Microsoft Sentinel 用 Wiz コネクタ
Wiz コネクタを使用すると、Wiz の問題、脆弱性の検出結果、監査ログを Microsoft Sentinel に簡単に送信できます。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | WizIssues_CL WizVulnerabilities_CL WizAuditLogs_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Wiz |
クエリのサンプル
問題の重大度別の概要
WizIssues_CL
| summarize Count=count() by severity_s
前提条件
Wiz と統合するには、次のものがあることを確認してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Wiz サービス アカウントの資格情報: Wiz サービス アカウントのクライアント ID とクライアント シークレット、API エンドポイント URL、認証 URL があることを確認します。 手順については、Wiz のドキュメント を参照してください。
ベンダーのインストール手順
Note
このコネクタ: Azure Functions を使用して Wiz API に接続し、Wiz の問題、脆弱性の結果、監査ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。 必要なすべてのパラメータがシークレットとして格納された Azure Key Vault を作成します。
手順 1 - Wiz 資格情報を取得する
Wiz のドキュメントの指示に従って、必要な資格情報を取得します。
手順 2 - コネクタおよび関連する Azure 関数をデプロイする
重要: Wiz コネクタをデプロイする前に、ワークスペース ID とワークスペースの主キー (以下からコピー可能) と、(前の手順からの) Wiz 資格情報を用意してください。
オプション 1: Azure Resource Manager (ARM) テンプレートを使用してデプロイする
- 新しいリソースの KeyVaultName と FunctionName を選択します
- 手順 1 の次の Wiz 資格情報を入力します。WizAuthUrl、WizEndpointUrl、WizClientId、WizClientSecret
- ワークスペース資格情報 AzureLogsAnalyticsWorkspaceId および AzureLogAnalyticsWorkspaceSharedKey を入力します
- Microsoft Sentinel に送信する Wiz データ型を選択し、[Wiz の問題]、[脆弱性の結果]、[監査ログ] から少なくとも 1 つを選択します。
- (省略可能) Wiz のドキュメントに従って、IssuesQueryFilter、VulnerbailitiesQueryFilter、AuditLogsQueryFilter を追加します。
- [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
- [購入] をクリックしてデプロイします。
オプション 2: Azure 関数の手動デプロイ
Wiz のドキュメント に従って、コネクタを手動でデプロイします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。