> ## Documentation Index
> Fetch the complete documentation index at: https://docs.casebender.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Proofpoint TAP

> Ingira os eventos de ameaça do Proofpoint Targeted Attack Protection no CaseBender via sondagem automática (pull) usando a API SIEM.

## Visão geral

A integração do Proofpoint (**INT-012**) ingere os eventos de ameaça de segurança de e-mail
(mensagens maliciosas e cliques) do Proofpoint Targeted Attack Protection (TAP) no CaseBender e os
converte em alertas (e opcionalmente casos).

<Tip>
  **Recomendado: ative a sondagem automática.** O CaseBender extrai novos eventos
  de ameaça diretamente da API SIEM do Proofpoint TAP de forma agendada — sem
  endpoint de entrada. Consulte
  [Sondagem automática](#entrada-sondagem-automatica).
</Tip>

<Note>
  A sondagem usa a **API SIEM do Proofpoint TAP**, autenticada com um **service
  principal + secret** (HTTP Basic).
</Note>

## Recursos

| Recurso                        | Direção | Descrição                                                                                  |
| ------------------------------ | ------- | ------------------------------------------------------------------------------------------ |
| **Sondagem de ameaças (pull)** | Entrada | O CaseBender consulta a API SIEM do TAP de forma agendada e ingere novos eventos de ameaça |
| Eventos de mensagens + cliques | Entrada | Mensagens bloqueadas/entregues e cliques bloqueados/permitidos são ingeridos               |
| Extração de observáveis        | Entrada | Remetentes, destinatários, URLs e indicadores de ameaça                                    |
| Rotulagem por classificação    | Entrada | O tipo de ameaça e a classificação tornam-se tags                                          |

## Pré-requisitos

<Steps>
  <Step title="Criar credenciais da API SIEM">
    No painel do Proofpoint TAP, vá em **Settings → Connected Applications** e crie um **Service
    Principal**. Copie o **principal** e o **secret**.
  </Step>

  <Step title="Saída de rede">
    O sondador do CaseBender deve alcançar `https://tap-api-v2.proofpoint.com`.
  </Step>
</Steps>

## Configurar a integração no CaseBender

<Steps>
  <Step title="Abrir o catálogo de integrações">
    Vá em **Settings → Integrations → Create** e escolha **Proofpoint** na categoria
    **Email Security**.
  </Step>

  <Step title="Inserir as credenciais da API">
    | Campo              | Descrição                                  |
    | ------------------ | ------------------------------------------ |
    | Service Principal  | Service principal da API SIEM do TAP       |
    | Secret             | Secret da API SIEM do TAP                  |
    | API URL (opcional) | Padrão `https://tap-api-v2.proofpoint.com` |
  </Step>

  <Step title="Ativar a sondagem automática (recomendado)">
    | Opção                    | Efeito                                                      |
    | ------------------------ | ----------------------------------------------------------- |
    | `pollingEnabled`         | Ativa a extração agendada de eventos de ameaça              |
    | `pollingIntervalMinutes` | Frequência de sondagem (padrão `5`; mantenha em 5 ou menos) |
    | `pollMaxItemsPerRun`     | Limite de segurança de itens por execução (padrão `500`)    |
  </Step>

  <Step title="Configurar a criação automática de casos">
    | Opção                | Efeito                                                                              |
    | -------------------- | ----------------------------------------------------------------------------------- |
    | `autoCreateCases`    | Promove cada evento de ameaça a um **Caso** (deduplicado por ID de ameaça/mensagem) |
    | `minSeverityForCase` | Cria casos automaticamente apenas a partir desta severidade                         |
  </Step>
</Steps>

## Entrada (sondagem automática)

<Steps>
  <Step title="Extração agendada">
    A cada intervalo, o CaseBender solicita todos os eventos de ameaça desde o último cursor. A API
    SIEM serve no máximo as **últimas 12 horas** em **janelas de uma hora**, então o CaseBender
    ajusta a janela da requisição e usa o `queryEndTime` da API como o próximo cursor.
  </Step>

  <Step title="Deduplicação">
    Os eventos são **deduplicados por `threatID`/`messageID`**, de modo que janelas de sondagem
    sobrepostas nunca criam duplicatas.
  </Step>

  <Step title="Normalização">
    Cada evento é normalizado em um alerta do CaseBender com observáveis de
    remetente/destinatário/URL e tags de classificação.
  </Step>
</Steps>

<Warning>
  Como a API SIEM serve apenas as últimas 12 horas, mantenha a sondagem ativada continuamente e
  defina um intervalo curto (≤ 5 minutos). Se o sondador ficar offline por mais de 12 horas, os
  eventos anteriores a essa janela não podem ser recuperados retroativamente.
</Warning>

## Considerações de segurança

* **Manejo de segredos** — o secret do service principal é armazenado nas configurações da
  integração; faça a rotação conforme a política da sua organização.
* **Rede** — restrinja a saída a `https://tap-api-v2.proofpoint.com`.

## Solução de problemas

<AccordionGroup>
  <Accordion title="A sondagem está ativada, mas nenhum evento aparece">
    Confirme que o service principal + secret são válidos e que o TAP registrou atividade de ameaça
    na última hora. Mantenha o intervalo em 5 minutos ou menos.

    **Certifique-se de que todos os serviços do CaseBender estejam em execução** — com o Docker,
    `docker compose ps` deve mostrar os serviços `worker` e `misp-processor` como `Up`.
  </Accordion>

  <Accordion title="401 Unauthorized">
    O service principal ou o secret está incorreto, ou o aplicativo conectado foi removido no painel
    do TAP.
  </Accordion>
</AccordionGroup>

## Documentação relacionada

* [Visão geral das integrações](./introduction.mdx)
* [API SIEM do Proofpoint TAP](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API)
