Proofpoint 로그

Panther는 Proofpoint에서 로그를 직접 가져오는 것을 지원합니다

개요

Panther는 다음을 쿼리하여 Proofpoint 로그를 가져오는 기능이 있습니다. Proofpoint SIEM API.

Proofpoint 로그를 Panther에 온보딩하는 방법

Proofpoint 로그를 온보딩하려면 Proofpoint API 자격 증명을 생성한 다음 Panther에서 Proofpoint 소스를 생성합니다.

1단계: Proofpoint에서 API 자격 증명 생성

Proofpoint에 로그인합니다.
을(를) 클릭하십시오. 설정.
클릭 새 토큰를 선택하고 토큰을 생성합니다.
- , 그리고 HMAC 토큰 서비스 주체 및 토큰 비밀 다음 단계에서 필요하므로 안전한 위치에 생성한 값을 저장하세요.

2단계: Panther에서 Proofpoint 소스 생성

Panther 콘솔의 왼쪽 탐색 바에서 구성 > 로그 소스
클릭 새로 만들기(Create New)를 클릭하세요.
“Proofpoint”를 검색한 다음 해당 타일을 클릭합니다.
슬라이드아웃 패널에서 설정 시작.
소스에 대한 설명적인 이름(Name) 을 입력합니다. 예: "내 Proofpoint 로그."
클릭 설정(Setup).
다음 자격 증명 설정 페이지에서 다음 필드에 대한 값을 입력합니다:
- Proofpoint 도메인: Proofpoint 인스턴스의 도메인 이름을 입력하세요. 예: https://tap-api-v2.proofpoint.com.
- 토큰 서비스 주체: 1단계에서 Proofpoint에서 생성한 값을 입력하세요.
- 토큰 비밀: 1단계에서 Proofpoint에서 생성한 값을 입력하세요.
클릭 설정(Setup): 추가 구성 없음.
- 선택적으로 하나 이상의 탐지 팩(Detection Packs).
- 를 입력하세요 을 활성화할 수 있습니다 이벤트가 처리되지 않을 때 경고 트리거(Trigger an alert when no events are processed) 설정의 기본값은예(YES)

지원되는 로그 유형

Proofpoint.Event

Proofpoint.Event 로그는 Proofpoint 인스턴스 내의 활동을 나타냅니다. 자세한 내용은 Proofpoint의 문서.

스키마: Proofpoint.Event
설명: Proofpoint의 API에서 가져온 이벤트 로그
참조 URL: https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API
필드:
  - 이름: messageTime
    설명: 로그의 타임스탬프입니다.
    isEventTime: true
    시간형식:
      - rfc3339
    유형: 타임스탬프
  - 이름: messageParts
    설명: 메시지의 일부를 포함하는 JSON 구조입니다.
    유형: json
  - 이름: fromAddress
    설명: 메시지가 전송된 발신자 이메일 주소의 배열입니다.
    유형: 배열
    요소:
      유형: 문자열
      지표: 이메일
  - 이름: toAddresses
    설명: 메시지가 전송된 수신자 이메일 주소의 배열입니다.
    유형: 배열
    요소:
      유형: 문자열
      지표: 이메일
  - 이름: recipient
    설명: 메시지가 전송된 수신자 이메일 주소의 배열입니다.
    유형: 배열
    요소:
      유형: 문자열
      지표: 이메일
  - 이름: threatsInfoMap
    설명: 위협 정보를 포함하는 객체 배열입니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: threatUrl
          설명: 위협과 관련된 URL입니다.
          유형: 문자열
          지표: URL
        - 이름: threatID
          설명: 위협의 고유 식별자입니다.
          유형: 문자열
        - 이름: threatStatus
          설명: 위협의 상태입니다.
          유형: 문자열
        - 이름: classification
          설명: 위협의 분류 유형입니다.
          유형: 문자열
        - 이름: threatTime
          설명: 위협의 타임스탬프입니다.
          유형: 문자열
          지표:
            - 타임스탬프
        - 이름: threat
          설명: 위협에 대한 세부 정보입니다.
          유형: 문자열
        - 이름: campaignID
          설명: 관련 캠페인의 식별자입니다.
          유형: 문자열
        - 이름: threatType
          설명: 위협의 유형입니다.
          유형: 문자열
  - 이름: completelyRewritten
    설명: 메시지가 완전히 재작성되었는지 여부를 나타냅니다.
    유형: 불리언
  - 이름: id
    설명: 이벤트의 고유 식별자입니다.
    유형: 문자열
  - 이름: QID
    설명: 메시지의 큐 식별자입니다.
    유형: 문자열
  - 이름: GUID
    설명: 이벤트의 전역 고유 식별자입니다.
    유형: 문자열
  - 이름: sender
    설명: 발신자의 이메일 주소입니다.
    유형: 문자열
    지표:
      - 이메일
  - 이름: senderIP
    설명: 발신자의 IP 주소입니다.
    유형: 문자열
    지표:
      - ip
  - 이름: messageID
    설명: 메시지의 고유 식별자입니다.
    유형: 문자열
  - 이름: spamScore
    설명: 메시지가 스팸일 가능성을 나타내는 점수입니다.
    설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
  - 이름: phishScore
    설명: 메시지가 피싱 시도일 가능성을 나타내는 점수입니다.
    설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
  - 이름: impostorScore
    설명: 발신자가 사칭자일 가능성을 나타내는 점수입니다.
    설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
  - 이름: malwareScore
    설명: 메시지에 멀웨어가 포함되었을 가능성을 나타내는 점수입니다.
    설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
  - 이름: cluster
    설명: 이벤트와 관련된 클러스터 정보입니다.
    유형: 문자열
  - 이름: subject
    설명: 이메일의 제목입니다.
    유형: 문자열
  - 이름: quarantineFolder
    설명: 메시지가 격리된 폴더입니다.
    유형: 문자열
  - 이름: quarantineRule
    설명: 메시지를 격리하기 위해 적용된 규칙입니다.
    유형: 문자열
  - 이름: policyRoutes
    설명: 정책 라우팅 정보를 포함하는 JSON 구조입니다.
    유형: json
  - 이름: modulesRun
    설명: 메시지 처리에 실행된 모듈에 대한 정보를 포함하는 JSON 구조입니다.
    유형: json
  - 이름: messageSize
    설명: 바이트 단위의 메시지 크기입니다.
    설명: 탐지 로직의 신뢰도(1-100 사이의 백분율)
  - 이름: headerFrom
    설명: 'From' 헤더의 이메일 주소입니다.
    유형: 문자열
    지표: 이메일
  - 이름: headerReplyTo
    설명: 'Reply-To' 헤더의 이메일 주소입니다.
    유형: 문자열
    지표: 이메일
  - 이름: ccAddresses
    설명: 'CC' 필드의 이메일 주소 배열입니다.
    유형: 배열
    요소:
      유형: 문자열
      지표: 이메일
  - 이름: replyToAddress
    설명: 'Reply-To' 필드의 이메일 주소 배열입니다.
    유형: 배열
    요소:
      유형: 문자열
      지표: 이메일
  - 이름: xmailer
    설명: 메시지를 보낸 이메일 클라이언트 또는 서버에 대한 정보입니다.
    유형: 문자열

PreviousPanther 감사 로그 작업 Next푸시 보안 로그

Last updated 1 year ago

Was this helpful?

스키마: Proofpoint.Event 설명: Proofpoint의 API에서 가져온 이벤트 로그 참조 URL: https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation/SIEM_API 필드: - 이름: messageTime 설명: 로그의 타임스탬프입니다. isEventTime: true 시간형식: - rfc3339 유형: 타임스탬프 - 이름: messageParts 설명: 메시지의 일부를 포함하는 JSON 구조입니다. 유형: json - 이름: fromAddress 설명: 메시지가 전송된 발신자 이메일 주소의 배열입니다. 유형: 배열 요소: 유형: 문자열 지표: 이메일 - 이름: toAddresses 설명: 메시지가 전송된 수신자 이메일 주소의 배열입니다. 유형: 배열 요소: 유형: 문자열 지표: 이메일 - 이름: recipient 설명: 메시지가 전송된 수신자 이메일 주소의 배열입니다. 유형: 배열 요소: 유형: 문자열 지표: 이메일 - 이름: threatsInfoMap 설명: 위협 정보를 포함하는 객체 배열입니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: threatUrl 설명: 위협과 관련된 URL입니다. 유형: 문자열 지표: URL - 이름: threatID 설명: 위협의 고유 식별자입니다. 유형: 문자열 - 이름: threatStatus 설명: 위협의 상태입니다. 유형: 문자열 - 이름: classification 설명: 위협의 분류 유형입니다. 유형: 문자열 - 이름: threatTime 설명: 위협의 타임스탬프입니다. 유형: 문자열 지표: - 타임스탬프 - 이름: threat 설명: 위협에 대한 세부 정보입니다. 유형: 문자열 - 이름: campaignID 설명: 관련 캠페인의 식별자입니다. 유형: 문자열 - 이름: threatType 설명: 위협의 유형입니다. 유형: 문자열 - 이름: completelyRewritten 설명: 메시지가 완전히 재작성되었는지 여부를 나타냅니다. 유형: 불리언 - 이름: id 설명: 이벤트의 고유 식별자입니다. 유형: 문자열 - 이름: QID 설명: 메시지의 큐 식별자입니다. 유형: 문자열 - 이름: GUID 설명: 이벤트의 전역 고유 식별자입니다. 유형: 문자열 - 이름: sender 설명: 발신자의 이메일 주소입니다. 유형: 문자열 지표: - 이메일 - 이름: senderIP 설명: 발신자의 IP 주소입니다. 유형: 문자열 지표: - ip - 이름: messageID 설명: 메시지의 고유 식별자입니다. 유형: 문자열 - 이름: spamScore 설명: 메시지가 스팸일 가능성을 나타내는 점수입니다. 설명: 탐지 로직의 신뢰도(1-100 사이의 백분율) - 이름: phishScore 설명: 메시지가 피싱 시도일 가능성을 나타내는 점수입니다. 설명: 탐지 로직의 신뢰도(1-100 사이의 백분율) - 이름: impostorScore 설명: 발신자가 사칭자일 가능성을 나타내는 점수입니다. 설명: 탐지 로직의 신뢰도(1-100 사이의 백분율) - 이름: malwareScore 설명: 메시지에 멀웨어가 포함되었을 가능성을 나타내는 점수입니다. 설명: 탐지 로직의 신뢰도(1-100 사이의 백분율) - 이름: cluster 설명: 이벤트와 관련된 클러스터 정보입니다. 유형: 문자열 - 이름: subject 설명: 이메일의 제목입니다. 유형: 문자열 - 이름: quarantineFolder 설명: 메시지가 격리된 폴더입니다. 유형: 문자열 - 이름: quarantineRule 설명: 메시지를 격리하기 위해 적용된 규칙입니다. 유형: 문자열 - 이름: policyRoutes 설명: 정책 라우팅 정보를 포함하는 JSON 구조입니다. 유형: json - 이름: modulesRun 설명: 메시지 처리에 실행된 모듈에 대한 정보를 포함하는 JSON 구조입니다. 유형: json - 이름: messageSize 설명: 바이트 단위의 메시지 크기입니다. 설명: 탐지 로직의 신뢰도(1-100 사이의 백분율) - 이름: headerFrom 설명: 'From' 헤더의 이메일 주소입니다. 유형: 문자열 지표: 이메일 - 이름: headerReplyTo 설명: 'Reply-To' 헤더의 이메일 주소입니다. 유형: 문자열 지표: 이메일 - 이름: ccAddresses 설명: 'CC' 필드의 이메일 주소 배열입니다. 유형: 배열 요소: 유형: 문자열 지표: 이메일 - 이름: replyToAddress 설명: 'Reply-To' 필드의 이메일 주소 배열입니다. 유형: 배열 요소: 유형: 문자열 지표: 이메일 - 이름: xmailer 설명: 메시지를 보낸 이메일 클라이언트 또는 서버에 대한 정보입니다. 유형: 문자열

hashtag개요

hashtagProofpoint 로그를 Panther에 온보딩하는 방법

hashtag1단계: Proofpoint에서 API 자격 증명 생성

hashtag2단계: Panther에서 Proofpoint 소스 생성

hashtag지원되는 로그 유형

hashtagProofpoint.Event

개요

Proofpoint 로그를 Panther에 온보딩하는 방법

1단계: Proofpoint에서 API 자격 증명 생성

2단계: Panther에서 Proofpoint 소스 생성

지원되는 로그 유형

Proofpoint.Event