Wiz-Connector für Microsoft Sentinel
Mit dem Wiz-Connector können Sie auf einfache Weise Wiz-Probleme, Erkenntnisse zu Sicherheitsrisiken und Überwachungsprotokolle an Microsoft Sentinel senden.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | WizIssues_CL WizVulnerabilities_CL WizAuditLogs_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Wiz |
Abfragebeispiele
Zusammenfassung nach Schweregrad von Problemen
WizIssues_CL
| summarize Count=count() by severity_s
Voraussetzungen
Um Wiz zu integrieren, müssen Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Wiz-Dienstkontoanmeldeinformationen: Stellen Sie sicher, dass Sie über die Client-ID Ihres Wiz-Dienstkontos und den geheimen Clientschlüssel, die API-Endpunkt-URL und die Authentifizierungs-URL verfügen. Anweisungen finden Sie in der Wiz-Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector: Verwendet Azure Functions, um eine Verbindung mit der Wiz-API herzustellen, um Wiz-Probleme, Sicherheitsrisikoerkenntnisse und Überwachungsprotokolle in Microsoft Sentinel abzurufen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions. Erstellt einen Azure Key Vault mit allen erforderlichen Parametern, die als Geheimnisse gespeichert werden.
SCHRITT 1 – Abrufen Ihrer Wiz-Anmeldeinformationen
Folgen Sie den Anweisungen in der Wiz-Dokumentation, um die erforderlichen Anmeldeinformationen abzurufen.
SCHRITT 2 – Bereitstellen des Connectors und der zugeordneten Azure-Funktion
WICHTIG: Für die Bereitstellung des Wiz-Connectors müssen Sie über die Arbeitsbereichs-ID und den Primärschlüssel für den Arbeitsbereich verfügen (diese können in den folgenden Schritten kopiert werden), sowie über die Wiz-Anmeldeinformationen aus dem vorherigen Schritt.
Option 1: Bereitstellung mithilfe der Azure Resource Manager (ARM)-Vorlage
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Legen Sie die folgenden Parameter fest:
- Wählen Sie KeyVaultName und FunctionName für die neuen Ressourcen aus
- Geben Sie die folgenden Wiz-Anmeldeinformationen aus Schritt 1 ein: WizAuthUrl, WizEndpointUrl, WizClientId und WizClientSecret
- Geben Sie die Arbeitsbereich-Anmeldeinformationen AzureLogsAnalyticsWorkspaceId und AzureLogAnalyticsWorkspaceSharedKey ein
- Wählen Sie die Wiz-Datentypen aus, die Sie an Microsoft Sentinel senden möchten, wählen Sie mindestens einen Typ aus Wiz-Probleme, Sicherheitsrisikoerkenntnisse und Überwachungsprotokolle aus.
- (Optional:) Befolgen Sie die Wiz-Dokumentation, um IssuesQueryFilter, VulnerabilitiesQueryFilter und AuditLogsQueryFilter hinzuzufügen.
- Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
- Klicken Sie zum Bereitstellen auf Kaufen.
Option 2: Manuelle Bereitstellung der Azure-Funktion
Folgen Sie der Wiz-Dokumentation, um den Connector manuell bereitzustellen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.