Criar um perfil de evento para a Proofpoint integração do para Operações de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Crie um perfil de evento para identificar os eventos que você deseja importar do produto Proofpoint e crie um incidente de segurança na aplicação Resposta a incidentes de segurança.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode criar um perfil de evento configurando tipos de evento, mapeamentos e cronogramas de importação. Uma barra de andamento na página exibe todas as etapas e é realçada para a configuração ativa no momento. Você pode avançar ou retroceder usando o botão Continuar ou Anterior, respectivamente.

    Antes de Iniciar

    Função necessária: sn_si_admin

    Procedimento

    1. Navegar até Tudo > Integração do SIR com a Proofpoint > Perfil de eventos da Proofpoint.
      A página Proofpoint Perfis de eventos lista os perfis de eventos existentes.
    2. Selecione Novo.
    3. No formulário, preencha os campos.

      A barra de andamento é exibida começando com Nome.

      Tabela 1. Perfil de eventos de Proofpoint formulário
      Campo Descrição
      Nome Nome do perfil de evento. Considere usar um nome que inclua o tipo de evento associado:
      • Cliques bloqueados
      • Cliques permitidos
      • Mensagens bloqueadas
      • Mensagens entregues
      Origem A origem configurada para a integração na página Configurações de integração.
      Ordem A ordem na qual este perfil é executado. O valor padrão é 100.
      Ativo Opção para ativar o perfil.
      Descrição Descriçãoopcional para este perfil de evento.
    4. Selecione Continuar.
    5. Escolha um ou mais tipos de evento movendo-os da coluna Disponível para a coluna Selecionado.
      Os tipos de evento disponíveis são:
      • Cliques bloqueados
      • Cliques permitidos
      • Mensagens bloqueadas
      • Mensagens entregues
    6. Selecione Continuar.

      As etapas de configuração relacionadas ao tipo ou tipos de evento selecionados são exibidas na barra de andamento.

      Os valores dos Campos de origem são fornecidos a partir dos dados de proteção contra ataques direcionados (TAP) em seu ambiente como uma referência.

      O mapeamento padrão dos dados dos campos de origem para os campos de destino é exibido na página. Os dados básicos são incluídos como um guia, mas você pode modificar este mapeamento.

    7. Opcional: Selecione o ícone f(x) para exibir as traduções padrão incluídas na aplicação.

      Essas traduções acomodar vários valores para um campo inserindo vírgulas entre os valores.

    8. Selecione Continuar.
    9. Na página Filtragem e agregações, configure as propriedades na tabela a seguir.
      Tabela 2. Propriedades de filtragem e agregação
      Opção Descrição
      Filtrar com base nas condições de eventos de mensagem Opção para habilitar a filtragem com base em eventos de mensagem.
      Condições do filtro de eventos de mensagem Condições do filtro de eventos de mensagem.
      Filtrar com base nas condições de eventos de clique Opção para habilitar a filtragem com base em eventos de clique.
      Condições do filtro de eventos de clique Clique nas condições do filtro de eventos.
      Condições de Agregação Opção para permitir que um incidente de entrada seja anexado a um incidente de segurança aberto em vez de criar um novo.
      Campos de incidente com valores correspondentes Adicione os campos Resposta a incidentes de segurança cujos valores devem ser correspondidos para que um incidente seja incluído em uma agregação.
      Anotação de trabalho de log para o novo incidente Opção para habilitar anotações de trabalho a serem registradas no primário Resposta a incidentes de segurança.
      Habilitar relação de ThreatID Opção para habilitar a agregação de todos os incidentes que têm ThreatIDs correspondentes.
    10. Selecione Continuar.
    11. Selecione um dos tipos de importação e com que frequência você deseja importar dados de eventos.
      OpçãoDescrição
      Ingestão de eventos contínuos Opção para importar eventos em um intervalo regular definido com uma data de início, uma data de término e o intervalo de pesquisa em minutos.
      • Incremento de pesquisa (minutos): Intervalo em minutos entre importações
      • Definir tempo de ingestão de eventos inicial
      • Tempo de ingestão inicial de entrada
      Recuperação única Opção para importar eventos apenas uma vez com base na data configurada. Todos os eventos da data selecionada são importados.

      Forneça uma data de início para a importação do evento (Data de início).
    12. Selecione Concluir.

    Resultado

    Operfil de evento recém-criado é listado junto com os perfis de evento existentes.