# Proofpoint 로그

## 개요

Panther는 다음을 쿼리하여 Proofpoint 로그를 가져올 수 있는 기능이 있습니다 [Proofpoint SIEM API](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API).

## Proofpoint 로그를 Panther에 온보딩하는 방법

Proofpoint 로그를 온보딩하려면 Proofpoint API 자격 증명을 생성한 다음 Panther에서 Proofpoint 소스를 생성합니다.

### 1단계: Proofpoint에서 API 자격 증명 생성

1. Proofpoint에 로그인합니다.
2. 이동: **설정.**
3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새 토큰**, 그리고 토큰을 생성합니다.
   * X-Hub-Signature-256 **토큰 서비스 프린시펄** 와 **토큰 비밀** 다음 단계에서 필요하므로 안전한 위치에 생성한 값을 저장하십시오.

### 2단계: Panther에서 Proofpoint 소스 생성

1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 **구성** > **로그 소스.**
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기.**
3. "Proofpoint"를 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**.
5. 설명적인 **이름** 소스 이름 예: "내 Proofpoint 로그"
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**.
7. 페이지에서 **자격증명 설정** 페이지에서 다음 필드의 값을 입력하세요:
   * **Proofpoint 도메인**: Proofpoint 인스턴스의 도메인 이름을 입력합니다. 예: `https://tap-api-v2.proofpoint.com`.
   * **토큰 서비스 프린시펄**: 1단계에서 Proofpoint에 생성한 값을 입력합니다.
   * **토큰 비밀**: 1단계에서 Proofpoint에 생성한 값을 입력합니다.
8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동됩니다:\\

   <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-e55cedf82c6a6adc66ec5c14ebdcb164c3b1dcca%2FScreenshot%202023-08-03%20at%204.33.30%20PM.png?alt=media" alt="The success screen reads, &#x22;Everything looks good! Panther will now automatically pull &#x26; process logs from your account&#x22;" width="281"><figcaption></figcaption></figure>

   * 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs).
   * 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\

     <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c48119abd559990173004bde99ff4907fdd2ded2%2FScreenshot%202023-08-03%20at%204.26.54%20PM.png?alt=media" alt="The &#x22;Trigger an alert when no events are processed&#x22; toggle is set to YES. The &#x22;How long should Panther wait before it sends you an alert that no events have been processed&#x22; setting is set to 1 Day" width="320"><figcaption></figcaption></figure>

## 지원되는 로그 유형

### Proofpoint.Event

Proofpoint.Event 로그는 Proofpoint 인스턴스 내의 활동을 나타냅니다. 자세한 내용은 [Proofpoint의 문서](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API).

```yaml
스키마: Proofpoint.Event
설명: Proofpoint의 API에서 가져온 이벤트 로그
참고URL: https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API
필드:
  - 이름: messageTime
    설명: 로그의 타임스탬프입니다.
    isEventTime: true
    timeFormats:
      - rfc3339
    type: timestamp
  - 이름: messageParts
    설명: 메시지의 일부를 포함하는 JSON 구조입니다.
    유형: json
  - 이름: fromAddress
    설명: 메시지를 보낸 이메일 주소의 배열입니다.
    type: array
    element:
      type: string
      인디케이터: email
  - 이름: toAddresses
    설명: 메시지가 전송된 이메일 주소의 배열입니다.
    type: array
    element:
      type: string
      인디케이터: email
  - 이름: recipient
    설명: 메시지가 전송된 이메일 주소의 배열입니다.
    type: array
    element:
      type: string
      인디케이터: email
  - 이름: threatsInfoMap
    설명: 위협 정보를 포함하는 객체 배열입니다.
    type: array
    element:
      type: object
      필드:
        - 이름: threatUrl
          설명: 위협과 관련된 URL입니다.
          type: string
          인디케이터: url
        - 이름: threatID
          설명: 위협의 고유 식별자입니다.
          type: string
        - 이름: threatStatus
          설명: 위협의 상태입니다.
          type: string
        - 이름: classification
          설명: 위협의 분류 유형입니다.
          type: string
        - 이름: threatTime
          설명: 위협의 타임스탬프입니다.
          type: string
          인디케이터:
            - 타임스탬프
        - 이름: threat
          설명: 위협의 세부 정보입니다.
          type: string
        - 이름: campaignID
          설명: 관련 캠페인의 식별자입니다.
          type: string
        - 이름: threatType
          설명: 위협의 유형입니다.
          type: string
  - 이름: completelyRewritten
    설명: 메시지가 완전히 재작성되었는지 여부를 나타냅니다.
    유형: boolean
  - 이름: id
    설명: 이벤트의 고유 식별자입니다.
    type: string
  - 이름: QID
    설명: 메시지의 큐 식별자입니다.
    type: string
  - 이름: GUID
    설명: 이벤트의 전역 고유 식별자입니다.
    type: string
  - name: sender
    설명: 발신자의 이메일 주소입니다.
    type: string
    인디케이터:
      - 이메일
  - 이름: senderIP
    설명: 발신자의 IP 주소입니다.
    type: string
    인디케이터:
      - ip
  - 이름: messageID
    설명: 메시지의 고유 식별자입니다.
    type: string
  - 이름: spamScore
    설명: 메시지가 스팸일 가능성을 나타내는 점수입니다.
    유형: int
  - 이름: phishScore
    설명: 메시지가 피싱 시도일 가능성을 나타내는 점수입니다.
    유형: int
  - 이름: impostorScore
    설명: 발신자가 사칭자일 가능성을 나타내는 점수입니다.
    유형: int
  - 이름: malwareScore
    설명: 메시지에 악성코드가 포함되었을 가능성을 나타내는 점수입니다.
    유형: int
  - 이름: cluster
    설명: 이벤트와 관련된 클러스터 정보입니다.
    type: string
  - name: subject
    설명: 이메일의 제목입니다.
    type: string
  - 이름: quarantineFolder
    설명: 메시지가 격리된 폴더입니다.
    type: string
  - 이름: quarantineRule
    설명: 메시지를 격리하는 데 적용된 룰입니다.
    type: string
  - 이름: policyRoutes
    설명: 정책 라우팅 정보를 포함하는 JSON 구조입니다.
    유형: json
  - 이름: modulesRun
    설명: 메시지 처리를 위해 실행된 모듈에 대한 정보를 포함하는 JSON 구조입니다.
    유형: json
  - 이름: messageSize
    설명: 메시지의 바이트 단위 크기입니다.
    유형: int
  - 이름: headerFrom
    설명: 'From' 헤더의 이메일 주소입니다.
    type: string
    인디케이터: email
  - 이름: headerReplyTo
    설명: 'Reply-To' 헤더의 이메일 주소입니다.
    type: string
    인디케이터: email
  - 이름: ccAddresses
    설명: 'CC' 필드에 있는 이메일 주소의 배열입니다.
    type: array
    element:
      type: string
      인디케이터: email
  - 이름: replyToAddress
    설명: 'Reply-To' 필드에 있는 이메일 주소의 배열입니다.
    type: array
    element:
      type: string
      인디케이터: email
  - 이름: xmailer
    설명: 메시지를 보낸 이메일 클라이언트 또는 서버에 대한 정보입니다.
    type: string
```