Connecteur Wiz pour Microsoft Sentinel

  • Article

Le connecteur Wiz vous permet d’envoyer facilement des problèmes Wiz, des résultats de Vulnérabilité et des journaux d’audit à Microsoft Sentinel.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Wiz

Exemples de requête

Résumé par gravité des problèmes

WizIssues_CL
         
| summarize Count=count() by severity_s

Prérequis

Pour l'intégration avec Wiz, vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Informations d’identification du compte de service Wiz : vérifiez que vous disposez de l’ID client du compte de service Wiz et de la clé secrète client, de l’URL du point de terminaison de l’API et de l’URL d’authentification. Vous trouverez des instructions dans la documentation Wiz.

Instructions d’installation du fournisseur

Remarque

Ce connecteur : utilise Azure Functions pour se connecter à l’API Wiz, afin d’extraire les problèmes Wiz, les résultats des vulnérabilités et les journaux d’audit dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions. Crée un Azure Key Vault avec tous les paramètres requis stockés en tant que secrets.

ÉTAPE 1 : Obtenir vos informations d’identification Wiz

Suivez les instructions dans la documentation Wiz pour obtenir les informations d’identification requises.

ÉTAPE 2 : Déployer le connecteur et la fonction Azure associée.

IMPORTANT : avant le déploiement du connecteur Wiz, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (peuvent être copiés à partir des éléments suivants), ainsi que les informations d’identification Wiz à partir de l’étape précédente.

Option 1 : Déployer à l’aide du modèle Azure Resource Manager (ARM)

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les paramètres suivants :

  • Choisissez KeyVaultName et FunctionName pour les nouvelles ressources
  • Entrez les informations d’identification Wiz suivantes de l’étape 1 : WizAuthUrl, WizEndpointUrl, WizClientId et WizClientSecret
  • Entrez les informations d’identification de l’espace de travail AzureLogsAnalyticsWorkspaceId et AzureLogAnalyticsWorkspaceSharedKey
  • Choisissez les types de données Wiz que vous souhaitez envoyer à Microsoft Sentinel, choisissez-en au moins un type parmi les Problèmes Wiz, les résultats des vulnérabilitéset les journaux d’audit.
  • (facultatif) suivez la documentation Wiz pour ajouter IssuesQueryFilter, VulnerbailitiesQueryFilteret AuditLogsQueryFilter.
  1. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
  2. Cliquez sur Acheter pour déployer.

Option 2 : déploiement manuel de la fonction Azure

Suivez la documentation Wiz pour déployer le connecteur manuellement.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.