Mengumpulkan log Isolasi Browser Web Proofpoint
Dokumen ini menjelaskan cara menyerap log Proofpoint Web Browser Isolation ke Google Security Operations menggunakan Google Cloud Storage V2.
Proofpoint Web Browser Isolation adalah layanan isolasi browser jarak jauh yang melindungi pengguna dari ancaman berbasis web dengan merender konten web di lingkungan cloud yang aman, sehingga mencegah kode berbahaya mencapai endpoint. Integrasi ini menyediakan log aktivitas penjelajahan melalui Proofpoint TAP SIEM API. Parser mengekstrak kolom dari data peristiwa isolasi dan memetakannya ke Model Data Terpadu (UDM), yang mencakup klasifikasi URL, tindakan pengguna, disposisi keamanan, dan metadata sesi penjelajahan.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Project GCP dengan Cloud Storage API diaktifkan
- Izin untuk membuat dan mengelola bucket GCS
- Izin untuk mengelola kebijakan IAM di bucket GCS
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
- Akses istimewa ke Proofpoint dengan kredensial TAP SIEM API (Service Principal dan API Secret)
Membuat bucket Google Cloud Storage
- Buka Konsol Google Cloud.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, proofpoint-wbi-logs)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Location Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Create.
Mengumpulkan kredensial Proofpoint TAP SIEM API
Mendapatkan kredensial API
- Login ke dasbor Proofpoint TAP.
- Buka Setelan > Aplikasi Terhubung.
- Klik Create New Credential (atau gunakan kredensial SIEM API yang ada).
Salin dan simpan kredensial berikut dengan aman:
- Service Principal: Salin nilai ini
- Rahasia API: Salin nilai ini
Verifikasi izin
Untuk memverifikasi bahwa kredensial API memiliki izin yang diperlukan:
- Login ke dasbor Proofpoint TAP.
- Buka Setelan > Aplikasi Terhubung.
- Pastikan kredensial tercantum dan memiliki status Aktif.
- Pastikan kredensial memiliki akses SIEM API yang diaktifkan.
Menguji akses API
Uji kredensial Anda sebelum melanjutkan integrasi:
# Replace with your actual credentials SERVICE_PRINCIPAL="<your-service-principal>" API_SECRET="<your-api-secret>" # Test TAP SIEM API access - fetch events from last hour curl -v -u "${SERVICE_PRINCIPAL}:${API_SECRET}" \ "https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=3600"
Buat akun layanan untuk fungsi Cloud Run
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
proofpoint-wbi-collector-sa - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect Proofpoint Web Browser Isolation logs
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Grant this service account access to project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Done.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda (misalnya,
proofpoint-wbi-logs). - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
proofpoint-wbi-collector-sa@PROJECT_ID.iam.gserviceaccount.com) - Tetapkan peran: Pilih Storage Object Admin
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di Konsol GCP, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
proofpoint-wbi-trigger - Biarkan setelan lainnya menggunakan setelan default
- ID Topik: Masukkan
- Klik Create.
Membuat fungsi Cloud Run untuk mengumpulkan log
Fungsi Cloud Run akan dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil peristiwa isolasi browser dari Proofpoint TAP SIEM API dan menuliskannya ke GCS.
- Di Konsol GCP, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan proofpoint-wbi-collectorRegion Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub (
proofpoint-wbi-trigger). - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan (
proofpoint-wbi-collector-sa)
- Akun layanan: Pilih akun layanan (
Buka tab Containers:
- Klik Variables & Secrets.
- Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh Deskripsi GCS_BUCKETproofpoint-wbi-logsNama bucket GCS GCS_PREFIXwbi-logsAwalan untuk file log STATE_KEYwbi-logs/state.jsonJalur file status SERVICE_PRINCIPALyour-service-principalPrincipal Layanan TAP Proofpoint API_SECRETyour-api-secretRahasia Proofpoint TAP API LOOKBACK_SECONDS3600Periode lihat balik dalam detik (default: 1 jam) Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit)
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi
- CPU: Pilih 1
- Di bagian Materi:
Di bagian Revision scaling:
- Minimum number of instances: Masukkan
0 - Jumlah maksimum instance: Masukkan
100(atau sesuaikan berdasarkan perkiraan beban)
- Minimum number of instances: Masukkan
Klik Create.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di kolom Entry point.
Di editor kode inline, buat dua file:
File pertama - main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time import base64 # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=60.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'wbi-logs') STATE_KEY = os.environ.get('STATE_KEY', 'wbi-logs/state.json') SERVICE_PRINCIPAL = os.environ.get('SERVICE_PRINCIPAL') API_SECRET = os.environ.get('API_SECRET') LOOKBACK_SECONDS = int(os.environ.get('LOOKBACK_SECONDS', '3600')) TAP_API_BASE = "https://tap-api-v2.proofpoint.com/v2/siem" def parse_datetime(value: str) -> datetime: """Parse ISO datetime string to datetime object.""" if value.endswith("Z"): value = value[:-1] + "+00:00" return datetime.fromisoformat(value) @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch Proofpoint Web Browser Isolation events via TAP SIEM API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, SERVICE_PRINCIPAL, API_SECRET]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(GCS_BUCKET) # Load state state = load_state(bucket, STATE_KEY) now = datetime.now(timezone.utc) # Determine since_seconds from state since_seconds = LOOKBACK_SECONDS if isinstance(state, dict) and state.get("last_event_time"): try: last_time = parse_datetime(state["last_event_time"]) elapsed = (now - last_time).total_seconds() # Add 120 seconds overlap to catch delayed events since_seconds = int(elapsed) + 120 # TAP API maximum is 1 hour (3600 seconds) since_seconds = min(since_seconds, 3600) except Exception as e: print(f"Warning: Could not parse last_event_time: {e}") print(f"Fetching events from last {since_seconds} seconds") # Build auth header (Basic auth) auth_string = f"{SERVICE_PRINCIPAL}:{API_SECRET}" auth_bytes = auth_string.encode('utf-8') auth_b64 = base64.b64encode(auth_bytes).decode('utf-8') # Fetch all SIEM events records = fetch_siem_events( auth_b64=auth_b64, since_seconds=since_seconds, ) if not records: print("No new events found.") save_state(bucket, STATE_KEY, now.isoformat()) return # Write to GCS as NDJSON timestamp = now.strftime('%Y%m%d_%H%M%S') object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson" blob = bucket.blob(object_key) ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n' blob.upload_from_string(ndjson, content_type='application/x-ndjson') print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}") # Update state save_state(bucket, STATE_KEY, now.isoformat()) print(f"Successfully processed {len(records)} records") except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f"Warning: Could not load state: {e}") return {} def save_state(bucket, key, last_event_time_iso: str): """Save the last event timestamp to GCS state file.""" try: state = {'last_event_time': last_event_time_iso} blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print(f"Saved state: last_event_time={last_event_time_iso}") except Exception as e: print(f"Warning: Could not save state: {e}") def fetch_siem_events(auth_b64: str, since_seconds: int): """ Fetch events from the Proofpoint TAP SIEM API. The TAP SIEM API returns all event types (clicks, messages, isolation) in a single response. The sinceSeconds parameter controls the lookback window (maximum 3600 seconds / 1 hour). Args: auth_b64: Base64-encoded Service Principal:API Secret for Basic auth since_seconds: Fetch events from the last N seconds (max 3600) Returns: List of event records """ headers = { 'Authorization': f'Basic {auth_b64}', 'Accept': 'application/json', 'User-Agent': 'GoogleSecOps-ProofpointWBICollector/1.0', } url = f"{TAP_API_BASE}/all?format=json&sinceSeconds={since_seconds}" backoff = 1.0 max_retries = 3 for attempt in range(max_retries): try: response = http.request('GET', url, headers=headers) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue if response.status != 200: print(f"HTTP Error: {response.status}") response_text = response.data.decode('utf-8') print(f"Response body: {response_text}") return [] data = json.loads(response.data.decode('utf-8')) # TAP SIEM API returns events grouped by type all_events = [] # Collect all event types for key in ['clicksPermitted', 'clicksBlocked', 'messagesDelivered', 'messagesBlocked']: events = data.get(key, []) if events: for event in events: event['_tap_event_type'] = key all_events.extend(events) print(f"Retrieved {len(events)} {key} events") print(f"Total events retrieved: {len(all_events)}") return all_events except Exception as e: print(f"Error fetching SIEM events (attempt {attempt + 1}): {e}") if attempt < max_retries - 1: time.sleep(backoff) backoff = min(backoff * 2, 30.0) return []File kedua - requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0
Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler akan memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama proofpoint-wbi-collector-hourlyRegion Pilih region yang sama dengan fungsi Cloud Run Frekuensi 0 * * * *(setiap jam, tepat pada waktunya)Zona Waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih topik Pub/Sub ( proofpoint-wbi-trigger)Isi pesan {}(objek JSON kosong)Klik Create.
Opsi frekuensi jadwal
Pilih frekuensi berdasarkan volume log dan persyaratan latensi:
| Frekuensi | Ekspresi Cron | Kasus Penggunaan |
|---|---|---|
| Setiap 5 menit | */5 * * * * |
Volume tinggi, latensi rendah |
| Setiap 15 menit | */15 * * * * |
Volume sedang |
| Setiap jam | 0 * * * * |
Standar (direkomendasikan) |
Menguji integrasi
- Di konsol Cloud Scheduler, temukan tugas Anda.
- Klik Force run untuk memicu tugas secara manual.
- Tunggu beberapa detik.
- Buka Cloud Run > Services.
- Klik nama fungsi Anda (
proofpoint-wbi-collector). - Klik tab Logs.
Pastikan fungsi berhasil dieksekusi. Cari:
Fetching events from last 3600 seconds Retrieved X clicksPermitted events Retrieved X messagesDelivered events Total events retrieved: X Wrote X records to gs://proofpoint-wbi-logs/wbi-logs/logs_YYYYMMDD_HHMMSS.ndjson Successfully processed X recordsBuka Cloud Storage > Buckets.
Klik nama bucket Anda (
proofpoint-wbi-logs).Buka folder awalan (
wbi-logs/).Pastikan file
.ndjsonbaru dibuat dengan stempel waktu saat ini.
Jika Anda melihat error dalam log:
- HTTP 401: Periksa Service Principal dan Rahasia API di variabel lingkungan
- HTTP 403: Pastikan kredensial memiliki akses SIEM API dan peristiwa isolasi browser disertakan dalam langganan Anda
- HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
- Variabel lingkungan tidak ada: Pastikan semua variabel yang diperlukan telah ditetapkan
Mengambil akun layanan Google SecOps
Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.
Dapatkan email akun layanan
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Proofpoint Web Browser Isolation Logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Proofpoint Web Browser Isolation sebagai Jenis log.
- Klik Get Service Account.
Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini untuk digunakan di langkah berikutnya.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://proofpoint-wbi-logs/wbi-logs/- Ganti:
proofpoint-wbi-logs: Nama bucket GCS Anda.wbi-logs: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
- Ganti:
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir (defaultnya adalah 180 hari)
Namespace aset: Namespace aset
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda (misalnya,
proofpoint-wbi-logs). - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps
- Tetapkan peran: Pilih Storage Object Viewer
Klik Simpan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| metadata.event_type | Jenis acara | |
| kategori | metadata.product_event_type | Jenis acara khusus produk |
| parentPageURL | metadata.url_back_to_product | URL yang ditautkan kembali ke produk |
| region | principal.location.country_or_region | Negara atau wilayah lokasi prinsipal |
| zona | principal.location.name | Nama lokasi kepala sekolah |
| userId | principal.user.product_object_id | ID khusus produk untuk pengguna |
| userName | principal.user.userid | ID pengguna |
| security_result | security_result | Detail hasil keamanan |
| disposisi | security_result.action | Tindakan keamanan yang diambil |
| disposisi | security_result.action_details | Detail tindakan keamanan |
| klasifikasi | security_result.detection_fields | Kolom terkait deteksi |
| url | target.url | URL resource target |
| metadata.product_name | Nama produk | |
| metadata.vendor_name | Nama vendor |
Log Perubahan
Melihat Log Perubahan untuk parser ini
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.