Proofpoint の統合セキュリティオペレーションのイベントプロファイルの作成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • イベントプロファイルを作成して、 Proofpoint 製品からインポートするイベントを特定し、 セキュリティインシデントレスポンス アプリケーションでセキュリティインシデントを作成します。

    このタスクについて

    イベントプロファイルを作成するには、イベントタイプ、マッピング、およびスケジュール済みインポートを構成します。ページの進捗状況バーにすべてのステップが表示され、現在アクティブな構成が強調表示されます。[ 続行 ] または [前へ ] ボタンを使用して、それぞれ前後に移動できます。

    始める前に

    必要なロール:sn_si_admin

    手順

    1. 次のように移動する。 All (すべて) > Proofpoint との SIR 統合 > Proofpoint イベントプロファイル.
      [ Proofpoint イベントプロファイル] ページには、既存のイベントプロファイルが一覧表示されます。
    2. [New (新規)] を選択します。
    3. フォームのフィールドに入力します。

      進捗状況バーは [名前] から始まります。

      表 : 1. Proofpoint イベントプロファイル フォーム
      フィールド 説明
      名前 イベントプロファイルの名前。関連するイベントタイプを含む名前を使用することを検討してください。
      • ブロックされたクリック
      • 許可されたクリック
      • ブロックされたメッセージ
      • 配信されたメッセージ
      ソース [統合設定] ページで統合用に構成されたソース。
      順序 このプロファイルの実行順序。デフォルト値は 100 です。
      アクティブ プロファイルをアクティブ化するためのオプション。
      説明 このイベントプロファイルためのオプション 説明 。
    4. [Continue (続行)] をクリックします。
    5. 1 つ以上のイベントタイプを [ 利用可能 ] 列から [選択済み ] 列に移動して選択します。
      利用可能なイベントタイプは、次のとおりです。
      • ブロックされたクリック
      • 許可されたクリック
      • ブロックされたメッセージ
      • 配信されたメッセージ
    6. [Continue (続行)] をクリックします。

      選択したイベントタイプに関連する構成ステップが進捗状況バーに表示されます。

      ソースフィールドの値は、環境内の標的型攻撃防御 (TAP) データから参照として提供されます。

      ソースフィールドデータとターゲットフィールドのデフォルトマッピングがページに表示されます。基本データはガイドとして含まれていますが、このマッピングは変更できます。

    7. オプション: f(x) アイコンを選択すると、アプリケーションに含まれるデフォルトの翻訳が表示されます。

      これらの翻訳では、値の間にカンマを挿入することで、フィールドの複数の値に対応します。

    8. [Continue (続行)] をクリックします。
    9. [フィルタリングと集計] ページで、次の表のプロパティを構成します。
      表 : 2. フィルタリングとアグリゲーションのプロパティ
      オプション 説明
      メッセージイベントの条件に基づいてフィルター メッセージイベントに基づいてフィルタリングを有効にするオプション。
      メッセージイベントフィルター条件 メッセージイベントフィルター条件。
      クリックイベントの条件に基づいてフィルター クリックイベントに基づいてフィルタリングを有効にするオプション。
      クリックイベントフィルター条件 イベントフィルター条件をクリックします。
      集計条件 新しいインシデントを作成する代わりに、受信インシデントをオープンセキュリティインシデントに追加できるようにするオプション。
      一致する値を持つインシデントフィールド インシデントを集計に含めるために値を一致させる必要がある セキュリティインシデントレスポンス フィールドを追加します。
      新規インシデントの作業メモを記録 作業メモを親 セキュリティインシデントレスポンスに記録できるようにするオプション。
      ThreatID リレーションを有効にする 一致する ThreatID を持つすべてのインシデントの集計を有効にするオプション。
    10. [Continue (続行)] をクリックします。
    11. インポートタイプのいずれかを選択し、イベントデータをインポートする頻度を選択します。
      オプション説明
      進行中のイベント取り込み 開始日、終了日、ポーリング間隔 (分) で定義された一定の間隔でイベントをインポートするオプション。
      • ポーリングインクリメント (分):インポート間の間隔 (分)
      • 初期イベント取り込み時刻を設定
      • 入力の最初の取り込み時刻
      1 回限りの取得 設定された日付に基づいてイベントを 1 回のみインポートするオプション。選択した日付のすべてのイベントがインポートされます。

      イベントインポートの開始日 (開始日) を入力します。
    12. [完了] を選択します。

    タスクの結果

    新しく作成されたイベントプロファイル既存のイベントプロファイルとともに一覧表示されます