Connettore Wiz per Microsoft Sentinel

  • Articolo

Il connettore Wiz consente di inviare facilmente problemi di Wiz, findinsg di vulnerabilità e log di controllo a Microsoft Sentinel.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Wiz

Esempi di query

Riepilogo in base alla gravità dei problemi

WizIssues_CL
         
| summarize Count=count() by severity_s

Prerequisiti

Per eseguire l'integrazione con Wiz, assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali dell'account del servizio Wiz: assicurarsi di avere l'ID client dell'account del servizio Wiz e il segreto client, l'URL dell'endpoint API e l'URL di autenticazione. Le istruzioni sono disponibili nella documentazione di Wiz.

Istruzioni di installazione fornitore

Nota

Questo connettore: usa Funzioni di Azure per connettersi all'API Wiz per eseguire il pull dei problemi della Wiz, dei risultati delle vulnerabilità e dei log di controllo in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure. Crea un insieme di credenziali delle chiavi di Azure con tutti i parametri necessari archiviati come segreti.

PASSAGGIO 1 - Ottenere le credenziali della Wiz

Seguire le istruzioni nella documentazione di Wiz per ottenere le credenziali erquired.

PASSAGGIO 2: Distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il Connessione or Wiz, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dal codice seguente), nonché le credenziali Wiz del passaggio precedente.

Opzione 1: Distribuire usando il modello di Azure Resource Manager (ARM)

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere i parametri seguenti:

  • Scegliere KeyVaultName e FunctionName per le nuove risorse
  • Immettere le credenziali Wiz seguenti del passaggio 1: WizAuthUrl, WizEndpointUrl, WizClientId e WizClientSecret
  • Immettere le credenziali dell'area di lavoro AzureLogsAnalyticsWorkspaceId e AzureLogAnalyticsWorkspaceSharedKey
  • Scegliere i tipi di dati Wiz da inviare a Microsoft Sentinel, scegliere almeno uno tra Problemi della Wiz, Risultati della vulnerabilità e Log di controllo.
  • (facoltativo) seguire la documentazione di Wiz per aggiungere IssuesQueryFilter, VulnerbailitiesQueryFilter e AuditLogsQueryFilter.
  1. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.
  2. Fare clic su Acquista per distribuire.

Opzione 2: Distribuzione manuale della funzione di Azure

Seguire la documentazione di Wiz per distribuire manualmente il connettore.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.