Proofpoint Targeted Attack Protection (TAP) インテグレーションガイド🔗
以下の手順は、Proofpoint Targeted Attack Protection (TAP) を設定し、Secureworks® Taegis™ XDR へのログ取り込みを実現するためのものです。
Proofpoint の要件🔗
XDR と連携するには、サービス認証情報を作成できる権限を持つ有効な Proofpoint TAP アカウントが必要です。
注意
すべての Proofpoint サブスクリプションに TAP が含まれているわけではありません。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Proofpoint | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Proofpoint TAP サービス認証情報の生成🔗
-
Proofpoint のドキュメント Generate TAP Service Credentials の手順に従ってください。
-
次のステップで使用するため、
Service PrincipalとSecretを控えておいてください。
XDR でのインテグレーション追加🔗
-
Taegis Menu から インテグレーション → クラウドAPI を選択します。
-
ページ上部の インテグレーションの追加 を選択します。
インテグレーションの追加 -
最適化されたタブから Proofpoint を選択します。
新しいProofpointインテグレーションの作成 -
以下のフィールドを入力します(最初のステップで取得):
- Service Principal
- Secret
- Name — インテグレーションの一意の名前として機能します。100文字以内の任意の有効な値を指定できます。
-
完了 を選択します。クラウドAPIインテグレーションのページに、正常に追加されたProofpointインテグレーションが表示されます。
上記の手順が完了すると、Proofpointインテグレーションの詳細がクラウドAPIページで確認できます。Taegis Menu から インテグレーション → クラウドAPI を選択してください。
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
Proofpoint の email イベントを過去24時間分検索する場合:
FROM email WHERE sensor_type = 'ProofPoint' and EARLIEST=-24h
Proofpoint の email イベントのうち、フィッシングと分類されたものを検索する場合:
FROM email WHERE sensor_type = 'ProofPoint' AND threats.classification = 'phish'
Proofpoint の email イベントのうち、ブロックされなかったものを検索する場合:
FROM email WHERE sensor_type = 'ProofPoint' AND status != 'blocked'
イベント詳細🔗
XDR によって正規化されたデータ🔗
検出の詳細🔗
