Coletar registros do Wiz

Compatível com:

Este documento explica como transferir os registros do Wiz para o Google Security Operations. O analisador transforma os registros formatados em JSON brutos do Wiz em um modelo de dados unificado (UDM). Primeiro, ele inicializa os valores padrão para os campos do UDM, depois analisa a mensagem JSON, extrai campos relevantes, como informações do usuário, local, detalhes do dispositivo e resultados de segurança. O Wiz é uma plataforma de segurança na nuvem que oferece visibilidade de ponta a ponta e priorização de riscos sem agentes em ambientesGoogle Cloud, AWS, Azure, OCI e Kubernetes.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado ao Wiz

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Configurar a integração no Wiz

  1. Faça login na UI da Web do Wiz.
  2. Acesse a página Conectar ao Wiz.
  3. Clique em Google Cloud Chronicle.
  4. Selecione o Escopo.
  5. Insira o ID de cliente do Google SecOps.
  6. Insira o endereço do endpoint da instância do Google SecOps [Chronicle]:

  7. Faça o upload da chave da conta de serviço do Google.

  8. Clique em Salvar.

Tabela de mapeamento da UDM

Campo de registro Mapeamento de UDM Lógica
ação metadata.product_event_type Mapeamento direto quando eventType está vazio.
ação principal.application Mapeamento direto quando a ação é Report e serviceAccount.name não está vazio.
actionParameters.groups security_result.detection_fields.value O analisador itera por cada grupo em actionParameters.groups e o mapeia para uma entrada detection_fields separada com a chave service_account_group.
actionParameters.input.patch.portalVisitHistory.dateTime additional.fields.value.string_value O analisador itera por cada item em actionParameters.input.patch.portalVisitHistory e extrai o campo dateTime, mapeando-o para uma entrada separate.fields separada com a chave dateTime {index}.
actionParameters.input.patch.portalVisitHistory.id principal.resource.attribute.labels.value O analisador itera por cada item em actionParameters.input.patch.portalVisitHistory e extrai o campo de ID, mapeando-o para uma entrada separada de principal.resource.attribute.labels com a chave id {index}.
actionParameters.input.patch.portalVisitHistory.name principal.resource.attribute.labels.value O analisador itera por cada item em actionParameters.input.patch.portalVisitHistory e extrai o campo de nome, mapeando-o para uma entrada separada de principal.resource.attribute.labels com a chave name {index}.
actionParameters.input.patch.portalVisitHistory.resourceName principal.resource.attribute.labels.value O analisador itera por cada item em actionParameters.input.patch.portalVisitHistory e extrai o campo resourceName, mapeando-o para uma entrada separada principal.resource.attribute.labels com a chave resourceName {index}.
actionParameters.input.patch.portalVisitHistory.resourceType principal.resource.attribute.labels.value O analisador itera por cada item em actionParameters.input.patch.portalVisitHistory e extrai o campo resourceType, mapeando-o para uma entrada principal.resource.attribute.labels separada com a chave resourceType {index}.
actionParameters.input.patch.portalVisitHistory.ruleType principal.resource.attribute.labels.value O analisador itera por cada item em actionParameters.input.patch.portalVisitHistory e extrai o campo ruleType, mapeando-o para uma entrada principal.resource.attribute.labels separada com a chave ruleType {index}.
actionParameters.input.patch.portalVisitHistory.type additional.fields.value.string_value O analisador itera por cada item em actionParameters.input.patch.portalVisitHistory e extrai o campo de tipo, mapeando-o para uma entrada separate.fields separada com a chave type {index}.
actionParameters.name target.user.user_display_name Mapeamento direto quando actionParameters.name não está vazio.
actionParameters.products security_result.detection_fields.value O analisador itera por cada produto em actionParameters.products (excluindo strings vazias e *) e o mapeia para uma entrada detection_fields separada com a chave service_account_product.
actionParameters.role target.user.attribute.roles.name Mapeamento direto quando actionParameters.role não está vazio.
actionParameters.scopes security_result.detection_fields.value O analisador itera por cada escopo em actionParameters.scopes e o associa a uma entrada detection_fields separada com a chave service_account_scope.
actionParameters.selection additional.fields.value.list_value.values.string_value O analisador itera por cada item em actionParameters.selection.preferences e o mapeia para uma entrada string_value separada em additional.fields.value.list_value.values.
actionParameters.userEmail target.user.email_addresses Extraídos usando um padrão grok e mapeados quando não estão vazios.
actionParameters.userID target.user.userid Mapeamento direto quando actionParameters.userID não está vazio.
actor.displayName target.user.user_display_name Mapeamento direto quando actor.displayName não está vazio e não é unknown.
actor.id target.user.userid Mapeamento direto quando actor.id não está vazio.
authenticationContext.authenticationProvider security_result.detection_fields.value Mapeado para uma entrada detection_fields com a chave authenticationProvider quando não está vazia.
authenticationContext.credentialProvider security_result.detection_fields.value Mapeado para uma entrada detection_fields com a chave credentialProvider quando não está vazia.
authenticationContext.credentialType extensions.auth.mechanism Usado para extrair o valor de extensions.auth.mechanism com base em valores específicos.
authenticationContext.externalSessionId network.parent_session_id Mapeamento direto quando não está vazio e não é unknown.
client.device principal.asset.type Usado para extrair o valor de principal.asset.type com base em valores específicos.
client.geographicalContext.city principal.location.city Mapeamento direto quando não está vazio.
client.geographicalContext.country principal.location.country_or_region Mapeamento direto quando não está vazio.
client.geographicalContext.geolocation.lat principal.location.region_latitude Mapeamento direto quando não está vazio.
client.geographicalContext.geolocation.lon principal.location.region_longitude Mapeamento direto quando não está vazio.
client.geographicalContext.postalCode additional.fields.value.string_value Mapeado para uma entrada additional.fields com a chave Postal code quando não está vazia.
client.geographicalContext.state principal.location.state Mapeamento direto quando não está vazio.
client.ipAddress principal.asset.ip Mesclado com principal.ip e principal.asset.ip quando não está vazio.
client.ipAddress principal.ip Mesclado com principal.ip e principal.asset.ip quando não está vazio.
client.userAgent.browser target.resource.attribute.labels.value Mapeado para uma entrada target.resource.attribute.labels com a chave Browser quando não está vazio.
client.userAgent.os principal.platform Usado para extrair o valor de principal.platform com base em valores específicos.
client.userAgent.rawUserAgent network.http.user_agent Mapeamento direto quando não está vazio.
debugContext.debugData.behaviors security_result.description Mapeamento direto quando não está vazio.
debugContext.debugData.deviceFingerprint target.asset.asset_id Mapeado para target.asset.asset_id com o prefixo device_finger_print: quando não está vazio.
debugContext.debugData.dtHash security_result.detection_fields.value Mapeado para uma entrada detection_fields com a chave dtHash quando não está vazia.
debugContext.debugData.factor security_result.detection_fields.value Mapeado para uma entrada detection_fields com a chave factor quando não está vazia.
debugContext.debugData.promptingPolicyTypes security_result.detection_fields.value Mapeado para uma entrada detection_fields com a chave promptingPolicyTypes quando não está vazia.
debugContext.debugData.requestUri extensions.auth.auth_details Mapeamento direto quando não está vazio.
eventType metadata.event_type Usado para derivar o valor de metadata.event_type com base em valores específicos.
eventType metadata.product_event_type Mapeamento direto quando não está vazio.
outcome.reason security_result.category_details Mapeamento direto quando não está vazio.
outcome.result security_result.action Mapeado para security_result.action após a normalização com base em valores específicos.
requestId metadata.product_log_id Mapeamento direto quando não está vazio.
serviceAccount.name principal.application Mapeamento direto quando a ação é Report e serviceAccount.name não está vazio.
sourceIP principal.asset.ip Extraídos usando um padrão grok e mesclados com principal.ip e principal.asset.ip quando não estiverem vazios e forem válidos.
sourceIP principal.ip Extraídos usando um padrão grok e mesclados com principal.ip e principal.asset.ip quando não estiverem vazios e forem válidos.
status security_result.summary Mapeamento direto quando não está vazio.
timestamp metadata.event_timestamp Conversão para o formato de carimbo de data/hora e mapeamento quando não está vazio.
user.id target.user.userid Mapeamento direto quando actionParameters.userID está vazio e user.id não está vazio.
user.name target.user.user_display_name Mapeamento direto quando actionParameters.name está vazio e user.name não está vazio.
userAgent network.http.user_agent Mapeamento direto quando client.userAgent.rawUserAgent está vazio e userAgent não está.
extensions.auth.type Definido como AUTHTYPE_UNSPECIFIED quando has_user é verdadeiro e action é Login.
metadata.product_name Defina como WIZ_IO.
metadata.vendor_name Defina como WIZ_IO.
network.http.parsed_user_agent Derivado de user_agent_value, convertido em parseduseragent.
security_result.severity Derivado da gravidade com base em valores específicos, com padrão LOW.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.