# Proofpoint 로그 ## 개요 Panther는 쿼리하여 Proofpoint 로그를 가져올 수 있습니다 [Proofpoint SIEM API](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API). ## Proofpoint 로그를 Panther에 온보딩하는 방법 Proofpoint 로그를 온보딩하려면 Proofpoint API 자격 증명을 생성한 다음 Panther에 Proofpoint 소스를 생성해야 합니다. ### 1단계: Proofpoint에서 API 자격 증명 생성 1. Proofpoint에 로그인합니다. 2. 다음으로 이동합니다 **설정.** 3. 클릭 **새 토큰**을 생성하고 토큰을 만듭니다. * 입력한 **토큰 서비스 주체** 및 **토큰 시크릿** 는 다음 단계에서 필요하므로 안전한 위치에 생성하세요. ### 2단계: Panther에서 Proofpoint 소스 생성 1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요 **구성** > **로그 소스.** 2. 클릭 **새로 만들기.** 3. “Proofpoint”를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **설정 시작**. 5. 설명적인 **이름** 소스 이름을 입력합니다. 예: "My Proofpoint logs." 6. 클릭 **설정**. 7. 를 클릭할 수 있습니다. **자격 증명 설정** 페이지에서 다음 필드의 값을 입력합니다: * **Proofpoint 도메인**: Proofpoint 인스턴스의 도메인 이름을 입력합니다. 예: `https://tap-api-v2.proofpoint.com`. * **토큰 서비스 주체**: 1단계에서 Proofpoint에서 생성한 값을 입력합니다. * **토큰 시크릿**: 1단계에서 Proofpoint에서 생성한 값을 입력합니다. 8. 클릭 **설정**. 성공 화면으로 이동됩니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * The **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **YES**입니다. 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중단되면 알러트를 받게 되므로 이 설정을 활성화된 상태로 유지하는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## 지원되는 로그 유형 ### Proofpoint.Event Proofpoint.Event 로그는 Proofpoint 인스턴스 내 활동을 나타냅니다. 자세한 내용은 다음을 참조하세요. [Proofpoint의 문서](https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API). ```yaml 스키마: Proofpoint.Event 설명: Proofpoint API에서 가져온 이벤트 로그 referenceURL: https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API fields: - name: messageTime 설명: 로그의 타임스탬프입니다. isEventTime: true timeFormats: - rfc3339 유형: 타임스탬프 - name: messageParts 설명: 메시지의 일부를 포함하는 JSON 구조입니다. 유형: json - name: fromAddress 설명: 메시지가 발송된 이메일 주소 배열입니다. type: array element: type: string indicator: email - name: toAddresses 설명: 메시지가 발송된 이메일 주소 배열입니다. type: array element: type: string indicator: email - name: recipient 설명: 메시지가 발송된 이메일 주소 배열입니다. type: array element: type: string indicator: email - name: threatsInfoMap 설명: 위협 정보를 포함하는 객체 배열입니다. type: array element: type: object fields: - name: threatUrl 설명: 위협과 관련된 URL입니다. type: string indicator: url - name: threatID 설명: 위협의 고유 식별자입니다. type: string - name: threatStatus 설명: 위협의 상태입니다. type: string - name: classification 설명: 위협의 분류 유형입니다. type: string - name: threatTime 설명: 위협의 타임스탬프입니다. type: string indicator: - timestamp - name: threat 설명: 위협의 세부 정보입니다. type: string - name: campaignID 설명: 관련 캠페인의 식별자입니다. type: string - name: threatType 설명: 위협 유형입니다. type: string - name: completelyRewritten 설명: 메시지가 완전히 다시 작성되었는지 여부를 나타냅니다. type: boolean - name: id 설명: 이벤트의 고유 식별자입니다. type: string - name: QID 설명: 메시지의 큐 식별자입니다. type: string - name: GUID 설명: 이벤트의 전역 고유 식별자입니다. type: string - name: 발신자 설명: 발신자의 이메일 주소입니다. type: string indicator: - email - name: senderIP 설명: 발신자의 IP 주소입니다. type: string indicator: - ip - name: messageID 설명: 메시지의 고유 식별자입니다. type: string - name: spamScore 설명: 메시지가 스팸일 가능성을 나타내는 점수입니다. type: int - name: phishScore 설명: 메시지가 피싱 시도일 가능성을 나타내는 점수입니다. type: int - name: impostorScore 설명: 발신자가 사칭자일 가능성을 나타내는 점수입니다. type: int - name: malwareScore 설명: 메시지에 멀웨어가 포함되어 있을 가능성을 나타내는 점수입니다. type: int - name: cluster 설명: 이벤트와 관련된 클러스터 정보입니다. type: string - name: subject 설명: 이메일의 제목 줄입니다. type: string - name: quarantineFolder 설명: 메시지가 격리된 폴더입니다. type: string - name: quarantineRule 설명: 메시지 격리에 적용된 룰입니다. type: string - name: policyRoutes 설명: 정책 라우팅 정보를 포함하는 JSON 구조입니다. 유형: json - name: modulesRun 설명: 메시지 처리에 대해 실행된 모듈에 대한 정보를 포함하는 JSON 구조입니다. 유형: json - name: messageSize 설명: 바이트 단위의 메시지 크기입니다. type: int - name: headerFrom 설명: 'From' 헤더의 이메일 주소입니다. type: string indicator: email - name: headerReplyTo 설명: 'Reply-To' 헤더의 이메일 주소입니다. type: string indicator: email - name: ccAddresses 설명: 'CC' 필드의 이메일 주소 배열입니다. type: array element: type: string indicator: email - name: replyToAddress 설명: 'Reply-To' 필드의 이메일 주소 배열입니다. type: array element: type: string indicator: email - name: xmailer 설명: 메시지를 보낸 이메일 클라이언트 또는 서버에 대한 정보입니다. type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/proofpoint.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.