Questa pagina è stata tradotta dall'API Cloud Translation.

Integrare Proofpoint TAP con Google SecOps

Questo documento spiega come integrare Proofpoint TAP con Google Security Operations (Google SecOps).

Versione integrazione: 11.0

Parametri di integrazione

L'integrazione di Proofpoint TAP richiede i seguenti parametri:

Parametro	Descrizione
Root API	Obbligatorio. La radice dell'API dell'istanza Proofpoint Targeted Attack Protection (TAP).
Nome utente	Obbligatorio. Il nome utente dell'istanza di Proofpoint TAP. Importante: nell'account Proofpoint TAP, il nome utente è il nome principale del servizio.
Password	Obbligatorio. La chiave API dell'istanza Proofpoint TAP. Importante: nell'account Proofpoint TAP, la password è la chiave API.
Verifica SSL	Facoltativo. Se attivata, questa azione verifica la validità del certificato SSL.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

DecodeURL

Utilizza l'azione DecodeURL per decodificare gli URL codificati di Proofpoint.

Questa azione viene eseguita sulla seguente entità Google SecOps:

URL

Input azione

Parametro Descrizione

URL codificati

Parametro	Descrizione
URL codificati	Facoltativo. Un elenco separato da virgole di URL da decodificare. Nota: le entità URL nell'ambito dell'avviso verranno decodificate insieme.
Crea entità URL	Facoltativo. Se selezionata, l'azione crea un'entità URL dall'URL dopo che è stato decodificato correttamente. Il valore predefinito è `Checked`.

Facoltativo.

Un elenco separato da virgole di URL da decodificare.

Crea entità URL

Facoltativo.

Se selezionata, l'azione crea un'entità URL dall'URL dopo che è stato decodificato correttamente.

Il valore predefinito è Checked.

Output dell'azione

L'azione DecodeURL fornisce i seguenti output.

Arricchimento delle entità

L'azione DecodeURL supporta la seguente logica di arricchimento delle entità:

Nome campo di arricchimento Logica - Quando applicarla

URL codificati

Nome campo di arricchimento	Logica - Quando applicarla
URL codificati	Un elenco separato da virgole di URL da decodificare. Nota: le entità URL nell'ambito dell'avviso verranno decodificate insieme.
Crea entità URL	Se selezionata, l'azione crea un'entità URL decodificata correttamente dall'URL dopo la decodifica. Il valore predefinito è `Checked`.

Un elenco separato da virgole di URL da decodificare.

Crea entità URL

Se selezionata, l'azione crea un'entità URL decodificata correttamente dall'URL dopo la decodifica.

Il valore predefinito è Checked.

Risultato script

La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione DecodeURL:

Nome risultato script	Opzioni di valore	Esempio
decoded_urls	N/D	N/D

GetCampaign

Utilizza l'azione GetCampaign per ottenere informazioni sulla campagna in base all'ID campagna.

Questa azione viene eseguita su tutte le entità.

Input azione

L'azione GetCampaign richiede il seguente parametro:

Parametro	Descrizione
Campaign ID	Obbligatorio. L'ID della campagna di cui recuperare le informazioni.
Crea approfondimento	Facoltativo. Se selezionata, l'azione crea un approfondimento con le informazioni sulla campagna. Selezionato per impostazione predefinita
Crea entità campagna di minaccia	Facoltativo. Se selezionata, l'azione crea un'entità campagna di minaccia dalle informazioni della campagna. Selezionato per impostazione predefinita
Recupera informazioni forensi	Facoltativo. Se selezionata, l'azione recupera le informazioni forensi dalla campagna. Selezionato per impostazione predefinita
Filtro per tipo di prova forense	Facoltativo. Un elenco separato da virgole di tipi di prove da restituire durante il recupero delle informazioni forensi. Valori possibili: `attachment`, `cookie`, `dns`, `dropper`, `file`, `ids`, `mutex`, `network`, `process`, `registry`, `screenshot`, `url`, `redirect_chain`, `behavior`.
Numero massimo di prove forensi da restituire	Facoltativo. La quantità di prove da restituire per campagna. Il valore predefinito è `50`. Il valore massimo è `1000`.

Output dell'azione

L'azione GetCampaign fornisce i seguenti output.

Risultato script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione GetCampaign:

Nome risultato script	Opzioni di valore	Esempio
campaign_info	N/D	N/D

Dindin

Utilizza l'azione Ping per testare la connettività di ProofPoint TAP.

Questa azione viene eseguita su tutte le entità.

Input azione

L'azione Ping non richiede parametri.

Output dell'azione

L'azione Ping fornisce i seguenti output.

Risultato script

La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.