校对点挖掘

校对点目标攻击预防(TAP)是一个SIEM云技术,分析和阻止通过电子邮件来屏蔽的威胁。您可以通过校样点API将SIEM日志发送到InsightIdr。InsightIdr捕获单击和消息事件从鼠标点击。

对于消息事件,InsightIdr仅在该值时生成警报塞克塞尔核心场地,phishscore.领域,或者马拉瓦尔科尔现场大于60.即使是垃圾邮件,InsightIdr也不会为垃圾邮件发出警报垃圾录字段大于60。

要了解有关校样点的更多信息,请参阅他们的API:https://help.prooppoint.com/threat_insight_dashboard/api_documentation/siem_api.

校对点点击查询限制

由于校对点点击API限制,收集器只会尝试检索在过去7天内创建的日志。然后,收集器将使多个请求收集历史数据,直到它陷入困境,一次收集最多1小时的日志数据。

要设置鼠标点击,您需要:

  1. 在开始之前审查和注意任何要求
  2. 配置校样点点击以将数据发送到收集器
  3. 在InsightIdr中设置校样点点击事件源
  4. 验证配置工作

在你开始之前

在将验证点点击日志发送到InsightIdr之前,您必须确保收集器可以访问tap-api-v2.prooppoint.com.通过配置任何必要的防火墙或Web代理规则。

配置校样点点击以将数据发送到收集器

要将验证点点击日志发送到InsightIdr,您必须在校对点Tap仪表板中设置凭据。InsightIdr通过制作API调用来收集校对点水龙头的数据https://tap-api-v2.prookpoint.com/v2/siem/all?format=json&interval= pt1h/ 。要使用校样点API进行身份验证,InsightIDR使用主体ID和密钥来通过在Tap Dashboard中设置凭据来创建。

在校对点中创建凭据Tap:

  1. 登录您的校对点Tap仪表板。
  2. 点击设置标签。
  3. 在屏幕的左侧,单击连接的应用程序。“服务凭据”部分将打开。
  4. 在“名称”部分中,选择创建新的凭据
  5. 键入name 并单击产生按钮。
  6. 在生成的服务凭据弹出窗口中,显示服务主体和秘密值。注意到这些值为稍后的InsightIdr配置。

在Insutigridr中设置校样点水龙头

  1. 从左菜单,转到数据采集
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从安全数据部分,单击云服务图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
  6. 输入在TAP仪表板中设置凭据时生成的服务主体和秘密值。
  7. 点击节省

验证配置

从左侧菜单中,单击日志搜索要查看原始日志以确保将事件转发到收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或“鼠标点击”。校对点抽头日志流入这些日志集:

  • Web代理
  • 第三方警报

日志至少需要7分钟才能出现在日志搜索中

请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。

示例输入日志:

         
杰森
1
{
2
“campaignid”“46E01B8A-C899-404D-BCD9-189BB393D1A7”
3.
“分类”“恶意软件”
4.
“ClickIP”“192.0.2.1”
5.
“单击时间”“2016-06-24T19:17:44.000Z”
6.
“MessageId”“8C6CFEDD-3050-4D65-8C09-C5F65C38DA81”
7.
“接受者”“bruce.wayne@pharmtech.zz”
8.
“发件人”“9FacBF452DEF2D7EFC5B5C48CDB837FA@badguy.zz”
9.
“senderip”“192.0.2.255”
10.
“威胁”“61F7622167144DBA5E3AE4480EEEE78B23D66F7DFED970CFC3D086CC0DABDF50”
11.
“威胁”“2020-03-01T12:17:46.0​​00Z”
12.
“威胁”“https://threatilesight.proofpoint.com/#/73AA0499-DFC8-75EB-1DE8-A471B24A2E75/THREAT/U/61F7622167144DBA5E3AE4480EEEE78B23D66F7DFED970CFC3D086CC0DABDF50”
13.
“URL”“http://badguy.zz/”
14.
“用户代理”“Mozilla / 5.0(Windowsnt6.1; Wow64; RV:27.0)Gecko / 20100101Firefox / 27.0”
15.
“EventTypestring”“clickspermited”
16.
}
         
杰森
1
“{”
2
GUID.“:”
3.
C26.DBEA.0.-80D.5.-463.B - B.93.C -4E8.B.708219ce“,”
4.
QID.“:”
5.
R.2fnwrhf.004109“,”
6.
ccaddresses.“:[”
7.
Bruce.wayne @university - of -education.zz“],”
8.
clusterid.“:”
9.
Pharmtech_Hosted.“,”
10.
完全写的“:”
11.
真的“,”
12.
脱离“:”
13.
Badguy @ evil.zz.“,”
14.
标题“:”\
15.
“Bruce Wayne \”“标题”“\“一种。badguy \““标题写道”空值“headerto”“\”clark kent \“; \”diana prince \““Impostorscore”0.“Malwarescore”100.“MessageId”“20160624211145.62086.mail@evil.zz”“xmailer”“spambot v2.5”“MessageParts”[{
16.
“内容类型”“文字/平原”
17.
“倾向”“排队”
18.
“文档名称”“text.txt”
19.
“MD5”“008C5926CA861023C1D2A36653FD88E2”
20.
“Ocontenttype”“文字/平原”
21.
“Sandboxstatus”“不支持”
22.
“SHA256”“85738F8F9A7F1B04B5329C590BCB9E425925C6D0984089C43A022DE4F19C281”
23.
}{
24.
“内容类型”“application / pdf”
25.
“倾向”“随附的”
26.
“文档名称”“Pharmtech.pdf的发票”
27.
“MD5”“5873C7D37608E0D49BCAA6F32B6C731F”
28.
“Ocontenttype”“application / pdf”
29.
“Sandboxstatus”“威胁”
30.
“SHA256”“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”
31.
}]“messagetime”“2020-03-01T12:59:38.000Z”“modulesrun”[“pdr”“沙箱”“垃圾邮件”“urdefense”]“phishscore”46.“Policyroutes”[“default_inbound”“高管”]“QuarantineFolder”“依恋防御”“隔离”“module.sandbox.threat”“接受者”[“clark.kent@phamtech.zz”“diana.prince@pharmtech.zz”]“ReplyToaddress”空值“发件人”“E99D7ED5580193F36A51F597BC2C0210@Evil.zz”“senderip”“192.0.2.255”“spamscore”4.“主题”“请找到完全安全的发票。”“威胁毒液”[{
32.
“campaignid”“46E01B8A-C899-404D-BCD9-189BB393D1A7”
33.
“分类”“恶意软件”
34.
“威胁”“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”
35.
“威胁”“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”
36.
“威胁状态”“积极的”
37.
“威胁”“2016-06-24T21:18:38.000Z”
38.
“威胁性”“依恋”
39.
“威胁”“https://threationight.proofpoint.com/#/73aa0499-dfc8-75eb-2e75-a471b24a2e75/threat/u/2fab740f143fc1aa4c1cd0146d334c5593b1428f6d062b2c406e55593b12c406e5593b1428f6d062b2c406e5592b2c406e5593b12c406e5593b12c406e5592b2c406e5592b2c406e5592b2c406e5592b2c406e5592b2c406e5593b2c406e5fe8abe95ca”
40
}{
41.
“campaignid”“46E01B8A-C899-404D-BCD9-189BB393D1A7”
42.
“分类”“恶意软件”
43.
“威胁”“badsite.zz”
44.
“威胁”“3BA97FC852C66A7BA761450EDFDFB9F4FFAB74715B591294F78B5E37A76481AA”
45.
“威胁”“2016-06-24T21:18:07.000Z”
46.
“威胁性”“URL”
47.
“威胁”“https://threationight.prooppoint.com/#/73aa0499-dfc8-75eb-2e75/threat/u/3ba97fc852c66a7ba761450edfdfb9f4ffab74715b591294f78b5e37a76481aa”
48.
}]“toaddresses”[“clark.kent@phamtech.zz”“diana.prince@pharmtech.zz”]“EventTypestring”“messageblocked”
49.
}
50.