Wiz-Protokolle erfassen
Unterstützt in:
Google secops
Siem
In diesem Dokument wird beschrieben, wie Sie Wiz-Protokolle in Google Security Operations aufnehmen. Der Parser wandelt Roh-JSON-Logs von Wiz in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Zuerst werden Standardwerte für UDM-Felder initialisiert, dann wird die JSON-Nachricht geparst und relevante Felder wie Nutzerinformationen, Standort, Gerätedetails und Sicherheitsergebnisse werden extrahiert. Wiz ist eine Cloud-Sicherheitsplattform, die agentenlose, durchgängige Transparenz und Risikopriorisierung inGoogle Cloud-, AWS-, Azure-, OCI- und Kubernetes-Umgebungen bietet.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Privilegierter Zugriff auf Wiz
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Integration in Wiz konfigurieren
- Melden Sie sich in der Wiz an.
- Rufen Sie die Seite Mit Wiz verbinden auf.
- Klicken Sie auf Google Cloud Chronicle.
- Wählen Sie den Umfang aus.
- Geben Sie Ihre Kundennummer für Google SecOps ein.
Geben Sie die Endpunktadresse Ihrer Google SecOps-[Chronicle]-Instanz ein:
- Kanada: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Europa (mehrere Regionen): https://europe-malachiteingestion-pa.googleapis.com
- Frankfurt: https://europe-west3-malachiteingestion-pa.googleapis.com
- London: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapur: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tokio: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Vereinigte Staaten – mehrere Regionen: https://malachiteingestion-pa.googleapis.com
- Zürich: https://europe-west6-malachiteingestion-pa.googleapis.com
Laden Sie den Schlüssel des Google-Dienstkontos hoch.
Klicken Sie auf Speichern.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Aktion | metadata.product_event_type | Direkte Zuordnung, wenn „eventType“ leer ist. |
| Aktion | principal.application | Direkte Zuordnung, wenn „action“ Report ist und „serviceAccount.name“ nicht leer ist. |
| actionParameters.groups | security_result.detection_fields.value | Der Parser durchläuft jede Gruppe in „actionParameters.groups“ und ordnet sie einem separaten Eintrag „detection_fields“ mit dem Schlüssel service_account_group zu. |
| actionParameters.input.patch.portalVisitHistory.dateTime | additional.fields.value.string_value | Der Parser durchsucht jedes Element in „actionParameters.input.patch.portalVisitHistory“ und extrahiert das Feld „dateTime“. Dieses wird einem separaten Eintrag „additional.fields“ mit dem Schlüssel „dateTime {index}“ zugeordnet. |
| actionParameters.input.patch.portalVisitHistory.id | principal.resource.attribute.labels.value | Der Parser durchläuft jeden Eintrag in „actionParameters.input.patch.portalVisitHistory“ und extrahiert das Feld „id“, das einem separaten Eintrag „principal.resource.attribute.labels“ mit dem Schlüssel „id {index}“ zugeordnet wird. |
| actionParameters.input.patch.portalVisitHistory.name | principal.resource.attribute.labels.value | Der Parser durchläuft jedes Element in „actionParameters.input.patch.portalVisitHistory“ und extrahiert das Feld „name“, das einem separaten Eintrag „principal.resource.attribute.labels“ mit dem Schlüssel „name {index}“ zugeordnet wird. |
| actionParameters.input.patch.portalVisitHistory.resourceName | principal.resource.attribute.labels.value | Der Parser durchläuft jeden Eintrag in „actionParameters.input.patch.portalVisitHistory“ und extrahiert das Feld „resourceName“, das einem separaten Eintrag „principal.resource.attribute.labels“ mit dem Schlüssel „resourceName {index}“ zugeordnet wird. |
| actionParameters.input.patch.portalVisitHistory.resourceType | principal.resource.attribute.labels.value | Der Parser durchläuft jeden Eintrag in „actionParameters.input.patch.portalVisitHistory“ und extrahiert das Feld „resourceType“. Dieses wird einem separaten Eintrag „principal.resource.attribute.labels“ mit dem Schlüssel „resourceType {index}“ zugeordnet. |
| actionParameters.input.patch.portalVisitHistory.ruleType | principal.resource.attribute.labels.value | Der Parser durchläuft jeden Eintrag in „actionParameters.input.patch.portalVisitHistory“ und extrahiert das Feld „ruleType“. Dieses wird einem separaten Eintrag „principal.resource.attribute.labels“ mit dem Schlüssel „ruleType {index}“ zugeordnet. |
| actionParameters.input.patch.portalVisitHistory.type | additional.fields.value.string_value | Der Parser durchläuft jeden Eintrag in „actionParameters.input.patch.portalVisitHistory“ und extrahiert das Feld „type“. Dieses wird einem separaten Eintrag „additional.fields“ mit dem Schlüssel „type {index}“ zugeordnet. |
| actionParameters.name | target.user.user_display_name | Direkte Zuordnung, wenn „actionParameters.name“ nicht leer ist. |
| actionParameters.products | security_result.detection_fields.value | Der Parser durchläuft jedes Produkt in „actionParameters.products“ (ausgenommen leere Strings und *) und ordnet es einem separaten Eintrag „detection_fields“ mit dem Schlüssel service_account_product zu. |
| actionParameters.role | target.user.attribute.roles.name | Direkte Zuordnung, wenn „actionParameters.role“ nicht leer ist. |
| actionParameters.scopes | security_result.detection_fields.value | Der Parser durchläuft jeden Bereich in „actionParameters.scopes“ und ordnet ihn einem separaten Eintrag „detection_fields“ mit dem Schlüssel service_account_scope zu. |
| actionParameters.selection | additional.fields.value.list_value.values.string_value | Der Parser durchläuft jedes Element in „actionParameters.selection.preferences“ und ordnet es einem separaten „string_value“-Eintrag in „additional.fields.value.list_value.values“ zu. |
| actionParameters.userEmail | target.user.email_addresses | Wird mit einem Grok-Muster extrahiert und zugeordnet, wenn es nicht leer ist. |
| actionParameters.userID | target.user.userid | Direkte Zuordnung, wenn „actionParameters.userID“ nicht leer ist. |
| actor.displayName | target.user.user_display_name | Direkte Zuordnung, wenn „actor.displayName“ nicht leer und nicht „unknown“ ist. |
| actor.id | target.user.userid | Direkte Zuordnung, wenn „actor.id“ nicht leer ist. |
| authenticationContext.authenticationProvider | security_result.detection_fields.value | Wird einem Eintrag vom Typ „detection_fields“ mit dem Schlüssel authenticationProvider zugeordnet, wenn er nicht leer ist. |
| authenticationContext.credentialProvider | security_result.detection_fields.value | Wird einem Eintrag vom Typ „detection_fields“ mit dem Schlüssel credentialProvider zugeordnet, wenn er nicht leer ist. |
| authenticationContext.credentialType | extensions.auth.mechanism | Wird verwendet, um den Wert für „extensions.auth.mechanism“ anhand bestimmter Werte abzuleiten. |
| authenticationContext.externalSessionId | network.parent_session_id | Direkte Zuordnung, wenn nicht leer und nicht unknown. |
| client.device | principal.asset.type | Wird verwendet, um den Wert für „principal.asset.type“ anhand bestimmter Werte abzuleiten. |
| client.geographicalContext.city | principal.location.city | Direkte Zuordnung, wenn nicht leer. |
| client.geographicalContext.country | principal.location.country_or_region | Direkte Zuordnung, wenn nicht leer. |
| client.geographicalContext.geolocation.lat | principal.location.region_latitude | Direkte Zuordnung, wenn nicht leer. |
| client.geographicalContext.geolocation.lon | principal.location.region_longitude | Direkte Zuordnung, wenn nicht leer. |
| client.geographicalContext.postalCode | additional.fields.value.string_value | Wird einem Eintrag vom Typ „additional.fields“ mit dem Schlüssel Postal code zugeordnet, wenn er nicht leer ist. |
| client.geographicalContext.state | principal.location.state | Direkte Zuordnung, wenn nicht leer. |
| client.ipAddress | principal.asset.ip | Wird mit „principal.ip“ und „principal.asset.ip“ zusammengeführt, wenn nicht leer. |
| client.ipAddress | principal.ip | Wird mit „principal.ip“ und „principal.asset.ip“ zusammengeführt, wenn nicht leer. |
| client.userAgent.browser | target.resource.attribute.labels.value | Wird einem Eintrag vom Typ „target.resource.attribute.labels“ mit dem Schlüssel Browser zugeordnet, wenn er nicht leer ist. |
| client.userAgent.os | principal.platform | Wird verwendet, um den Wert für „principal.platform“ anhand bestimmter Werte abzuleiten. |
| client.userAgent.rawUserAgent | network.http.user_agent | Direkte Zuordnung, wenn nicht leer. |
| debugContext.debugData.behaviors | security_result.description | Direkte Zuordnung, wenn nicht leer. |
| debugContext.debugData.deviceFingerprint | target.asset.asset_id | Wird mit dem Präfix device_finger_print: auf „target.asset.asset_id“ zugeordnet, wenn nicht leer. |
| debugContext.debugData.dtHash | security_result.detection_fields.value | Wird einem Eintrag vom Typ „detection_fields“ mit dem Schlüssel dtHash zugeordnet, wenn er nicht leer ist. |
| debugContext.debugData.factor | security_result.detection_fields.value | Wird einem Eintrag vom Typ „detection_fields“ mit dem Schlüssel factor zugeordnet, wenn er nicht leer ist. |
| debugContext.debugData.promptingPolicyTypes | security_result.detection_fields.value | Wird einem Eintrag vom Typ „detection_fields“ mit dem Schlüssel promptingPolicyTypes zugeordnet, wenn er nicht leer ist. |
| debugContext.debugData.requestUri | extensions.auth.auth_details | Direkte Zuordnung, wenn nicht leer. |
| eventType | metadata.event_type | Wird verwendet, um den Wert für „metadata.event_type“ anhand bestimmter Werte abzuleiten. |
| eventType | metadata.product_event_type | Direkte Zuordnung, wenn nicht leer. |
| outcome.reason | security_result.category_details | Direkte Zuordnung, wenn nicht leer. |
| outcome.result | security_result.action | Nach der Normalisierung basierend auf bestimmten Werten auf „security_result.action“ zugeordnet. |
| requestId | metadata.product_log_id | Direkte Zuordnung, wenn nicht leer. |
| serviceAccount.name | principal.application | Direkte Zuordnung, wenn „action“ Report ist und „serviceAccount.name“ nicht leer ist. |
| sourceIP | principal.asset.ip | Wird mit einem Grok-Muster extrahiert und mit „principal.ip“ und „principal.asset.ip“ zusammengeführt, wenn sie nicht leer und gültig ist. |
| sourceIP | principal.ip | Wird mit einem Grok-Muster extrahiert und mit „principal.ip“ und „principal.asset.ip“ zusammengeführt, wenn sie nicht leer und gültig ist. |
| Status | security_result.summary | Direkte Zuordnung, wenn nicht leer. |
| timestamp | metadata.event_timestamp | Wird in das Zeitstempelformat konvertiert und zugeordnet, wenn der Wert nicht leer ist. |
| user.id | target.user.userid | Direkte Zuordnung, wenn „actionParameters.userID“ leer ist und „user.id“ nicht leer ist. |
| nutzer.name | target.user.user_display_name | Direkte Zuordnung, wenn „actionParameters.name“ leer ist und „user.name“ nicht leer ist. |
| userAgent | network.http.user_agent | Direkte Zuordnung, wenn „client.userAgent.rawUserAgent“ leer ist und „userAgent“ nicht leer ist. |
| extensions.auth.type | Setzen Sie den Wert auf AUTHTYPE_UNSPECIFIED, wenn „has_user“ auf „true“ und „action“ auf „Login“ festgelegt ist. |
|
| metadata.product_name | Legen Sie WIZ_IO fest. |
|
| metadata.vendor_name | Legen Sie WIZ_IO fest. |
|
| network.http.parsed_user_agent | Abgeleitet von „user_agent_value“, indem es in „parseduseragent“ umgewandelt wird. | |
| security_result.severity | Abgeleitet vom Schweregrad basierend auf bestimmten Werten, standardmäßig LOW. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten