Proofpoint Targeted Attack Protection (TAP) インテグレーションガイド🔗
以下の手順は、Proofpoint Targeted Attack Protection (TAP) を設定し、Secureworks® Taegis™ XDR へのログ取り込みを実現するためのものです。
Proofpoint の要件🔗
XDR と連携するには、サービス認証情報を作成する権限を持つ有効な Proofpoint TAP アカウントが必要です。
注意
すべての Proofpoint サブスクリプションに TAP が含まれているわけではありません。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Proofpoint | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Proofpoint TAP サービス認証情報の生成🔗
-
Proofpoint のドキュメント Generate TAP Service Credentials の手順に従ってください。
-
次の手順のために、
Service PrincipalとSecretを控えておいてください。
XDR でのインテグレーション追加🔗
-
Taegis Menu から インテグレーション → クラウドAPI を選択します。
-
ページ上部の インテグレーションの追加 を選択します。
インテグレーションの追加 -
最適化されたタブから Proofpoint を選択します。
新しい Proofpoint インテグレーションの作成 -
以下のフィールドを入力します(最初の手順で取得):
- Service Principal
- Secret
- Name — インテグレーションの一意の名前として機能します。100文字までの有効な値を含めることができます。
-
完了 を選択します。クラウドAPIインテグレーションのページに、正常に追加された Proofpoint インテグレーションが表示されます。
上記の手順が完了すると、Proofpoint インテグレーションの詳細がクラウドAPIページで確認できます。Taegis Menu から インテグレーション → クラウドAPI を選択してください。
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
過去24時間の Proofpoint email イベントを検索するには:
FROM email WHERE sensor_type = 'ProofPoint' and EARLIEST=-24h
フィッシング試行として分類された Proofpoint email イベントを検索するには:
FROM email WHERE sensor_type = 'ProofPoint' AND threats.classification = 'phish'
ブロックされていない Proofpoint email イベントを検索するには:
FROM email WHERE sensor_type = 'ProofPoint' AND status != 'blocked'
イベント詳細🔗
XDR によって正規化されたデータ🔗
検出の詳細🔗
