Conector Wiz para Microsoft Sentinel

  • Artículo

El conector Wiz permite enviar fácilmente a Microsoft Sentinel problemas, hallazgos de vulnerabilidades y registros de auditoría de Wiz.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Wiz

Ejemplos de consultas

Resumen según la gravedad de los problemas

WizIssues_CL
         
| summarize Count=count() by severity_s

Requisitos previos

Para la integración con Wiz, asegúrese de tener lo siguiente:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
  • Credenciales de la cuenta de servicio de Wiz: asegúrese de tener el id. de cliente y el secreto de cliente de la cuenta de servicio de Wiz, la dirección URL del punto de conexión de la API y la dirección URL de autenticación. Encontrará instrucciones en la documentación de Wiz.

Instrucciones de instalación del proveedor

Nota:

Este conector: usa Azure Functions para conectarse a la API de Wiz para obtener problemas, hallazgos de vulnerabilidades y registros de auditoría de Wiz en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información. Crea una instancia de Azure Key Vault con todos los parámetros necesarios almacenados como secretos.

PASO 1: Obtener las credenciales de Wiz

Siga las instrucciones de la documentación de Wiz para obtener las credenciales necesarias.

PASO 2: Implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de Wiz, tenga a mano el id. y la clave principal del área de trabajo (se pueden copiar a continuación), así como las credenciales de la API de Wiz del paso anterior.

Opción 1: Implementar mediante la plantilla de Azure Resource Manager (ARM)

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Deploy To Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escriba los siguientes parámetros:

  • Elija KeyVaultName y FunctionName para los nuevos recursos.
  • Escriba las siguientes credenciales de Wiz del paso 1: WizAuthUrl, WizEndpointUrl, WizClientIdy WizClientSecret.
  • Escriba las credenciales del área de trabajo AzureLogsAnalyticsWorkspaceId y AzureLogAnalyticsWorkspaceSharedKey
  • Elija los tipos de datos de Wiz que desea enviar a Microsoft Sentinel; elija al menos uno de los siguientes: Problemas de Wiz, Hallazgos de vulnerabilidades y Registros de auditoría.
  • (Opcional). Siga la documentación de Wiz para agregar IssuesQueryFilter, VulnerbailitiesQueryFilter y AuditLogsQueryFilter.
  1. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.
  2. Haga clic en Comprar para iniciar la implementación.

Opción 2: Implementar manualmente la función de Azure

Siga la documentación de Wiz para implementar el conector manualmente.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.