适用于 Microsoft Sentinel 的 Wiz 连接器

借助 Wiz 连接器,可以轻松地将 Wiz 问题、漏洞发现和审核日志发送到 Microsoft Sentinel。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 WizIssues_CL
WizVulnerabilities_CL
WizAuditLogs_CL
数据收集规则支持 目前不支持
支持的服务 Wiz

查询示例

按问题的严重性划分的摘要

WizIssues_CL
         
| summarize Count=count() by severity_s

先决条件

若要与 Wiz 集成,请确保具有以下功能:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • Wiz 服务帐户凭据:确保拥有 Wiz 服务帐户客户端 ID 和客户端密码、API 终结点 URL 和身份验证 URL。 有关说明,请访问 Wiz 文档

供应商安装说明

注意

此连接器:使用 Azure Functions 连接到 Wiz API,将 Wiz 问题、漏洞发现和审核日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。 创建一个 Azure Key Vault,其中包含存储为机密的所有必需参数。

步骤 1 - 获取 Wiz 凭据

按照 Wiz 文档上的说明获取所需凭据。

步骤 2 - 部署连接器和关联的 Azure 函数

重要说明:在部署 Wiz 连接器之前,具有工作区 ID 和工作区主键(可从以下复制),以及上一步中的 Wiz 凭据。

选项 1:使用 Azure 资源管理器 (ARM) 模板进行部署

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入以下参数:

  • 为新资源选择 KeyVaultNameFunctionName
  • 输入步骤 1 中的以下 Wiz 凭据:WizAuthUrlWizEndpointUrlWizClientIdWizClientSecret
  • 输入工作区凭据 AzureLogsAnalyticsWorkspaceIdAzureLogAnalyticsWorkspaceSharedKey
  • 选择要发送到 Microsoft Sentinel 的 Wiz 数据类型,从“Wiz 问题”、“漏洞发现”和“审核日志”中选择至少一种。
  • (可选)遵循 Wiz 文档添加 IssuesQueryFilterVulnerbailitiesQueryFilterAuditLogsQueryFilter
  1. 选中“我同意上述条款和条件”复选框。
  2. 单击“购买”进行部署。

选项 2:手动部署 Azure 函数

按照 Wiz 文档手动部署连接器。