Connecteur Wiz pour Microsoft Sentinel
Le connecteur Wiz vous permet d’envoyer facilement des problèmes Wiz, des résultats des vulnérabilités et des journaux d’audit à Microsoft Sentinel.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | WizIssues_CL WizVulnerabilities_CL WizAuditLogs_CL |
Support des Règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Wiz |
Exemples de requête
Résumé par gravité des problèmes
WizIssues_CL
| summarize Count=count() by severity_s
Prérequis
Pour l'intégration avec Wiz, vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification du compte de service Wiz : vérifiez que vous disposez de l’ID client du compte de service Wiz et de la clé secrète client, de l’URL du point de terminaison de l’API et de l’URL d’authentification. Vous trouverez des instructions dans la documentation Wiz.
Instructions d’installation du fournisseur
Remarque
Ce connecteur : utilise Azure Functions pour se connecter à l’API Wiz, afin d’extraire les problèmes Wiz, les résultats des vulnérabilités et les journaux d’audit dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions. Crée un Azure Key Vault avec tous les paramètres requis stockés en tant que secrets.
ÉTAPE 1 : Obtenir vos informations d’identification Wiz
Suivez les instructions de la documentation Wiz pour obtenir les informations d’identification requises.
ÉTAPE 2 : Déployer le connecteur et la fonction Azure associée.
IMPORTANT : avant le déploiement du connecteur Wiz, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (peuvent être copiés à partir des éléments suivants), ainsi que les informations d’identification Wiz à partir de l’étape précédente.
Option 1 : Déployer à l’aide du modèle Azure Resource Manager (ARM)
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez les paramètres suivants :
- Choisissez KeyVaultName et FunctionName pour les nouvelles ressources
- Entrez les informations d’identification Wiz suivantes de l’étape 1 : WizAuthUrl, WizEndpointUrl, WizClientId et WizClientSecret
- Entrez les informations d’identification de l’espace de travail AzureLogsAnalyticsWorkspaceId et AzureLogAnalyticsWorkspaceSharedKey
- Choisissez les types de données Wiz que vous souhaitez envoyer à Microsoft Sentinel, choisissez-en au moins un type parmi les Problèmes Wiz, les résultats des vulnérabilitéset les journaux d’audit.
- (Facultatif) Suivez la documentation Wiz pour ajouter IssuesQueryFilter, VulnerabilitiesQueryFilter et AuditLogsQueryFilter.
- Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
- Cliquez sur Acheter pour déployer.
Option 2 : déploiement manuel de la fonction Azure
Suivez la documentation Wiz pour déployer le connecteur manuellement.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.