Wiz-connector voor Microsoft Sentinel
Met de Wiz-connector kunt u eenvoudig Wiz-problemen, Findinsg-beveiligingslogboeken en auditlogboeken verzenden naar Microsoft Sentinel.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | WizIssues_CL WizVulnerabilities_CL WizAuditLogs_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Wiz |
Voorbeelden van query's
Samenvatting op ernst van problemen
WizIssues_CL
| summarize Count=count() by severity_s
Vereisten
Als u wilt integreren met Wiz, moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Referenties voor wiz-serviceaccount: zorg ervoor dat u de client-id en het clientgeheim van uw Wiz-serviceaccount, de URL van het API-eindpunt en de verificatie-URL hebt. Instructies vindt u in de Wiz-documentatie.
Installatie-instructies van leverancier
Notitie
Deze connector: Maakt gebruik van Azure Functions om verbinding te maken met de Wiz-API om Wiz-problemen, resultaten van beveiligingsproblemen en auditlogboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie. Hiermee maakt u een Azure Key Vault met alle vereiste parameters die zijn opgeslagen als geheimen.
STAP 1: Uw Wiz-referenties ophalen
Volg de instructies in de Wiz-documentatie om de referenties op te halen.
STAP 2: De connector en de bijbehorende Azure-functie implementeren
BELANGRIJK: Voordat u de Wiz-Verbinding maken or implementeert, moet u de primaire sleutel voor de werkruimte en de primaire sleutel van de werkruimte (uit de volgende waarden) en de Wiz-referenties uit de vorige stap hebben.
Optie 1: Implementeren met behulp van de ARM-sjabloon (Azure Resource Manager)
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
Voer de volgende parameters in:
- Kies KeyVaultName en FunctionName voor de nieuwe resources
- Voer de volgende Wiz-referenties uit stap 1 in: WizAuthUrl, WizEndpointUrl, WizClientId en WizClientSecret
- Voer de werkruimtereferenties AzureLogsAnalyticsWorkspaceId en AzureLogAnalyticsWorkspaceSharedKey in
- Kies de Wiz-gegevenstypen die u naar Microsoft Sentinel wilt verzenden, kies ten minste één van Wiz-problemen, resultaten van beveiligingsproblemen en auditlogboeken.
- (optioneel) volg de Wiz-documentatie om IssuesQueryFilter, VulnerbailitiesQueryFilter en AuditLogsQueryFilter toe te voegen.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Kopen om te implementeren.
Optie 2: Handmatige implementatie van de Azure-functie
Volg de Wiz-documentatie om de connector handmatig te implementeren.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.