校对点挖掘
校对点目标攻击预防(TAP)是一个SIEM云技术,分析和阻止通过电子邮件来屏蔽的威胁。您可以通过校样点API将SIEM日志发送到InsightIdr。InsightIdr捕获单击和消息事件从鼠标点击。
对于消息事件,InsightIdr仅在该值时生成警报塞克塞尔核心
场地,phishscore.
领域,或者马拉瓦尔科尔
现场大于60.即使是垃圾邮件,InsightIdr也不会为垃圾邮件发出警报垃圾录
字段大于60。
要了解有关校样点的更多信息,请参阅他们的API:https://help.prooppoint.com/threat_insight_dashboard/api_documentation/siem_api.
校对点点击查询限制
由于校对点点击API限制,收集器只会尝试检索在过去7天内创建的日志。然后,收集器将使多个请求收集历史数据,直到它陷入困境,一次收集最多1小时的日志数据。
要设置鼠标点击,您需要:
在你开始之前
在将验证点点击日志发送到InsightIdr之前,您必须确保收集器可以访问tap-api-v2.prooppoint.com.
通过配置任何必要的防火墙或Web代理规则。
配置校样点点击以将数据发送到收集器
要将验证点点击日志发送到InsightIdr,您必须在校对点Tap仪表板中设置凭据。InsightIdr通过制作API调用来收集校对点水龙头的数据https://tap-api-v2.prookpoint.com/v2/siem/all?format=json&interval= pt1h/
。要使用校样点API进行身份验证,InsightIDR使用主体ID和密钥来通过在Tap Dashboard中设置凭据来创建。
在校对点中创建凭据Tap:
- 登录您的校对点Tap仪表板。
- 点击设置标签。
- 在屏幕的左侧,单击连接的应用程序。“服务凭据”部分将打开。
- 在“名称”部分中,选择创建新的凭据。
- 键入name
并单击产生按钮。 - 在生成的服务凭据弹出窗口中,显示服务主体和秘密值。注意到这些值为稍后的InsightIdr配置。
在Insutigridr中设置校样点水龙头
- 从左菜单,转到数据采集。
- 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源。
- 从安全数据部分,单击云服务图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
- 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
- 输入在TAP仪表板中设置凭据时生成的服务主体和秘密值。
- 点击节省。
验证配置
从左侧菜单中,单击日志搜索要查看原始日志以确保将事件转发到收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或“鼠标点击”。校对点抽头日志流入这些日志集:
- Web代理
- 第三方警报
日志至少需要7分钟才能出现在日志搜索中
请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。
示例输入日志:
杰森
1{2“campaignid”:“46E01B8A-C899-404D-BCD9-189BB393D1A7”那3.“分类”:“恶意软件”那4.“ClickIP”:“192.0.2.1”那5.“单击时间”:“2016-06-24T19:17:44.000Z”那6.“MessageId”:“8C6CFEDD-3050-4D65-8C09-C5F65C38DA81”那7.“接受者”:“bruce.wayne@pharmtech.zz”那8.“发件人”:“9FacBF452DEF2D7EFC5B5C48CDB837FA@badguy.zz”那9.“senderip”:“192.0.2.255”那10.“威胁”:“61F7622167144DBA5E3AE4480EEEE78B23D66F7DFED970CFC3D086CC0DABDF50”那11.“威胁”:“2020-03-01T12:17:46.000Z”那12.“威胁”:“https://threatilesight.proofpoint.com/#/73AA0499-DFC8-75EB-1DE8-A471B24A2E75/THREAT/U/61F7622167144DBA5E3AE4480EEEE78B23D66F7DFED970CFC3D086CC0DABDF50”那13.“URL”:“http://badguy.zz/”那14.“用户代理”:“Mozilla / 5.0(Windowsnt6.1; Wow64; RV:27.0)Gecko / 20100101Firefox / 27.0”那15.“EventTypestring”:“clickspermited”16.}
杰森
1“{”2GUID.“:”3.C26.DBEA.0.-80D.5.-463.B - B.93.C -4E8.B.708219ce“,”4.QID.“:”5.R.2fnwrhf.004109“,”6.ccaddresses.“:[”7.Bruce.wayne @university - of -education.zz“],”8.clusterid.“:”9.Pharmtech_Hosted.“,”10.完全写的“:”11.真的“,”12.脱离“:”13.Badguy @ evil.zz.“,”14.标题“:”\15.“Bruce Wayne \”“ 那“标题”:“\“一种。badguy \“” 那“标题写道”:空值那“headerto”:“\”clark kent \“; \”diana prince \“ 那“Impostorscore”:0.那“Malwarescore”:100.那“MessageId”:“20160624211145.62086.mail@evil.zz”那“xmailer”:“spambot v2.5”那“MessageParts”:[{” 16.“内容类型”:“文字/平原”那17.“倾向”:“排队”那18.“文档名称”:“text.txt”那19.“MD5”:“008C5926CA861023C1D2A36653FD88E2”那20.“Ocontenttype”:“文字/平原”那21.“Sandboxstatus”:“不支持”那22.“SHA256”:“85738F8F9A7F1B04B5329C590BCB9E425925C6D0984089C43A022DE4F19C281”23.}那{24.“内容类型”:“application / pdf”那25.“倾向”:“随附的”那26.“文档名称”:“Pharmtech.pdf的发票”那27.“MD5”:“5873C7D37608E0D49BCAA6F32B6C731F”那28.“Ocontenttype”:“application / pdf”那29.“Sandboxstatus”:“威胁”那30.“SHA256”:“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”31.}]那“messagetime”:“2020-03-01T12:59:38.000Z”那“modulesrun”:[“pdr”那“沙箱”那“垃圾邮件”那“urdefense”]那“phishscore”:46.那“Policyroutes”:[“default_inbound”那“高管”]那“QuarantineFolder”:“依恋防御”那“隔离”:“module.sandbox.threat”那“接受者”:[“clark.kent@phamtech.zz”那“diana.prince@pharmtech.zz”]那“ReplyToaddress”:空值那“发件人”:“E99D7ED5580193F36A51F597BC2C0210@Evil.zz”那“senderip”:“192.0.2.255”那“spamscore”:4.那“主题”:“请找到完全安全的发票。”那“威胁毒液”:[{32.“campaignid”:“46E01B8A-C899-404D-BCD9-189BB393D1A7”那33.“分类”:“恶意软件”那34.“威胁”:“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”那35.“威胁”:“2FAB740F143FC1AA4C1CD0146D334C5593B1428F6D062B2C406E5EFE8ABE95CA”那36.“威胁状态”:“积极的”那37.“威胁”:“2016-06-24T21:18:38.000Z”那38.“威胁性”:“依恋”那39.“威胁”:“https://threationight.proofpoint.com/#/73aa0499-dfc8-75eb-2e75-a471b24a2e75/threat/u/2fab740f143fc1aa4c1cd0146d334c5593b1428f6d062b2c406e55593b12c406e5593b1428f6d062b2c406e5592b2c406e5593b12c406e5593b12c406e5592b2c406e5592b2c406e5592b2c406e5592b2c406e5592b2c406e5593b2c406e5fe8abe95ca”40}那{41.“campaignid”:“46E01B8A-C899-404D-BCD9-189BB393D1A7”那42.“分类”:“恶意软件”那43.“威胁”:“badsite.zz”那44.“威胁”:“3BA97FC852C66A7BA761450EDFDFB9F4FFAB74715B591294F78B5E37A76481AA”那45.“威胁”:“2016-06-24T21:18:07.000Z”那46.“威胁性”:“URL”那47.“威胁”:“https://threationight.prooppoint.com/#/73aa0499-dfc8-75eb-2e75/threat/u/3ba97fc852c66a7ba761450edfdfb9f4ffab74715b591294f78b5e37a76481aa”48.}]那“toaddresses”:[“clark.kent@phamtech.zz”那“diana.prince@pharmtech.zz”]那“EventTypestring”:“messageblocked”49.}50.“