Erstellen Sie ein Ereignisprofil für die Proofpoint -Integration für Security Operations

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Ereignisprofil, um die Ereignisse zu identifizieren, die Sie aus dem Produkt Proofpoint importieren möchten, und erstellen Sie in der Anwendung Security Incident Response einen Security Incident.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können ein Ereignisprofil erstellen, indem Sie Ereignistypen, Zuordnungen und Importzeitpläne konfigurieren. Ein Fortschrittsbalken auf der Seite zeigt alle Schritte an und ist für die derzeit aktive Konfiguration hervorgehoben. Mit der Schaltfläche „Fortsetzen“ bzw. „Zurück“ können Sie vorwärts oder rückwärts navigieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Navigieren zu Alle > SIR-Integration mit Proofpoint > Proofpoint-Ereignisprofil.
      Auf der Seite Proofpoint Ereignisprofile werden die vorhandenen Ereignisprofile aufgelistet.
    2. Wählen Sie Neu.
    3. Füllen Sie die Felder des Formulars aus.

      Der Fortschrittsbalken wird beginnend mit Name angezeigt.

      Tabelle : 1. Formular „Proofpoint-Ereignisprofil
      Feld Beschreibung
      Name Name für das Ereignisprofil. Erwägen Sie die Verwendung eines Namens, der den zugehörigen Ereignistyp enthält:
      • Klicks blockiert
      • Klicks zugelassen
      • Nachrichten blockiert
      • Nachrichten zugestellt
      Quelle Die für die Integration auf der Seite Integrationskonfigurationen konfigurierte Quelle.
      Bestellung Der Auftrag, in dem dieses Profil ausgeführt wird. Der Standardwert ist 100.
      Aktiv Option zum Aktivieren des Profils.
      Beschreibung Optionale dBeschreibung für dieses Ereignisprofil.
    4. Wählen Sie Fortsetzen.
    5. Wählen Sie einen oder mehrere Ereignistypen aus, indem Sie sie aus der Spalte Verfügbar in die Spalte Ausgewählt verschieben.
      Die verfügbaren Ereignistypen sind:
      • Klicks blockiert
      • Klicks zugelassen
      • Nachrichten blockiert
      • Nachrichten zugestellt
    6. Wählen Sie Fortsetzen.

      Die Konfigurationsschritte, die sich auf den/die ausgewählten Ereignistyp(en) beziehen, werden in der Fortschrittsleiste angezeigt.

      Die Werte für die Quellfelder werden aus den Daten des gezielten Angriffsschutzes (TAP) in Ihrer Umgebung als Referenz bereitgestellt.

      Die Standardzuordnung der Quellfelddaten an die Zielfelder wird auf der Seite angezeigt. Basisdaten sind als Leitfaden enthalten, Sie können diese Zuordnung jedoch ändern.

    7. Wahlweise: Wählen Sie das Symbol f(x), um die in der Anwendung enthaltenen Standardübersetzungen anzuzeigen.

      Diese Übersetzungen berücksichtigen mehrere Werte für ein Feld, indem Kommas zwischen den Werten eingefügt werden.

    8. Wählen Sie Fortsetzen.
    9. Konfigurieren Sie auf der Seite „Filtern und Zusammenfassungen“ die Eigenschaften in der folgenden Tabelle.
      Tabelle : 2. Filter- und Zusammenfassungseigenschaften
      Option Beschreibung
      Basierend auf Bedingungen für Nachrichtenereignisse filtern Option zum Aktivieren der Filterung basierend auf Nachrichtenereignissen.
      Filterbedingungen für Nachrichtenereignisse Filterbedingungen für Nachrichten-Ereignisse.
      Basierend auf Bedingungen für Klickereignisse filtern Option zum Aktivieren der Filterung basierend auf Klickereignissen.
      Filterbedingungen für Klickereignisse Klicken Sie auf Ereignisfilterbedingungen.
      Zusammenfassungsbedingungen Option, um zuzulassen, dass ein eingehender Incident an einen offenen Security Incident angehängt wird, anstatt einen neuen zu erstellen.
      Incident-Felder mit übereinstimmenden Werten Fügen Sie die Felder Security Incident Response hinzu, deren Werte übereinstimmen müssen, damit ein Incident in eine Zusammenfassung aufgenommen wird.
      Protokoll-Arbeitsnotiz für neuen Incident Mit dieser Option wird die Protokollierung von Arbeitsnotizen im übergeordneten Element Security Incident Responseaktiviert.
      Aktivieren Sie die ThreatID-Beziehung Option zum Aktivieren der Zusammenfassung aller Incidents mit übereinstimmenden ThreatIDs.
    10. Wählen Sie Fortsetzen.
    11. Wählen Sie einen der Importtypen aus und geben Sie an, wie oft Sie Ereignisdaten importieren möchten.
      OptionBeschreibung
      Laufende Ereigniserfassung Option zum Importieren von Ereignissen in einem regelmäßigen Intervall, das mit einem Startdatum, einem Enddatum und dem Abfrageintervall in Minuten definiert ist.
      • Abfrageschritt (Minuten): Intervall in Minuten zwischen Importen
      • Erste Ereigniserfassungszeit festlegen
      • Geben Sie die Zeit der anfänglichen Erfassung ein
      Einmaliger Abruf Option, um Ereignisse nur einmal auf Grundlage des konfigurierten Datums zu importieren. Alle Ereignisse vom ausgewählten Datum werden importiert.

      Geben Sie ein Startdatum für den Ereignisimport an (Seit-Datum).
    12. Wählen Sie Fertigstellen aus.

    Ergebnisse

    DDas neu erstellte Ereignisprofil wird zusammen mit den vorhandenen Ereignisprofilen[] aufgelistet .