Pular para o conteúdo principal

Visão geral

A integração do Proofpoint (INT-012) ingere os eventos de ameaça de segurança de e-mail (mensagens maliciosas e cliques) do Proofpoint Targeted Attack Protection (TAP) no CaseBender e os converte em alertas (e opcionalmente casos).
Recomendado: ative a sondagem automática. O CaseBender extrai novos eventos de ameaça diretamente da API SIEM do Proofpoint TAP de forma agendada — sem endpoint de entrada. Consulte Sondagem automática.
A sondagem usa a API SIEM do Proofpoint TAP, autenticada com um service principal + secret (HTTP Basic).

Recursos

Pré-requisitos

1

Criar credenciais da API SIEM

No painel do Proofpoint TAP, vá em Settings → Connected Applications e crie um Service Principal. Copie o principal e o secret.
2

Saída de rede

O sondador do CaseBender deve alcançar https://tap-api-v2.proofpoint.com.

Configurar a integração no CaseBender

1

Abrir o catálogo de integrações

Vá em Settings → Integrations → Create e escolha Proofpoint na categoria Email Security.
2

Inserir as credenciais da API

3

Ativar a sondagem automática (recomendado)

4

Configurar a criação automática de casos

Entrada (sondagem automática)

1

Extração agendada

A cada intervalo, o CaseBender solicita todos os eventos de ameaça desde o último cursor. A API SIEM serve no máximo as últimas 12 horas em janelas de uma hora, então o CaseBender ajusta a janela da requisição e usa o queryEndTime da API como o próximo cursor.
2

Deduplicação

Os eventos são deduplicados por threatID/messageID, de modo que janelas de sondagem sobrepostas nunca criam duplicatas.
3

Normalização

Cada evento é normalizado em um alerta do CaseBender com observáveis de remetente/destinatário/URL e tags de classificação.
Como a API SIEM serve apenas as últimas 12 horas, mantenha a sondagem ativada continuamente e defina um intervalo curto (≤ 5 minutos). Se o sondador ficar offline por mais de 12 horas, os eventos anteriores a essa janela não podem ser recuperados retroativamente.

Considerações de segurança

  • Manejo de segredos — o secret do service principal é armazenado nas configurações da integração; faça a rotação conforme a política da sua organização.
  • Rede — restrinja a saída a https://tap-api-v2.proofpoint.com.

Solução de problemas

Confirme que o service principal + secret são válidos e que o TAP registrou atividade de ameaça na última hora. Mantenha o intervalo em 5 minutos ou menos.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker, docker compose ps deve mostrar os serviços worker e misp-processor como Up.
O service principal ou o secret está incorreto, ou o aplicativo conectado foi removido no painel do TAP.

Documentação relacionada