Partilhar via

Conector Wiz para Microsoft Sentinel

  • Artigo

O conector Wiz permite que você envie facilmente problemas Wiz, descobertas de vulnerabilidade e logs de auditoria para o Microsoft Sentinel.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Wiz

Exemplos de consulta

Resumo por gravidade dos problemas

WizIssues_CL
         
| summarize Count=count() by severity_s

Pré-requisitos

Para integrar com a Wiz, certifique-se de:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais da Conta de Serviço Wiz: Certifique-se de ter o ID do cliente e o segredo do cliente da sua conta de serviço Wiz, URL do ponto de extremidade da API e URL de autenticação. As instruções podem ser encontradas na documentação da Wiz.

Instruções de instalação do fornecedor

Nota

Este conector: usa o Azure Functions para se conectar à API do Wiz para extrair problemas do Wiz, descobertas de vulnerabilidade e logs de auditoria para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes. Cria um Cofre de Chaves do Azure com todos os parâmetros necessários armazenados como segredos.

PASSO 1 - Obtenha as suas credenciais Wiz

Siga as instruções na documentação da Wiz para obter as credenciais necessárias.

PASSO 2 - Implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implantar o Wiz Connector, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiado do seguinte), bem como as credenciais Wiz da etapa anterior.

Opção 1: Implantar usando o modelo do Azure Resource Manager (ARM)

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira os seguintes parâmetros:

  • Escolha KeyVaultName e FunctionName para os novos recursos
  • Insira as seguintes credenciais Wiz da etapa 1: WizAuthUrl, WizEndpointUrl, WizClientId e WizClientSecret
  • Insira as credenciais do espaço de trabalho AzureLogsAnalyticsWorkspaceId e AzureLogAnalyticsWorkspaceSharedKey
  • Escolha os tipos de dados Wiz que deseja enviar para o Microsoft Sentinel, escolha pelo menos um dos Problemas, Descobertas de Vulnerabilidade e Logs de Auditoria do Wiz.
  • (opcional) siga a documentação do Wiz para adicionar IssuesQueryFilter, VulnerabilitiesQueryFilter e AuditLogsQueryFilter.
  1. Marque a caixa de seleção Concordo com os termos e condições mencionados acima.
  2. Clique em Comprar para implantar.

Opção 2: Implantação manual da função do Azure

Siga a documentação da Wiz para implantar o conector manualmente.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.