校对点挖掘
校对点目标攻击预防(TAP)是一个SIEM云技术,分析和阻止通过电子邮件来屏蔽的威胁。您可以通过校样点API将SIEM日志发送到InsightIdr。InsightIdr捕获单击和消息事件从鼠标点击。
对于消息事件,InsightIdr仅在该值时生成警报塞克塞尔核心场地,phishscore.领域,或者马拉瓦尔科尔现场大于60.即使是垃圾邮件,InsightIdr也不会为垃圾邮件发出警报垃圾录字段大于60。
要了解有关校样点的更多信息,请参阅他们的API:https://help.prooppoint.com/threat_insight_dashboard/api_documentation/siem_api.
校对点点击查询限制
由于校对点点击API限制,收集器只会尝试检索在过去7天内创建的日志。然后,收集器将使多个请求收集历史数据,直到它陷入困境,一次收集最多1小时的日志数据。
要设置鼠标点击,您需要:
在你开始之前
在将验证点点击日志发送到InsightIdr之前,您必须确保收集器可以访问tap-api-v2.prooppoint.com.通过配置任何必要的防火墙或Web代理规则。
配置校样点点击以将数据发送到收集器
要将验证点点击日志发送到InsightIdr,您必须在校对点Tap仪表板中设置凭据。InsightIdr通过制作API调用来收集校对点水龙头的数据https://tap-api-v2.prookpoint.com/v2/siem/all?format=json&interval= pt1h/ 。要使用校样点API进行身份验证,InsightIDR使用主体ID和密钥来通过在Tap Dashboard中设置凭据来创建。
在校对点中创建凭据Tap:
- 登录您的校对点Tap仪表板。
- 点击设置标签。
- 在屏幕的左侧,单击连接的应用程序。“服务凭据”部分将打开。
- 在“名称”部分中,选择创建新的凭据。
- 键入name
并单击产生按钮。 - 在生成的服务凭据弹出窗口中,显示服务主体和秘密值。注意到这些值为稍后的InsightIdr配置。
在Insutigridr中设置校样点水龙头
- 从左菜单,转到数据采集。
- 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源。
- 从安全数据部分,单击云服务图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
- 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
- 输入在TAP仪表板中设置凭据时生成的服务主体和秘密值。
- 点击节省。
验证配置
从左侧菜单中,单击日志搜索要查看原始日志以确保将事件转发到收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或“鼠标点击”。校对点抽头日志流入这些日志集:
- Web代理
- 第三方警报
日志至少需要7分钟才能出现在日志搜索中
请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。
示例输入日志:
杰森
1
{
2
“campaignid”:“46E01B8A-C899-404D-BCD9-189BB393D1A7”那
3.
“分类”:“恶意软件”那
4.
“ClickIP”:“192.0.2.1”那
5.
“单击时间”:“2016-06-24T19:17:44.000Z”那
6.
“MessageId”:“8C6CFEDD-3050-4D65-8C09-C5F65C38DA81”那
7.
“接受者”:“bruce.wayne@pharmtech.zz”那
8.
“发件人”:“9FacBF452DEF2D7EFC5B5C48CDB837FA@badguy.zz”那
9.
“senderip”:“192.0.2.255”那
10.
“威胁”:“61F7622167144DBA5E3AE4480EEEE78B23D66F7DFED970CFC3D086CC0DABDF50”那
11.
“威胁”:“2020-03-01T12:17:46.000Z”那
12.
“威胁”:“https://threatilesight.proofpoint.com/#/73AA0499-DFC8-75EB-1DE8-A471B24A2E75/THREAT/U/61F7622167144DBA5E3AE4480EEEE78B23D66F7DFED970CFC3D086CC0DABDF50”那
13.
“URL”:“http://badguy.zz/”那
14.
“用户代理”:“Mozilla / 5.0(Windowsnt6.1; Wow64; RV:27.0)Gecko / 20100101Firefox / 27.0”那
15.
“EventTypestring”:“clickspermited”
16.
}
杰森
1
“{”
2
GUID.“:”
3.
C26.DBEA.0.-80D.5.-463.B - B.93.C -4E8.B.708219ce“,”
4.
QID.“:”
5.
R.2fnwrhf.004109“,”
6.
ccaddresses.“:[”
7.
Bruce.wayne @university - of -education.zz“],”
8.
clusterid.“:”
9.
Pharmtech_Hosted.“,”
10.
完全写的“:”
11.
真的“,”
12.
脱离“:”
13.
Badguy @ evil.zz.“,”
14.
标题“:”\
15.
“Bruce Wayne \”“ 那“标题”:“\“一种。badguy \“” 那“标题写道”:空值那“headerto”:“\”clark kent \“; \”diana prince \“” 那“Impostorscore”:0.那“Malwarescore”:100.那“MessageId”:“20160624211145.62086.mail@evil.zz”那“xmailer”:“spambot v2.5”那“MessageParts”:[{
16.
“内容类型”:“文字/平原”那
17.
“倾向”:“排队”那
18.
“文档名称”:“text.txt”那
19.
“MD5”:“008C5926CA861023C1D2A36653FD88E2”那
20.
“Ocontenttype”:“文字/平原”那
21.
“Sandboxstatus”:“不支持”那
22.
“SHA256”:“85738F8F9A7F1B04B5329C590BCB9E425925C6D0984089C43A022DE4F19C281”
23.
}那{
24.
“内容类型”:“application / pdf”那
25.
“倾向”:“随附的”那
26.
“文档名称”:“Pharmtech.pdf的发票”那
27.
“MD5”:“5873C7D37608E0D49BCAA6F32B6C731F”那
28.
“Ocontenttype”:“application / pdf”那
29.
“Sandboxstatus”:“威胁”那
30.
“SHA256”:“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”
31.
}]那“messagetime”:“2020-03-01T12:59:38.000Z”那“modulesrun”:[“pdr”那“沙箱”那“垃圾邮件”那“urdefense”]那“phishscore”:46.那“Policyroutes”:[“default_inbound”那“高管”]那“QuarantineFolder”:“依恋防御”那“隔离”:“module.sandbox.threat”那“接受者”:[“clark.kent@phamtech.zz”那“diana.prince@pharmtech.zz”]那“ReplyToaddress”:空值那“发件人”:“E99D7ED5580193F36A51F597BC2C0210@Evil.zz”那“senderip”:“192.0.2.255”那“spamscore”:4.那“主题”:“请找到完全安全的发票。”那“威胁毒液”:[{
32.
“campaignid”:“46E01B8A-C899-404D-BCD9-189BB393D1A7”那
33.
“分类”:“恶意软件”那
34.
“威胁”:“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”那
35.
“威胁”:“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”那
36.
“威胁状态”:“积极的”那
37.
“威胁”:“2016-06-24T21:18:38.000Z”那
38.
“威胁性”:“依恋”那
39.
“威胁”:“https://threationight.proofpoint.com/#/73aa0499-dfc8-75eb-2e75-a471b24a2e75/threat/u/2fab740f143fc1aa4c1cd0146d334c5593b1428f6d062b2c406e55593b12c406e5593b1428f6d062b2c406e5592b2c406e5593b12c406e5593b12c406e5592b2c406e5592b2c406e5592b2c406e5592b2c406e5592b2c406e5593b2c406e5fe8abe95ca”
40
}那{
41.
“campaignid”:“46E01B8A-C899-404D-BCD9-189BB393D1A7”那
42.
“分类”:“恶意软件”那
43.
“威胁”:“badsite.zz”那
44.
“威胁”:“3BA97FC852C66A7BA761450EDFDFB9F4FFAB74715B591294F78B5E37A76481AA”那
45.
“威胁”:“2016-06-24T21:18:07.000Z”那
46.
“威胁性”:“URL”那
47.
“威胁”:“https://threationight.prooppoint.com/#/73aa0499-dfc8-75eb-2e75/threat/u/3ba97fc852c66a7ba761450edfdfb9f4ffab74715b591294f78b5e37a76481aa”
48.
}]那“toaddresses”:[“clark.kent@phamtech.zz”那“diana.prince@pharmtech.zz”]那“EventTypestring”:“messageblocked”
49.
}
50.
“
这个页面对你有帮助吗?