Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=proofpoint-overview

Panoramica dell’integrazione Proofpoint Targeted Attack Protection

API Email

Proofpoint Targeted Attack Protection (TAP) può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Proofpoint TAP

Proofpoint TAP è uno strumento di protezione delle e-mail basato sul cloud che difende gli utenti dalle minacce e-mail avanzate, come gli attacchi di phishing mirati, il malware e i BEC (Business Email Compromise). Sfrutta potenti tecnologie di analisi avanzata e machine learning per rilevare e bloccare le minacce che solitamente riescono a eludere le difese tradizionali, offrendo un approccio olistico alla prevenzione delle minacce diffuse tramite e-mail.

Documenti Sophos

Integrazione di Proofpoint Targeted Attack Protection

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • messages - malware
  • messages - phish
  • messages - spam
  • messages - impostor
  • clicks - malware
  • clicks - phish
  • clicks - spam
  • messages - toad
  • clicks - impostor
  • messages - undefined

Avvisi inseriti per intero

Raccogliamo e inseriamo attività della posta elettronica provenienti dai seguenti endpoint:

  • /v2/threat/summary/
  • /v2/forensics

Filtraggio

Filtriamo i messaggi nel modo indicato di seguito:

  • Vengono AUTORIZZATI solo i messaggi nel formato corretto.
  • I messaggi che non sono nel formato corretto vengono NEGATI e i dati non vengono RILASCIATI.

Esempi di mapping delle minacce

Definiamo il tipo di avviso in base al campo classification e aggiungiamo clicks - o messages - prima del mapping, a seconda del tipo ricevuto.

Mapping di esempio:

{"alertType": "clicks - malware", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "clicks - phish", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "messages - malware", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "messages - impostor", "threatId": "T1199",  "threatName": "Trusted Relationship"}
{"alertType": "messages - toad", "threatId": "T1566.003",  "threatName": "Spearphishing via Service"}

Documentazione del vendor