Konektor Wiz pro Microsoft Sentinel

  • Článek

Konektor Wiz umožňuje snadno odesílat problémy s Wiz, zjištění ohrožení zabezpečení a protokoly auditu do služby Microsoft Sentinel.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Wiz

Ukázky dotazů

Shrnutí podle závažnosti problémů

WizIssues_CL
         
| summarize Count=count() by severity_s

Požadavky

Pokud chcete provést integraci s Wiz, ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje účtu služby Wiz: Ujistěte se, že máte ID klienta účtu služby Wiz a tajný klíč klienta, adresu URL koncového bodu rozhraní API a adresu URL ověřování. Pokyny najdete v dokumentaci k Wiz.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor: Používá Azure Functions k připojení k rozhraní Wiz API k vyžádání problémů s Wizem, zjištění ohrožení zabezpečení a protokolů auditu do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions. Vytvoří Azure Key Vault se všemi požadovanými parametry uloženými jako tajné kódy.

KROK 1 – Získání přihlašovacích údajů Wiz

Podle pokynů v dokumentaci k Wiz získejte přihlašovací údaje.

KROK 2: Nasazení konektoru a přidružené funkce Azure Functions

DŮLEŽITÉ: Před nasazením konektoru Wiz zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a přihlašovací údaje Wiz z předchozího kroku.

Možnost 1: Nasazení pomocí šablony Azure Resource Manageru (ARM)

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte následující parametry:

  • Pro nové prostředky zvolte KeyVaultName a FunctionName .
  • Zadejte následující přihlašovací údaje Wiz z kroku 1: WizAuthUrl, WizEndpointUrl, WizClientId a WizClientSecret.
  • Zadejte přihlašovací údaje pracovního prostoru AzureLogsAnalyticsWorkspaceId a AzureLogAnalyticsWorkspaceSharedKey.
  • Zvolte datové typy Wiz, které chcete odeslat do Služby Microsoft Sentinel, zvolte alespoň jeden z témat Problémy s Wiz, Zjištění ohrožení zabezpečení a Protokoly auditu.
  • (volitelné) Podle dokumentace Wiz přidejte IssuesQueryFilter, VulnerbailitiesQueryFilter a AuditLogsQueryFilter.
  1. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.
  2. Kliknutím na Koupit nasadíte.

Možnost 2: Ruční nasazení funkce Azure Functions

Pokud chcete konektor nasadit ručně, postupujte podle dokumentace k Wiz.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.