Erstellen Sie ein Ereignisprofil für ProofpointIntegration für Security Operations

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Ereignisprofil, um die Ereignisse zu identifizieren, die Sie aus importieren möchten ProofpointProdukt und erstellen Sie einen Security Incident in Security Incident ResponseAnwendung.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können ein Ereignisprofil erstellen, indem Sie Ereignistypen, Zuordnungen und Importzeitpläne konfigurieren. Ein Fortschrittsbalken auf der Seite zeigt alle Schritte an und wird für die derzeit aktive Konfiguration hervorgehoben. Sie können mit vorwärts oder rückwärts wechseln Fahren Sie Fort Oder Zurück Schaltfläche.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Navigieren zu Alle > SIR-Integration mit Proofpoint > Proofpoint-Ereignisprofilan.
      Die ProofpointDie Seite „Ereignisprofile“ listet die vorhandenen Ereignisprofile auf.
    2. Wählen Sie Neu.
    3. Füllen Sie im Formular die Felder aus.

      Der Fortschrittsbalken wird beginnend mit dem Namen angezeigt.

      Tabelle : 1. Proofpoint-Ereignisprofil Formular
      Feld Beschreibung
      Name Name für das Ereignisprofil. Erwägen Sie die Verwendung eines Namens, der den zugehörigen Ereignistyp enthält:
      • Klicks blockiert
      • Klicks zugelassen
      • Nachrichten blockiert
      • Nachrichten zugestellt
      Quelle Die für die Integration auf der Seite „Integrationskonfigurationen“ konfigurierte Quelle.
      Bestellung Die Reihenfolge, in der dieses Profil ausgeführt wird. Der Standardwert ist 100.
      Aktiv Option zum Aktivieren des Profils.
      Beschreibung Optional d Beschreibung Für Dieses Ereignisprofil.
    4. Wählen Sie Fortsetzen.
    5. Wählen Sie einen oder mehrere Ereignistypen aus, indem Sie sie aus verschieben Verfügbar Spalte zu Ausgewählt Spalte.
      Die verfügbaren Ereignistypen sind:
      • Klicks blockiert
      • Klicks zugelassen
      • Nachrichten blockiert
      • Nachrichten zugestellt
    6. Wählen Sie Fortsetzen.

      Die Konfigurationsschritte im Zusammenhang mit dem ausgewählten Ereignistyp oder den ausgewählten Ereignistypen werden im Fortschrittsbalken angezeigt.

      Die Werte für die Quellfelder werden aus den TAP-Daten (Targeted Attack Protection) in Ihrer Umgebung als Referenz bereitgestellt.

      Die Standardzuordnung der Quellfelddaten zu den Zielfeldern wird auf der Seite angezeigt. Basisdaten sind als Leitfaden enthalten, Sie können diese Zuordnung jedoch ändern.

    7. Wahlweise: Wählen Sie aus f(x) Symbol zum Anzeigen der Standardübersetzungen, die in der Anwendung enthalten sind.

      Diese Übersetzungen können mehrere Werte für ein Feld aufnehmen, indem Kommas zwischen den Werten eingefügt werden.

    8. Wählen Sie Fortsetzen.
    9. Konfigurieren Sie auf der Seite „Filtern und Zusammenfassungen“ die Eigenschaften in der folgenden Tabelle.
      Tabelle : 2. Filter- und Zusammenfassungseigenschaften
      Option Beschreibung
      Basierend auf Bedingungen für Nachrichtenereignisse filtern Option zum Aktivieren der Filterung basierend auf Nachrichtenereignissen.
      Filterbedingungen für Nachrichtenereignisse Filterbedingungen für Nachrichtenereignis.
      Basierend auf Bedingungen für Klickereignisse filtern Option zum Aktivieren der Filterung basierend auf Klickereignissen.
      Filterbedingungen für Klickereignisse Klicken Sie auf Ereignisfilterbedingungen.
      Zusammenfassungsbedingungen Option, um zuzulassen, dass ein eingehender Incident an einen offenen Security Incident angehängt wird, anstatt einen neuen zu erstellen.
      Incident-Felder mit übereinstimmenden Werten Fügen Sie hinzu Security Incident ResponseFelder, deren Werte abgeglichen werden müssen, damit ein Incident in eine Zusammenfassung aufgenommen werden kann.
      Protokoll-Arbeitsnotiz für neuen Incident Option zum Aktivieren der Protokollierung von Arbeitsnotizen im übergeordneten Element Security Incident Response.
      Aktivieren Sie die ThreatID-Beziehung Option zum Aktivieren der Zusammenfassung aller Incidents mit übereinstimmenden ThreatIDs.
    10. Wählen Sie Fortsetzen.
    11. Wählen Sie einen der Importtypen aus und wie oft Sie Ereignisdaten importieren möchten.
      OptionBeschreibung
      Laufende Ereigniserfassung Option zum Importieren von Ereignissen in einem regelmäßigen Intervall, das mit einem Startdatum, einem Enddatum und dem Abfrageintervall in Minuten definiert ist.
      • Abfrageschritt (Minuten) : Intervall in Minuten zwischen Importen
      • Erste Ereigniserfassungszeit festlegen
      • Geben Sie die Zeit der ersten Erfassung ein
      Einmaliger Abruf Option zum einmaligen Importieren von Ereignissen basierend auf dem konfigurierten Datum. Alle Ereignisse ab dem ausgewählten Datum werden importiert.

      Geben Sie ein Startdatum für den Ereignisimport an ( Seit Datum ).
    12. Wählen Sie Fertigstellen aus.

    Ergebnisse

    T Er hat ein Ereignisprofil neu erstellt Ist aufgeführt Zusammen mit den vorhandenen Ereignisprofilen .