Wiz 로그

개요

Panther는 가져올 수 있습니다 Wiz 감사, 문제및 취약성 발견 를 쿼리하여 로그 Wiz API.

Wiz 로그를 Panther에 온보딩하는 방법

전제 조건

• 이 통합을 설정하는 사용자는 Wiz 테넌트에 접근할 수 있어야 하며 서비스 계정을 생성할 수 있는 권한을 가진 Wiz 역할(예: 글로벌 관리자).

1단계: Wiz API 엔드포인트 URL 가져오기

Wiz GraphQL API에는 단일 엔드포인트가 있습니다 (https://api.<TENANT_DATA_CENTER>.app.wiz.io/graphql), 여기서 <TENANT_DATA_CENTER> 는 귀하의 테넌트가 위치한 Wiz 지역 데이터 센터입니다. 예: us1, us2, eu1 이전에 생성한 Snowflake 사용자 이름, 예를 들면 eu2. 수행하는 작업에 관계없이 엔드포인트는 동일합니다.

GraphQL 엔드포인트를 가져오려면:

1. Wiz 콘솔 오른쪽 상단에서 사용자 아이콘을 클릭한 다음 > 사용자 설정 (또는 이 직접 링크).

2. 왼쪽에서 클릭합니다 테넌트 (또는 이 직접 링크).

3. 귀하의 API 엔드포인트 URL 을 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.

2단계: Wiz에서 서비스 계정 생성

1. Wiz 대시보드에서 다음으로 이동합니다 설정 > 액세스 관리 > 서비스 계정.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 서비스 계정 추가.

3. 일반 구성 새 서비스 계정 양식에서 필드를 작성합니다:

   • 이름: 서비스 계정에 대한 설명적인 이름을 제공하세요. 예: Panther 통합.

   • 유형: 사용자 지정 통합(GraphQL API).

   • 프로젝트 (선택 사항): 이 서비스 계정이 액세스할 하나 이상의 프로젝트를 선택합니다.

     • 하나 이상의 프로젝트를 선택하면 감사 로그.

   • API 범위:

     • 선택하세요 read:resources.

     • 아래의 서비스 계정에 필요한 API 범위 표에서 Panther로 수집하려는 Wiz 로그 유형에 대해 나열된 범위를 선택하세요.

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 서비스 계정 추가.

5. 다음 값을 복사하세요 클라이언트 시크릿, 을(를) 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다. 이 값은 이 단계 이후에는 볼 수 없습니다.

6. 다음 값을 복사하세요 클라이언트 ID, 을(를) 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.

서비스 계정에 필요한 API 범위

3단계: Panther에서 새 Wiz 로그 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

3. "Wiz"를 검색한 다음 해당 타일을 클릭합니다.

4. 오른쪽 상단의 슬라이드아웃 패널에서 클릭하세요 설정 시작.

   
5. 페이지에서 구성 화면에서 양식을 작성합니다:

   • 이름: 소스에 대한 설명적인 이름을 입력하세요. 예: 내 Wiz 로그.

   • 프로젝트 ID (선택 사항): 로그를 가져오려는 프로젝트의 ID를 입력하세요. 이 필드를 비워두면 Panther는 모든 프로젝트의 로그를 가져옵니다. Wiz 콘솔에서 특정 프로젝트의 ID를 찾으려면:

     1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 > 프로젝트.

     2. 프로젝트 행의 오른쪽에서 점 세 개 아이콘을 클릭한 다음 > 프로젝트 ID. ID가 클립보드로 복사됩니다.

   • 모니터링할 로그 유형 선택: 모든 Wiz 로그 유형이 미리 채워집니다.

6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

7. 페이지에서 자격증명 설정 페이지에서 양식을 작성하세요:

   • 토큰 URL: Wiz API 토큰 URL을 입력하세요. 이 값은 Wiz 계정의 ID 제공자에 따라 다릅니다:

     • Amazon Cognito: 다음을 입력하세요 https://auth.app.wiz.io/oauth/token.

     • Auth0: 다음을 입력하세요 https://auth.wiz.io/oauth/token.

       • 참고: Wiz는 2022년 12월에 Auth0를 Identity Provider로서의 지원을 종료했습니다.

   • API 엔드포인트: Panther에서 이전 단계에서 생성한 API 엔드포인트 URL Wiz에서 가져온 값입니다.

   • 클라이언트 ID: Panther에서 이전 단계에서 생성한 클라이언트 ID Wiz에서 생성한 값입니다.

   • 클라이언트 시크릿: 다음 값을 입력하세요: 클라이언트 시크릿 Wiz에서 생성한 값입니다.

8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정. 성공 화면으로 이동합니다:

   

   • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의.

   • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받도록 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 시간 프레임은 구성 가능하며 기본값은 24시간입니다.

     

Panther 관리 디텍션

참조 Panther 관리 Wiz용 룰은 panther-analysis GitHub 리포지토리.

지원되는 로그 유형

Wiz.Audit

감사 로그는 로그인, 로그아웃 및 사용자 업데이트와 같은 Wiz의 주요 이벤트를 기록합니다. 감사 로그는 주로 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 사용됩니다.

참고: https://win.wiz.io/reference/audit-log

Wiz.Issues

이슈 로그는 취약성 발견 및 보안 사고와 같은 이슈와 관련된 Wiz의 주요 이벤트를 기록합니다. 이 로그는 보안 취약성과 사고를 추적, 관리 및 수정하는 데 사용됩니다.

참고: https://win.wiz.io/reference/issues-query

Wiz.VulnerabilityFinding

취약성 발견 로그는 Wiz에서 탐지된 보안 취약성에 대한 정보(취약성 세부정보, 영향을 받는 자산 및 수정 단계 포함)를 기록합니다.

참고: https://win.wiz.io/reference/vulnerability-finding