Łącznik wiz dla usługi Microsoft Sentinel
Łącznik Wiz umożliwia łatwe wysyłanie problemów z wiz, znajdowanie luk w zabezpieczeniach i dzienniki inspekcji do usługi Microsoft Sentinel.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | WizIssues_CL WizVulnerabilities_CL WizAuditLogs_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Wiz |
Przykłady zapytań
Podsumowanie według ważności problemów
WizIssues_CL
| summarize Count=count() by severity_s
Wymagania wstępne
Aby zintegrować aplikację Wiz, upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia konta usługi Wiz: upewnij się, że masz identyfikator klienta konta usługi Wiz i klucz tajny klienta, adres URL punktu końcowego interfejsu API i adres URL uwierzytelniania. Instrukcje można znaleźć w dokumentacji wiz.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik: używa usługi Azure Functions do nawiązywania połączenia z interfejsem API wiz w celu ściągnięcia problemów z wiz, wyników luk w zabezpieczeniach i dzienników inspekcji w usłudze Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions. Tworzy usługę Azure Key Vault ze wszystkimi wymaganymi parametrami przechowywanymi jako wpisy tajne.
KROK 1. Pobieranie poświadczeń wiz
Postępuj zgodnie z instrukcjami w dokumentacji wiz, aby uzyskać wymagane poświadczenia.
KROK 2. Wdrażanie łącznika i skojarzonej funkcji platformy Azure
WAŻNE: Przed wdrożeniem łącznika Wiz należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następującego), a także poświadczenia wiz z poprzedniego kroku.
Opcja 1. Wdrażanie przy użyciu szablonu usługi Azure Resource Manager (ARM)
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź następujące parametry:
- Wybierz pozycje KeyVaultName i FunctionName dla nowych zasobów
- Wprowadź następujące poświadczenia wiz z kroku 1: WizAuthUrl, WizEndpointUrl, WizClientId i WizClientSecret
- Wprowadź poświadczenia obszaru roboczego AzureLogsAnalyticsWorkspaceId i AzureLogAnalyticsWorkspaceSharedKey
- Wybierz typy danych Wiz, które chcesz wysłać do usługi Microsoft Sentinel, wybierz co najmniej jeden z pozycji Problemy z wiz, Wyniki luk w zabezpieczeniach i Dzienniki inspekcji.
- (opcjonalnie) postępuj zgodnie z dokumentacją wiz, aby dodać pozycje IssuesQueryFilter, VulnerbailitiesQueryFilter i AuditLogsQueryFilter.
- Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
- Kliknij pozycję Kup , aby wdrożyć.
Opcja 2. Ręczne wdrażanie funkcji platformy Azure
Postępuj zgodnie z dokumentacją wiz, aby ręcznie wdrożyć łącznik.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.