Freigeben über

Wiz-Connector für Microsoft Sentinel

  • Artikel

Mit dem Wiz-Connector können Sie auf einfache Weise Wiz-Probleme, Erkenntnisse zu Sicherheitsrisiken und Überwachungsprotokolle an Microsoft Sentinel senden.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Wiz

Abfragebeispiele

Zusammenfassung nach Schweregrad von Problemen

WizIssues_CL
         
| summarize Count=count() by severity_s

Voraussetzungen

Um Wiz zu integrieren, müssen Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Wiz-Dienstkontoanmeldeinformationen: Stellen Sie sicher, dass Sie über die Client-ID Ihres Wiz-Dienstkontos und den geheimen Clientschlüssel, die API-Endpunkt-URL und die Authentifizierungs-URL verfügen. Anweisungen finden Sie in der Wiz-Dokumentation.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector: Verwendet Azure Functions, um eine Verbindung mit der Wiz-API herzustellen, um Wiz-Probleme, Sicherheitsrisikoerkenntnisse und Überwachungsprotokolle in Microsoft Sentinel abzurufen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions. Erstellt einen Azure Key Vault mit allen erforderlichen Parametern, die als Geheimnisse gespeichert werden.

SCHRITT 1 – Abrufen Ihrer Wiz-Anmeldeinformationen

Folgen Sie den Anweisungen in der Wiz-Dokumentation, um die erforderlichen Anmeldeinformationen abzurufen.

SCHRITT 2 – Bereitstellen des Connectors und der zugeordneten Azure-Funktion

WICHTIG: Für die Bereitstellung des Wiz-Connectors müssen Sie über die Arbeitsbereichs-ID und den Primärschlüssel für den Arbeitsbereich verfügen (diese können in den folgenden Schritten kopiert werden), sowie über die Wiz-Anmeldeinformationen aus dem vorherigen Schritt.

Option 1: Bereitstellung mithilfe der Azure Resource Manager (ARM)-Vorlage

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Legen Sie die folgenden Parameter fest:

  • Wählen Sie KeyVaultName und FunctionName für die neuen Ressourcen aus
  • Geben Sie die folgenden Wiz-Anmeldeinformationen aus Schritt 1 ein: WizAuthUrl, WizEndpointUrl, WizClientId und WizClientSecret
  • Geben Sie die Arbeitsbereich-Anmeldeinformationen AzureLogsAnalyticsWorkspaceId und AzureLogAnalyticsWorkspaceSharedKey ein
  • Wählen Sie die Wiz-Datentypen aus, die Sie an Microsoft Sentinel senden möchten, wählen Sie mindestens einen Typ aus Wiz-Probleme, Sicherheitsrisikoerkenntnisse und Überwachungsprotokolle aus.
  • (optional) Folgen Sie der Wiz-Dokumentation, um IssuesQueryFilter, VulnerbailitiesQueryFilter und AuditLogsQueryFilter hinzuzufügen.
  1. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
  2. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung der Azure-Funktion

Folgen Sie der Wiz-Dokumentation, um den Connector manuell bereitzustellen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.