Crie um perfil de evento para ProofpointIntegração para Operações de segurança
Crie um perfil de evento para identificar os eventos que você deseja importar do Proofpointe crie um incidente de segurança em Resposta a incidentes de segurançaaplicação.
Por Que e Quando Desempenhar Esta Tarefa
Você pode criar um perfil de evento configurando tipos de evento, mapeamentos e cronogramas de importação. Uma barra de andamento na página exibe todas as etapas e é realçada para a configuração ativa no momento. Você pode avançar ou retroceder usando Continuar ou Anterior respectivamente.
Antes de Iniciar
Função necessária: sn_si_admin
Procedimento
-
Navegar até Tudo > Integração do SIR com a Proofpoint > Perfil de eventos da Proofpoint. . ProofpointA página Perfis de eventos lista os perfis de eventos existentes.
- Selecione Novo.
-
No formulário, preencha os campos.
A barra de andamento é exibida começando com Nome.
Tabela 1. Perfil de eventos de prova formulário Campo Descrição Nome Nome do perfil do evento. Considere usar um nome que inclua o tipo de evento associado: - Cliques bloqueados
- Cliques permitidos
- Mensagens bloqueadas
- Mensagens entregues
Origem A origem configurada para a integração na página Configurações de integração. Ordem A ordem em que este perfil é executado. O valor padrão é 100. Ativo Opção para ativar o perfil. Descrição D opcional descrição para este perfil de evento. - Selecione Continuar.
-
Escolha um ou mais tipos de evento movendo-os do Disponível para Selecionado coluna.
Os tipos de evento disponíveis são:
- Cliques bloqueados
- Cliques permitidos
- Mensagens bloqueadas
- Mensagens entregues
-
Selecione Continuar.
As etapas de configuração relacionadas ao tipo ou tipos de evento selecionados são exibidas na barra de andamento.
Os valores dos Campos de origem são fornecidos a partir dos dados de proteção contra ataque direcionado (TAP) em seu ambiente como referência.
O mapeamento padrão dos dados dos campos de origem para os campos de destino é exibido na página. Os dados básicos são incluídos como guia, mas você pode modificar este mapeamento.
- Opcional:
Selecione f(x) ícone para exibir as traduções padrão incluídas na aplicação.
Essas traduções acomodam vários valores para um campo inserindo vírgulas entre os valores.
- Selecione Continuar.
-
Na página Filtragem e agregações, configure as propriedades na tabela a seguir.
Tabela 2. Propriedades de filtragem e agregação Opção Descrição Filtrar com base nas condições de eventos de mensagem Opção para habilitar a filtragem com base em eventos de mensagem. Condições do filtro de eventos de mensagem Condições do filtro de evento de mensagem. Filtrar com base nas condições de eventos de clique Opção para habilitar a filtragem com base em eventos de clique. Condições do filtro de eventos de clique Clique em Condições de filtro de evento. Condições de Agregação Opção para permitir que um incidente de entrada seja anexado a um incidente de segurança aberto em vez de criar um novo. Campos de incidente com valores correspondentes Adicione o. Resposta a incidentes de segurançacampos cujos valores devem ser correspondidos para que um incidente seja incluído em uma agregação. Anotação de trabalho de log para o novo incidente Opção para permitir que anotações de trabalho sejam registradas no primário Resposta a incidentes de segurança. Habilite a relação ThreatId Opção para habilitar a agregação de todos os incidentes que têm ThreatIds correspondentes. - Selecione Continuar.
-
Selecione um dos tipos de importação e com que frequência você deseja importar dados de evento.
Opção Descrição Ingestão de eventos contínuos Opção para importar eventos em um intervalo regular definido com uma data de início, uma data de término e o intervalo de pesquisa em minutos. - Incremento de pesquisa (minutos) Intervalo em minutos entre importações
- Definir tempo de ingestão de eventos inicial
- Tempo de ingestão inicial de entrada
Recuperação única Opção para importar eventos somente uma vez com base na data configurada. Todos os eventos da data selecionada são importados. Forneça uma data de início para a importação do evento ( Desde a data ).
- Selecione Concluir.
Resultado
T recentemente criou o perfil de evento está listado junto com os perfis de evento existentes .