Créer un profil d’événement pour Proofpoint l’intégration pour Opérations de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Créez un profil d’événement pour identifier les événements que vous souhaitez importer du produit et créer un incident de sécurité dans Réponse aux incidents de sécurité l’applicationProofpoint.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez créer un profil d’événement en configurant les types d’événements, les mappages et les calendriers d’importation. Une barre de progression sur la page affiche toutes les étapes et est mise en surbrillance pour la configuration actuellement active. Vous pouvez avancer ou reculer à l’aide du bouton Continuer ou Précédent respectivement.

    Avant de commencer

    Rôle requis : sn_si_admin

    Procédure

    1. Accédez à la Tout > Intégration SIR à Proofpoint > Profil des événements Proofpoint.
      La Proofpoint page Profils d’événements répertorie les profils d’événements existants.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.

      La barre de progression s’affiche en commençant par Nom.

      Tableau 1. Formulaire de profil des événements Proofpoint
      Champ Description
      Nom Nom du profil d’événement. Envisagez d’utiliser un nom qui inclut le type d’événement associé :
      • Clics bloqués
      • Clics autorisés
      • Messages bloqués
      • Messages remis
      Source La source configurée pour l’intégration sur la page Configurations d’intégration.
      Commande Ordre dans lequel ce profil est exécuté. La valeur par défaut est 100.
      Actif Option permettant d’activer le profil.
      Description Écriscription dfacultative pour ce profil d’événement.
    4. Sélectionnez Continuer.
    5. Choisissez un ou plusieurs types d’événements en les déplaçant de la colonne Disponible vers la colonne Sélectionné .
      Les types d’événements disponibles sont les suivants :
      • Clics bloqués
      • Clics autorisés
      • Messages bloqués
      • Messages remis
    6. Sélectionnez Continuer.

      Les étapes de configuration liées au ou aux types d’événements sélectionnés s’affichent dans la barre de progression.

      Les valeurs des champs sources sont fournies à partir des données de protection contre les attaques ciblées (TAP) dans votre environnement à titre de référence.

      Le mappage par défaut des données des champs sources aux champs cibles s’affiche sur la page. Les données de base sont incluses à titre indicatif, mais vous pouvez modifier ce mappage.

    7. Facultatif : Sélectionnez l’icône f(x) pour afficher les traductions par défaut incluses avec l’application.

      Ces traductions prennent en charge plusieurs valeurs pour un champ en insérant des virgules entre les valeurs.

    8. Sélectionnez Continuer.
    9. Dans la page Filtrage et agrégations, configurez les propriétés dans la table suivante.
      Tableau 2. Propriétés de filtrage et d’agrégation
      Option Description
      Filtre basé sur les conditions pour les événements de messages Option permettant d’activer le filtrage basé sur les événements du message.
      Conditions de filtre d'événements du message Conditions de filtre d’événement de message.
      Filtre basé sur les conditions pour les événements de clics Option permettant d’activer le filtrage basé sur les événements de clic.
      Cliquer sur les conditions de filtre d'événements Cliquez sur les conditions de filtre d’événement.
      Conditions d'agrégation Option permettant d’ajouter un incident entrant à un incident de sécurité ouvert au lieu d’en créer un nouveau.
      Champs d’incident avec des valeurs correspondantes Ajoutez les champs dont les Réponse aux incidents de sécurité valeurs doivent correspondre pour qu’un incident soit inclus dans une agrégation.
      Enregistrer la note de travail pour le nouvel incident Option permettant de consigner des notes de travail sur le parent Réponse aux incidents de sécurité.
      Activer la relation ThreatID Option permettant d’activer l’agrégation de tous les incidents dont les ThreatIDs correspondent.
    10. Sélectionnez Continuer.
    11. Sélectionnez l’un des types d’importation et la fréquence à laquelle vous souhaitez importer les données d’événement.
      OptionDescription
      Ingestion des événements en cours Option d’importation d’événements à intervalles réguliers définis avec une date de début, une date de fin et l’intervalle d’interrogation en minutes.
      • Incrémentation de l’interrogation (minutes) : intervalle en minutes entre les importations
      • Définir le délai d'ingestion des événements initiaux
      • Délai d’ingestion initial de l’entrée
      Récupération ponctuelle Option pour importer les événements une seule fois sur la base de la date configurée. Tous les événements de la date sélectionnée sont importés.

      Indiquez une date de début pour l’importation de l’événement (Depuis la date).
    12. Sélectionnez Finish (Terminer).

    Résultats

    Leprofil d’événement nouvellement créé est répertorié avec les profils d’événement existants.