Wiz-összekötő a Microsoft Sentinelhez

  • Cikk

A Wiz-összekötővel egyszerűen küldhet Wiz-problémákat, sebezhetőségi findinsg- és auditnaplókat a Microsoft Sentinelnek.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Wiz

Példák lekérdezésekre

Összefoglalás a problémák súlyossága szerint

WizIssues_CL
         
| summarize Count=count() by severity_s

Előfeltételek

A Wiz-vel való integrációhoz győződjön meg arról, hogy a következőkkel rendelkezik:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Wiz-szolgáltatásfiók hitelesítő adatai: Győződjön meg arról, hogy rendelkezik a Wiz-szolgáltatásfiók ügyfélazonosítójával és titkos ügyfélkódjával, az API-végpont URL-címéhez és a hitelesítési URL-címéhez. Az utasítások a Wiz dokumentációjában találhatók.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő: Az Azure Functions használatával csatlakozik a Wiz API-hoz Wiz-problémák, biztonságirés-megállapítások és naplózási naplók lekéréséhez a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát . Létrehoz egy Azure Key Vaultot, amely az összes szükséges paramétert titkos kódként tárolja.

1. LÉPÉS – Wiz-hitelesítő adatok lekérése

Kövesse a Wiz dokumentációjában található utasításokat a lekért hitelesítő adatok beszerzéséhez.

2. LÉPÉS – Az összekötő és a társított Azure-függvény üzembe helyezése

FONTOS: A Wiz Csatlakozás or üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint az előző lépés Wiz-hitelesítő adataival.

1. lehetőség: Üzembe helyezés az Azure Resource Manager (ARM) sablon használatával

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a következő paramétereket:

  • Válassza a KeyVaultName és a FunctionName lehetőséget az új erőforrásokhoz
  • Adja meg a következő Wiz-hitelesítő adatokat az 1. lépésből: WizAuthUrl, WizEndpointUrl, WizClientId és WizClientSecret
  • Adja meg a munkaterület hitelesítő adatait az AzureLogsAnalyticsWorkspaceId és az AzureLogAnalyticsWorkspaceSharedKey
  • Válassza ki a Microsoft Sentinelnek küldeni kívánt Wiz-adattípusokat, válasszon legalább egyet a Wiz-problémák, a biztonságirés-megállapítások és a naplózási naplók közül.
  • (nem kötelező) kövesse a Wiz dokumentációját az IssuesQueryFilter, a VulnerbailitiesQueryFilter és az AuditLogsQueryFilter hozzáadásához.
  1. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.
  2. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség: Az Azure-függvény manuális üzembe helyezése

Kövesse a Wiz dokumentációját az összekötő manuális üzembe helyezéséhez.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.