Connettore Wiz per Microsoft Sentinel

  • Articolo

Il connettore Wiz consente di inviare facilmente problematiche di Wiz, risultati della vulnerabilità e log di controllo a Microsoft Sentinel.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Wiz

Esempi di query

Riepilogo in base alla gravità dei problemi

WizIssues_CL
         
| summarize Count=count() by severity_s

Prerequisiti

Per l'integrazione con Wiz, assicurarsi che siano disponibili gli elementi seguenti:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • Credenziali dell'account del servizio Wiz: assicurarsi di essere in possesso dell'ID client dell'account del servizio Wiz e il segreto client, l'URL dell'endpoint API e l'URL di autenticazione. Le istruzioni sono disponibili nella documentazione di Wiz.

Istruzioni per l’installazione di Vendor

Nota

Questo connettore: utilizza Funzioni di Azure per connettersi all'API Wiz per eseguire il pull delle problematiche della Wiz, dei risultati della vulnerabilità e dei log di controllo in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni. Crea un insieme di credenziali chiave di Azure con tutti i parametri necessari archiviati come segreti.

PASSAGGIO 1 - Ottenere le credenziali Wiz

Seguire le istruzioni sulla documentazione Wiz per ottenere le credenziali richieste.

PASSAGGIO 2 - Distribuire il connettore e la funzione di Azure associata

IMPORTANTE: Prima di distribuire il connettore Wiz, essere in possesso dell'ID area di lavoro e la chiave primaria dell'area di lavoro (possono essere copiati da quanto segue), nonché le credenziali Wiz del passaggio precedente.

Opzione 1: distribuire utilizzando il modello di Azure Resource Manager (ARM).

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

  3. Immettere i parametri seguenti:

  • Scegliere KeyVaultName e FunctionName per le nuove risorse
  • Immettere le credenziali Wiz seguenti di cui al passaggio 1: WizAuthUrl, WizEndpointUrl, WizClientId e WizClientSecret
  • Immettere le credenziali dell'area di lavoro AzureLogsAnalyticsWorkspaceId e AzureLogAnalyticsWorkspaceSharedKey
  • Scegliere i tipi di dati Wiz da inviare a Microsoft Sentinel, scegliere almeno uno tra Problematiche di Wiz, Risultati della vulnerabilitàe Log di controllo.
  • (facoltativo) seguire Documentazione Wiz per aggiungere IssuesQueryFilter, VulnerbailitiesQueryFilter e AuditLogsQueryFilter.
  1. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.
  2. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2: distribuzione manuale della funzione di Azure

Seguire Documentazione Wiz per distribuire manualmente il connettore.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.