Proofpoint 資産データ・ソースへの接続

オンライン編集

Proofpoint Connected Assets and Risk コネクターは、プラットフォーム・クラスターで実行できます。 コネクターは、 Proofpoint 資産データベースの内容を、 Connected Assets and Risk サービスによって管理されるデータと増分的に同期します。

始める前に

Proofpoint 管理者またはアカウント所有者と連携して、TAP ダッシュボードにアクセスするためのログイン資格情報を取得します。 Proofpoint イベントを取得するためのアクセス権限を持つプリンシパルとシークレットである API 資格情報ペアは、 「TAP ダッシュボード設定」 ページから生成できます。

このタスクについて

Proofpoint コネクターは、 v2/siem/all API エンドポイントを使用して Proofpoint 8.18 と連携するように設計されています。

手順

  1. メニュー > 「接続」 > 「データ・ソース」に移動します。
  2. 「アセット」タブで、 「アセットの接続」をクリックします。
  3. 「プルーフィング・ポイント (Proofpoint)」をクリックしてから、 「次へ」をクリックします。
  4. データ・ソースへの接続を構成します。
    1. 「コネクター名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      ヒント: 使用できるのは、英数字と以下の特殊文字のみです。 - . _
    2. 「コネクターの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      ヒント: 使用できるのは、英数字と以下の特殊文字のみです。 - . _
    3. 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する IBM® Security Edge Gateway を指定します。

      コネクターをホストする Edge Gateway を選択します。 Edge Gateway は、バージョン 1.6 以降でなければなりません。 Edge Gatewayへの接続を確立するには、最大 5 分かかる場合があります。

      重要: プラットフォーム・クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。

      詳しくは、 エッジ・ゲートウェイのセットアップを参照してください。

    4. 「頻度」 フィールドで、コネクターがデータ・ソースからデータをインポートする頻度を分単位で設定します。
      この値は整数でなければなりません。
      例えば、値が 5 の場合、コネクターは 5 分ごとに実行されます。
      データ・ソースに多くの資産がない場合、またはデータを頻繁にインポートしない場合は、頻度を減らしてください。
  5. 「構成」 セクションで、 「構成の追加」をクリックします。
  6. ID およびアクセス権限を構成します。
    1. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
    2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
    3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
    4. 「ProofPoint_URL」 フィールドに Proofpoint API を入力します。
    5. プリンシパル 」フィールドに、 Proofpoint API 資格情報からのプリンシパル値を入力します。
    6. 「シークレット」 フィールドに、 Proofpoint API 資格情報のシークレット値を入力します。
    7. 「追加」をクリックします。
    8. 構成を保存して接続を確立するには、 「完了」をクリックします。
  7. 構成を編集するには、以下の手順を実行します。
    1. 「資産」 タブで、編集するデータ・ソース接続を選択します。
    2. 「構成」 セクションで、 「構成の編集」 (「構成の編集」アイコン) をクリックします。
    3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。

結果

コネクターは、データ・ソースからデータをインポートします。 コネクターは、「頻度」フィールドで設定した間隔でデータ・ソースを再度インポートします。

「データ・ソース設定」 ページの 「資産」 タブで、「接続」の下に追加したデータ・ソース接続構成を確認できます。 カード上のメッセージは、データ・ソースとの接続を示します。

データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。
ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

次に実行するタスク

アセット・データ・ソースに一致する IP アドレスを IBM Security Data Explorer で検索して、接続をテストします。 Data Explorerで、IP アドレスをクリックすると、その IP アドレスに関連付けられているアセットとリスクが表示されます。

Data Explorerを使用するには、アプリケーションが統一されたデータ・ソース・セット全体で照会を実行して結果を取得できるように、データ・ソースが接続されている必要があります。 検索結果は構成済みのデータ・ソースに含まれるデータによって異なります。 Data Explorerで照会を作成する方法について詳しくは、 照会の作成を参照してください。