Connessione a un'origine dati dell'asset Proofpoint

Modifica in linea

Il connettore Proofpoint Connected Assets and Risk può essere eseguito nel cluster della piattaforma. Il connettore sincronizza in modo incrementale il contenuto dei database di asset Proofpoint con i dati gestiti dal servizio Connected Assets and Risk .

Prima di iniziare

Collabora con un amministratore o un proprietario dell'account Proofpoint per ottenere le credenziali di accesso per accedere al dashboard TAP. Una coppia di credenziali API, che è un principio e un segreto con accesso per ottenere gli eventi Proofpoint , può essere generata dalla pagina TAP dashboard settings .

Informazioni su questa attività

Il connettore Proofpoint è progettato per funzionare con Proofpoint 8.18 utilizzando l'endpoint dell'API v2/siem/all .

Procedura

  1. Andare a Menu > Connessioni > Origini dati.
  2. Nella scheda Asset, fare clic su Connetti un asset.
  3. Fare clic su Punto di prova, quindi su Avanti.
  4. Configurare la connessione all'origine dati
    1. Nel campo Nome connettore , assegnare un nome per identificare in modo univoco la connessione all'origine dati.
      Suggerimento sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    2. Nel campo Descrizione connettore , scrivere una descrizione per indicare lo scopo della connessione dell'origine dati.
      Suggerimento sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Nel campo Edge gateway (facoltativo) , specificare quale IBM® Security Edge Gateway utilizzare.

      Selezionare un Edge Gateway per ospitare il connettore. Edge Gateway deve essere versione 1.6 o successiva. Possono essere necessari fino a 5 minuti per stabilire la connessione a Edge Gateway.

      Importante: se hai un firewall tra il tuo cluster della piattaforma e la destinazione dell'origine dati, utilizza Edge Gateway per ospitare i contenitori.

      Per ulteriori informazioni, vedi Configurazione di Edge Gateway.

    4. Nel campo Frequenza , impostare la frequenza con cui il connettore importa i dati dall'origine dati, in minuti.
      Il valore deve essere un numero intero.
      Ad esempio, un valore di 5 fa sì che il connettore venga eseguito ogni 5 minuti.
      Se l'origine dati non ha molti asset o non si desidera importare spesso i dati, ridurre la frequenza.
  5. Nella sezione Configurazioni , fare clic su Aggiungi una configurazione.
  6. Configurare l'identità e l'accesso.
    1. Fare clic su Modifica accesso e scegliere quali utenti possono connettersi all'origine dati e il tipo di accesso.
    2. Nel campo Nome configurazione , immettere un nome univoco per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Nel campo Descrizione configurazione , immettere una descrizione univoca per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    4. Nel campo ProofPoint_URL , immetti l'API Proofpoint .
    5. Nel campo Principio , immetti il valore di principio dalle credenziali API Proofpoint .
    6. Nel campo Segreto , immetti il valore segreto dalle credenziali API Proofpoint .
    7. Fare clic su Aggiungi.
    8. Per salvare la propria configurazione e stabilire la connessione, fare clic su Fine.
  7. Per modificare le configurazioni, completare la seguente procedura:
    1. Nella scheda Asset , selezionare la connessione all'origine dati che si desidera modificare
    2. Nella sezione Configurazioni , fare clic su Modifica configurazione (Icona Modifica configurazione).
    3. Modificare i parametri di identità e di accesso e fare clic su Salva.

Risultati

Il connettore importa i dati dall'origine dati. Il connettore importa nuovamente l'origine dati all'intervallo impostato nel campo Frequenza .

È possibile vedere la configurazione della connessione dell'origine dati aggiunta in Connessioni nella scheda Asset della pagina Impostazioni origine dati . Un messaggio sulla scheda indica la connessione con l'origine dati.

Quando si aggiunge un'origine dati, potrebbero essere necessari alcuni minuti prima che l'origine dati venga visualizzata come connessa.
Suggerimento: dopo aver connesso un'origine dati, potrebbero essere necessari fino a 30 secondi per richiamare i dati. Prima che venga restituito il dataset completo, l'origine dati potrebbe essere visualizzata come non disponibile. Una volta restituiti i dati, l'origine dati viene visualizzata come connessa e si verifica un meccanismo di polling per convalidare lo stato della connessione. Lo stato della connessione è valido per 60 secondi dopo ogni polling.

È possibile aggiungere altre configurazioni di connessione per questa origine dati che hanno utenti e autorizzazioni di accesso ai dati differenti.

Operazioni da eseguire successivamente

Verificare la connessione ricercando un indirizzo IP in IBM Security Data Explorer che corrisponda a una origine dati asset. In Data Explorer, fare clic su un indirizzo IP per visualizzare i relativi asset e rischi associati.

Per utilizzare Data Explorer, è necessario disporre di origini dati connesse in modo che l'applicazione possa eseguire query e richiamare risultati in una serie unificata di origini dati. I risultati della ricerca variano a seconda dei dati contenuti nell'origine dati configurata. Per ulteriori informazioni su come creare una query in Data Explorer, vedi Crea una query.