIEM API는 최대 **최근
    12시간**을 **1시간 윈도우**로 제공하므로, CaseBender는 요청 윈도우를 조정하고 API의 `queryEndTime`
    을 다음 커서로 사용합니다.
  </Step>

  <Step title="중복 제거">
    이벤트는 **`threatID`/`messageID`로 중복 제거**되므로 폴링 윈도우가 겹쳐도 중복이 생성되지
    않습니다.
  </Step>

  <Step title="정규화">
    각 이벤트는 발신자/수신자/URL 관찰 대상과 분류 태그를 포함한 CaseBender 알림으로 정규화됩니다.
  </Step>
</Steps>

<Warning>
  SIEM API는 최근 12시간만 제공하므로 폴링을 지속적으로 활성화하고 주기를 짧게(≤ 5분) 설정하세요.
  폴러가 12시간 이상 오프라인이면 해당 윈도우 이전의 이벤트는 소급하여 가져올 수 없습니다.
</Warning>

## 보안 고려 사항

* **시크릿 처리** — service principal secret은 통합 설정에 저장됩니다. 조직 정책에 따라 교체하세요.
* **네트워크** — 아웃바운드를 `https://tap-api-v2.proofpoint.com`으로 제한하세요.

## 문제 해결

<AccordionGroup>
  <Accordion title="폴링은 활성화되어 있지만 이벤트가 표시되지 않음">
    service principal + secret이 유효하고 TAP가 최근 1시간 내에 위협 활동을 기록했는지 확인하세요.
    주기를 5분 이하로 유지하세요.

    **모든 CaseBender 서비스가 실행 중인지 확인하세요** — Docker에서는 `docker compose ps`에서
    `worker` 및 `misp-processor` 서비스가 `Up` 상태여야 합니다.
  </Accordion>

  <Accordion title="401 Unauthorized">
    service principal 또는 secret이 올바르지 않거나, 연결된 애플리케이션이 TAP 대시보드에서
    제거되었습니다.
  </Accordion>
</AccordionGroup>

## 관련 문서

* [통합 개요](./introduction.mdx)
* [Proofpoint TAP SIEM API](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API)
