Erstellen Sie ein Ereignisprofil für Proofpoint Integration für Security Operations

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Ereignisprofil, um die Ereignisse zu identifizieren, die Sie aus importieren möchten Proofpoint Produkt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie erstellen ein Ereignisprofil, indem Sie Ereignistypen, Zuordnungen und Importzeitpläne konfigurieren. Ein Fortschrittsbalken auf der Seite zeigt alle Schritte an und wird für die derzeit aktive Konfiguration hervorgehoben.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Navigieren zu Alle > SIR-Integration mit Proofpoint > Proofpoint-Ereignisprofilan.
    2. Wählen Sie auf der Seite „Ereignisprofile“ die Option aus Neu .
    3. Füllen Sie im Formular die Felder aus.

      Der Fortschrittsbalken wird mit Name beginnend angezeigt.

      Tabelle : 1. Proofpoint-Profilformular
      Feld Beschreibung
      Name Name für das Ereignisprofil. Erwägen Sie, einen Namen zu verwenden, der den zugehörigen Ereignistyp enthält:
      • Klicks blockiert
      • Klicks zugelassen
      • Nachrichten blockiert
      • Nachrichten zugestellt
      Quelle Die für die Integration auf der Seite „Integrationskonfigurationen“ konfigurierte Quelle.
      Reihenfolge Die Reihenfolge, in der dieses Profil ausgeführt wird. Der Standardwert ist 100.
      Aktiv Option zum Aktivieren des Profils.
      Beschreibung Optionale Beschreibung für dieses Ereignisprofil.
    4. Wählen Sie Fortsetzen.
    5. Wählen Sie einen oder mehrere Ereignistypen aus, indem Sie sie aus verschieben Verfügbar Spalte zu Ausgewählt Spalte.
      Die verfügbaren Ereignistypen sind:
      • Klicks blockiert
      • Klicks zugelassen
      • Nachrichten blockiert
      • Nachrichten zugestellt
    6. Wählen Sie Fortsetzen.

      Die Konfigurationsschritte im Zusammenhang mit dem ausgewählten Ereignistyp oder den ausgewählten Ereignistypen werden in der Fortschrittsleiste angezeigt.

      Die Werte für die Felder „Quelle“ werden aus den TAP-Daten (Targeted Attack Protection) in Ihrer Umgebung als Referenz bereitgestellt.

      Die Standardzuordnung der Quellfelddaten zu den Zielfeldern wird auf der Seite angezeigt. Basisdaten sind als Leitfaden enthalten, Sie können diese Zuordnung jedoch ändern.

    7. Wahlweise: Wählen Sie aus f(x) Symbol zum Anzeigen der Standardübersetzungen, die in der Anwendung enthalten sind.

      Mehrere Werte für ein Feld werden durch Kommas getrennt.

    8. Wählen Sie Fortsetzen.
    9. Konfigurieren Sie auf der Seite „Filtern und Zusammenfassungen“ die Eigenschaften in der folgenden Tabelle.
      Tabelle : 2. Filter- und Zusammenfassungseigenschaften
      Option Beschreibung
      Basierend auf Bedingungen für Nachrichtenereignisse filtern Option zum Aktivieren der Filterung basierend auf Nachrichtenereignissen.
      Filterbedingungen für Nachrichtenereignisse Filterbedingungen für Nachrichtenereignis.
      Basierend auf Bedingungen für Klickereignisse filtern Option zum Aktivieren der Filterung basierend auf Klickereignissen.
      Filterbedingungen für Klickereignisse Klicken Sie auf Ereignisfilterbedingungen.
      Zusammenfassungsbedingungen Option, mit der ein eingehender Incident an einen offenen Security Incident angehängt werden kann, anstatt einen neuen zu erstellen.
      Incident-Felder mit übereinstimmenden Werten Fügen Sie hinzu Security Incident Response Felder, deren Werte abgeglichen werden müssen, damit ein Incident in eine Zusammenfassung aufgenommen werden kann.
      Protokoll-Arbeitsnotiz für neuen Incident Option zum Aktivieren der Protokollierung von Arbeitsnotizen im übergeordneten Element Security Incident Response.
      Aktivieren Sie die ThreatID-Beziehung Option zum Aktivieren der Zusammenfassung aller Incidents mit übereinstimmenden ThreatIDs.
    10. Wählen Sie Fortsetzen.
    11. Wählen Sie einen der Importtypen aus und wie oft Sie Ereignisdaten importieren möchten.
      OptionBeschreibung
      Laufende Ereigniserfassung Option zum Importieren von Ereignissen in einem regelmäßigen Intervall, das mit einem Startdatum, einem Enddatum und dem Abfrageintervall in Minuten definiert ist.
      • Abfrageschritt (Minuten) : Intervall in Minuten zwischen Importen
      • Erste Ereigniserfassungszeit festlegen
      • Geben Sie die Zeit der ersten Erfassung ein
      Einmaliger Abruf Option zum einmaligen Importieren von Ereignissen basierend auf dem konfigurierten Datum. Alle Ereignisse ab dem ausgewählten Datum werden importiert.

      Geben Sie ein Startdatum für den Ereignisimport an ( Seit Datum ).
    12. Wählen Sie Fertigstellen aus.

    Ergebnisse

    Das neu erstellte Ereignisprofil ist in der Liste der vorhandenen Ereignisprofile auf der Seite „Ereignisprofile“ enthalten.