search
Knowledge BaseRelease NotesRequest Demo

Wiz 로그

Panther는 Wiz API에서 로그를 직접 가져오는 것을 지원합니다

hashtag
개요

Panther는 가져올 수 있습니다 Wizarrow-up-right 감사, 문제취약성 발견 로그를 쿼리하여 Wiz APIarrow-up-right.

hashtag
Wiz 로그를 Panther에 온보딩하는 방법

hashtag
전제 조건

  • 이 통합을 설정하는 사용자는 Wiz 테넌트에 액세스할 수 있어야 하며 서비스 계정을 생성할 수 있는 권한(예: 글로벌 관리자).

hashtag
1단계: Wiz API 엔드포인트 URL 가져오기

Wiz GraphQL API에는 단일 엔드포인트가 있습니다 (https://api.<TENANT_DATA_CENTER>.app.wiz.io/graphql), 여기서 <TENANT_DATA_CENTER> 는 귀하의 테넌트가 속한 Wiz 지역 데이터 센터입니다. 예: us1, us2, eu1 또는 eu2. 수행하는 작업에 관계없이 엔드포인트는 동일합니다.

GraphQL 엔드포인트를 가져오려면:

  1. Wiz 콘솔의 오른쪽 상단에서 사용자 아이콘을 클릭한 다음 > 사용자 설정 (또는 이 직접 링크arrow-up-right).

  2. 왼쪽에서 클릭합니다 테넌트 (또는 이 직접 링크arrow-up-right).

  3. 다음을 복사합니다 API 엔드포인트 URL 그리고 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

hashtag
2단계: Wiz에서 서비스 계정 생성

  1. Wiz 대시보드에서 다음으로 이동합니다 설정 > 액세스 관리 > 서비스 계정.

  2. 클릭 서비스 계정 추가.

  3. 에서 새 서비스 계정 양식에서 필드를 작성합니다:

    • 이름: 서비스 계정에 대한 설명적인 이름을 제공하세요(예:) Panther 통합.

    • 유형: 선택 사용자 지정 통합(GraphQL API).

    • 프로젝트 (선택 사항): 이 서비스 계정이 액세스할 하나 이상의 프로젝트를 선택합니다.

      • 하나 이상의 프로젝트를 선택하면 감사 로그를 쿼리할 수 없다는 점에 유의하세요.

    • API 범위:

      • 선택 read:resources.

      • 다음에 나열된 범위들을 선택하세요 서비스 계정에 필요한 API 범위 아래 표에서 Panther로 수집하려는 Wiz 로그 유형에 대한 범위를 선택하세요.

  4. 클릭 서비스 계정 추가.

  5. 다음을 복사합니다 클라이언트 비밀및 다음 단계에서 필요하므로 안전한 위치에 저장하세요. 이 단계를 지나면 이 값을 다시 볼 수 없습니다.

  6. 다음을 복사합니다 클라이언트 ID및 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

hashtag
서비스 계정에 필요한 API 범위

로그 유형
쿼리에 필요한 범위
참고

감사

admin:audit

이 권한은 서비스 계정에 대해 하나 이상의 프로젝트 를 선택하지 않은 경우에만 표시됩니다

문제

read:issues

VulnerabilityFinding

read:vulnerabilities

hashtag
3단계: Panther에서 새 Wiz 로그 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 표시줄에서 클릭합니다 구성 > 로그 소스.

  2. 클릭 새로 만들기.

  3. "Wiz"를 검색한 다음 해당 타일을 클릭하세요.

  4. 슬라이드아웃 패널의 오른쪽 상단에서 클릭합니다 설정 시작.\

    A page in the Panther console with the trail Configure > Log Sources > Add New Source is shown, with a slide-out panel expanded with the title Wiz. An arrow is drawn to a "Start Setup" button.

  5. 화면에서 양식을 작성합니다: 구성 : 소스에 대한 설명적인 이름을 입력하세요. 예:

    • 이름내 Wiz 로그 프로젝트 ID.

    • (선택 사항): 로그를 가져오려는 프로젝트의 ID를 입력하세요. 이 필드를 비워두면 Panther는 모든 프로젝트의 로그를 가져옵니다. Wiz 콘솔에서 특정 프로젝트의 ID를 찾으려면: 프로젝트 행의 오른쪽에서 점 세 개 아이콘을 클릭한 다음 >

      1. 클릭 설정 > 프로젝트.

      2. 프로젝트 ID . ID가 클립보드에 복사됩니다.모니터링할 로그 유형을 선택하세요

    • : 모든 Wiz 로그 유형이 미리 채워집니다.설정

  6. 클릭 자격 증명 설정.

  7. 화면에서 양식을 작성합니다: 페이지에서 양식을 작성합니다: 토큰 URL

    • : Wiz API 토큰 URL을 입력하세요. 이 값은 Wiz 계정의 ID 공급자에 따라 다릅니다:Amazon Cognito: 다음을 입력하세요

      • https://auth.app.wiz.io/oauth/token Auth0: 다음을 입력하세요.

      • https://auth.wiz.io/oauth/token Wiz는 2022년 12월에 Auth0를 ID 공급자로서의 지원을 종료했음을 참고하세요..

        • API 엔드포인트

    • : Wiz에서 가져온를 입력하세요. API 엔드포인트 URL 귀하가 Wiz에서 생성한

    • 클라이언트 ID를 입력하세요. 클라이언트 ID 를 입력하세요.

    • 클라이언트 비밀: 다음을 입력하세요 클라이언트 비밀 를 입력하세요.

  8. 클릭 자격 증명 설정. 성공 화면으로 이동합니다:\

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 선택적으로 하나 이상의 탐지 팩arrow-up-right.

    • 을(를) 활성화할 수 있습니다 다음 설정은 이벤트가 처리되지 않을 때 경고를 트리거합니다 설정의 기본값은 입니다. 데이터가 일정 기간 이후에 로그 소스에서 유입되지 않으면 경고를 받으므로 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 시간 간격은 기본값이 24시간으로 구성 가능 합니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
Panther 관리 탐지

다음을 참조하세요 Panther 관리 Wiz용 규칙은 panther-analysis GitHub 리포지토리arrow-up-right.

hashtag
지원되는 로그 유형

hashtag
Wiz.Audit

감사 로그는 로그인, 로그아웃 및 사용자 업데이트와 같은 Wiz의 주요 이벤트를 기록합니다. 감사 로그는 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 주로 사용됩니다.

참조: https://win.wiz.io/reference/audit-logarrow-up-right

hashtag
Wiz.Issues

문제 로그는 취약성 발견 및 보안 사고와 같은 이슈와 관련된 Wiz의 주요 이벤트를 기록합니다. 이는 보안 취약점 및 사고를 추적, 관리 및 수정하는 데 사용됩니다.

참조: https://win.wiz.io/reference/issues-queryarrow-up-right

hashtag
Wiz.VulnerabilityFinding

Wiz에서 탐지된 보안 취약점에 대한 정보(취약점 세부사항, 영향을 받는 자산 및 수정 단계 포함)를 기록하는 취약점 발견 로그입니다.

참조: https://win.wiz.io/reference/vulnerability-findingarrow-up-right

PreviousWindows 이벤트 로그NextZeek 로그

Last updated

Was this helpful?