Соединитель Wiz для Microsoft Sentinel

  • Статья

Соединитель Wiz позволяет легко отправлять журналы Wiz Issues, Vulnerability Findinsg и audit logs в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Wiz

Примеры запросов

Сводка по серьезности проблем

WizIssues_CL
         
| summarize Count=count() by severity_s

Необходимые компоненты

Чтобы интегрироваться с Wiz, убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные учетной записи службы Wiz. Убедитесь, что у вас есть идентификатор клиента и секрет клиента Wiz, URL-адрес конечной точки API и URL-адрес проверки подлинности. Инструкции можно найти в документации По Wiz.

Инструкции по установке поставщика

Примечание.

Этот соединитель: использует Функции Azure для подключения к API Wiz для извлечения проблем Wiz, результатов уязвимостей и журналов аудита в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure. Создает Azure Key Vault со всеми необходимыми параметрами, хранящимися в виде секретов.

ШАГ 1. Получение учетных данных Wiz

Следуйте инструкциям в документации По Wiz, чтобы получить учетные данные с запросом.

ШАГ 2. Развертывание соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием Подключение or Wiz укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела), а также учетные данные Wiz из предыдущего шага.

Вариант 1. Развертывание с помощью шаблона Azure Resource Manager (ARM)

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Задайте следующие параметры:

  • Выбор KeyVaultName и FunctionName для новых ресурсов
  • Введите следующие учетные данные Wiz из шага 1: WizAuthUrl, WizEndpointUrl, WizClientId и WizClientSecret
  • Введите учетные данные рабочей области AzureLogsAnalyticsWorkspaceId и AzureLogAnalyticsWorkspaceSharedKey
  • Выберите типы данных Wiz, которые вы хотите отправить в Microsoft Sentinel, выберите по крайней мере один из проблем Wiz, результатов уязвимостей и журналов аудита.
  • (необязательно) следуйте документации Wiz, чтобы добавить IssuesQueryFilter, VulnerbailitiesQueryFilter и AuditLogsQueryFilter.
  1. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".
  2. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание функции Azure вручную

Следуйте документации По Wiz, чтобы развернуть соединитель вручную.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.