适用于 Microsoft Sentinel 的 Wiz 连接器
借助 Wiz 连接器,可以轻松地将 Wiz 问题、漏洞发现和审核日志发送到 Microsoft Sentinel。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | WizIssues_CL WizVulnerabilities_CL WizAuditLogs_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Wiz |
查询示例
按问题的严重性划分的摘要
WizIssues_CL
| summarize Count=count() by severity_s
先决条件
若要与 Wiz 集成,请确保具有以下功能:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Wiz 服务帐户凭据:确保拥有 Wiz 服务帐户客户端 ID 和客户端密码、API 终结点 URL 和身份验证 URL。 有关说明,请访问 Wiz 文档。
供应商安装说明
注意
此连接器:使用 Azure Functions 连接到 Wiz API,将 Wiz 问题、漏洞发现和审核日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。 创建一个 Azure Key Vault,其中包含存储为机密的所有必需参数。
步骤 1 - 获取 Wiz 凭据
按照 Wiz 文档上的说明获取所需凭据。
步骤 2 - 部署连接器和关联的 Azure 函数
重要说明:在部署 Wiz 连接器之前,具有工作区 ID 和工作区主键(可从以下复制),以及上一步中的 Wiz 凭据。
选项 1:使用 Azure 资源管理器 (ARM) 模板进行部署
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入以下参数:
- 为新资源选择 KeyVaultName 和 FunctionName
- 输入步骤 1 中的以下 Wiz 凭据:WizAuthUrl、WizEndpointUrl、WizClientId 和 WizClientSecret
- 输入工作区凭据 AzureLogsAnalyticsWorkspaceId 和 AzureLogAnalyticsWorkspaceSharedKey
- 选择要发送到 Microsoft Sentinel 的 Wiz 数据类型,从“Wiz 问题”、“漏洞发现”和“审核日志”中选择至少一种。
- (可选)遵循 Wiz 文档添加 IssuesQueryFilter、VulnerbailitiesQueryFilter 和 AuditLogsQueryFilter。
- 选中“我同意上述条款和条件”复选框。
- 单击“购买”进行部署。
选项 2:手动部署 Azure 函数
按照 Wiz 文档手动部署连接器。