Proofpoint Security Operations 統合用のイベントプロファイルの作成
Proofpoint製品からインポートするイベントを識別するイベントプロファイルを作成します。
このタスクについて
イベントプロファイルを作成するには、イベントタイプ、マッピング、およびスケジュール済みインポートを構成します。ページの進捗状況バーにすべてのステップが表示され、現在アクティブな構成が強調表示されます。
始める前に
必要なロール:sn_si_admin
手順
- 移動先 すべて > Proofpoint との SIR 統合 > Proofpoint イベントプロファイル.
- [イベントプロファイル] ページで、[ 新規] を選択します。
-
フォームで、フィールドに入力します。
進捗状況バーは [名前] から始まります。
表 : 1. Proofpoint プロファイルフォーム フィールド 説明 名前 イベントプロファイルの名前。関連するイベントタイプを含む名前を使用することを検討してください。 - ブロックされたクリック
- 許可されたクリック
- ブロックされたメッセージ
- 配信されたメッセージ
ソース [統合設定] ページで統合用に構成されたソース。 順序 このプロファイルの実行順序。デフォルト値は 100 です。 アクティブ プロファイルをアクティブ化するためのオプション。 説明 このイベントプロファイルのオプションの説明。 - [Continue (続行)] を選択します。
-
1 つ以上のイベントタイプを [ 利用可能 ] 列から [選択済み ] 列に移動して選択します。
利用可能なイベントタイプは、次のとおりです。
- ブロックされたクリック
- 許可されたクリック
- ブロックされたメッセージ
- 配信されたメッセージ
-
[Continue (続行)] を選択します。
選択したイベントタイプに関連する構成ステップが進捗状況バーに表示されます。
ソースフィールドの値は、環境内の標的型攻撃防御 (TAP) データから参照として提供されます。
ソースフィールドデータとターゲットフィールドのデフォルトマッピングがページに表示されます。基本データはガイドとして含まれていますが、このマッピングは変更できます。
- オプション:
f(x) アイコンを選択すると、アプリケーションに含まれるデフォルトの翻訳が表示されます。
フィールドの複数の値はカンマで区切られます。
- [Continue (続行)] を選択します。
-
[フィルタリングと集計] ページで、次の表のプロパティを構成します。
表 : 2. フィルタリングとアグリゲーションのプロパティ オプション 説明 メッセージイベントの条件に基づいてフィルター メッセージイベントに基づいてフィルタリングを有効にするオプション。 メッセージイベントフィルター条件 メッセージイベントフィルター条件。 クリックイベントの条件に基づいてフィルター クリックイベントに基づいてフィルタリングを有効にするオプション。 クリックイベントフィルター条件 イベントフィルター条件をクリックします。 集計条件 新しいインシデントを作成する代わりに、受信インシデントをオープンセキュリティインシデントに追加できるようにするオプション。 値が一致するインシデントフィールド インシデントを集計に含めるために値を一致させる必要がある セキュリティインシデントレスポンス フィールドを追加します。 新規インシデントの作業メモを記録 作業メモを親 セキュリティインシデントレスポンスに記録できるようにするオプション。 ThreatID リレーションを有効にする 一致する ThreatID を持つすべてのインシデントの集計を有効にするオプション。 - [Continue (続行)] を選択します。
-
インポートタイプのいずれかを選択し、イベントデータをインポートする頻度を選択します。
オプション 説明 進行中のイベント取り込み 開始日、終了日、ポーリング間隔 (分) で定義された一定の間隔でイベントをインポートするオプション。 - ポーリングインクリメント (分):インポート間の間隔 (分)
- 初期イベント取り込み時刻を設定
- 入力の最初の取り込み時刻
1 回限りの取得 設定された日付に基づいてイベントを 1 回のみインポートするオプション。選択した日付のすべてのイベントがインポートされます。 イベントインポートの開始日 (開始日) を入力します。
- [完了] を選択します。
タスクの結果
新しく作成されたイベントプロファイルは、[イベントプロファイル] ページの既存のイベントプロファイルのリストに含まれます。