Conector Wiz para Microsoft Sentinel

  • Artigo

O conector Wiz permite que você envie facilmente Problemas do Wiz, Descobertas de Vulnerabilidades e Logs de auditoria para o Microsoft Sentinel.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Wiz

Exemplos de consulta

Resumo por gravidade de problema

WizIssues_CL
         
| summarize Count=count() by severity_s

Pré-requisitos

Para integração com Wiz, certifique-se de que você tenha:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais da Conta de Serviço Wiz: Certifique-se de que você tenha a ID e o segredo do cliente da conta de serviço Wiz, a URL do ponto de extremidade da API e a URL de autenticação. As instruções podem ser encontradas na Documentação Wiz.

Instruções de instalação do fornecedor

Observação

Este conector: Usa o Azure Functions para se conectar à API do Wiz para extrair Problemas, Descobertas de Vulnerabilidade e Logs de Auditoria do Wiz no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes. Cria um Azure Key Vault com todos os parâmetros necessários armazenados como segredos.

ETAPA 1 - Obtenha suas credenciais do Wiz

Siga as instruções na Documentação do Wiz para obter as credenciais necessárias.

ETAPA 2 - Implemente o conector e o Azure Functions associado

IMPORTANTE: Antes de implantar o Conector Wiz, tenha a ID do Workspace e a Chave Primária do Workspace (que podem ser copiados do seguinte), bem como as credenciais do Wiz da etapa anterior.

Opção 1: Implementar usando o Modelo Azure Resource Manager (ARM)

  1. Clique no botão Implantar no Azure abaixo.

    Deploy To Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Insira os parâmetros s seguir:

  • Escolha KeyVaultName e FunctionName para os novos recursos
  • Insira as seguintes credenciais Wiz da etapa 1: WizAuthUrl, WizEndpointUrl, WizClientId e WizClientSecret
  • Insira as credenciais do Workspace AzureLogsAnalyticsWorkspaceId e AzureLogAnalyticsWorkspaceSharedKey
  • Escolha os tipos de dados Wiz que você deseja enviar para o Microsoft Sentinel, escolha pelo menos um entre Problemas do Wiz, Descobertas de Vulnerabilidade e Logs de Auditoria.
  • (opcional) Siga a Documentação do Wiz para adicionar IssuesQueryFilter, VulnerbailitiesQueryFilter e AuditLogsQueryFilter.
  1. Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.
  2. Clique em Comprar para implantar.

Opção 2: Implantação Manual do Azure Functions

Siga a Documentação do Wiz para implantar o conector manualmente.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.