Wiz ログを収集する

以下でサポートされています。

このドキュメントでは、Wiz ログを Google Security Operations に取り込む方法について説明します。パーサーは、Wiz の未加工の JSON 形式のログを統合データモデル(UDM)に変換します。まず、UDM フィールドのデフォルト値を初期化してから、JSON メッセージを解析し、ユーザー情報、位置情報、デバイスの詳細、セキュリティ結果などの関連フィールドを抽出します。Wiz は、Google Cloud、AWS、Azure、OCI、Kubernetes 環境全体にわたるエージェントレスのエンドツーエンドの可視性とリスクの優先順位付けを提供するクラウド セキュリティ プラットフォームです。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Wiz への特権アクセス

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Wiz で統合を構成する

  1. Wiz ウェブ UI にログインします。
  2. [Wiz に接続] ページに移動します。
  3. [Google Cloud Chronicle] をクリックします。
  4. [スコープ] を選択します。
  5. Google SecOps のお客様 ID を入力します。
  6. Google SecOps [Chronicle] インスタンスのエンドポイント アドレスを入力します。

  7. Google サービス アカウント キーをアップロードします。

  8. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
アクション metadata.product_event_type eventType が空の場合、直接マッピングされます。
アクション principal.application action が Report で、serviceAccount.name が空でない場合の直接マッピング。
actionParameters.groups security_result.detection_fields.value パーサーは actionParameters.groups 内の各グループを反復処理し、キー service_account_group を持つ個別の detection_fields エントリにマッピングします。
actionParameters.input.patch.portalVisitHistory.dateTime additional.fields.value.string_value パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、dateTime フィールドを抽出して、キー dateTime {index} の個別の additional.fields エントリにマッピングします。
actionParameters.input.patch.portalVisitHistory.id principal.resource.attribute.labels.value パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、id フィールドを抽出して、キー id {index} の個別の principal.resource.attribute.labels エントリにマッピングします。
actionParameters.input.patch.portalVisitHistory.name principal.resource.attribute.labels.value パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、name フィールドを抽出して、キー name {index} の個別の principal.resource.attribute.labels エントリにマッピングします。
actionParameters.input.patch.portalVisitHistory.resourceName principal.resource.attribute.labels.value パーサーは actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、resourceName フィールドを抽出して、キー resourceName {index} の個別の principal.resource.attribute.labels エントリにマッピングします。
actionParameters.input.patch.portalVisitHistory.resourceType principal.resource.attribute.labels.value パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、resourceType フィールドを抽出して、キー resourceType {index} の個別の principal.resource.attribute.labels エントリにマッピングします。
actionParameters.input.patch.portalVisitHistory.ruleType principal.resource.attribute.labels.value パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、ruleType フィールドを抽出して、キー ruleType {index} の個別の principal.resource.attribute.labels エントリにマッピングします。
actionParameters.input.patch.portalVisitHistory.type additional.fields.value.string_value パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、type フィールドを抽出して、キー type {index} の別の additional.fields エントリにマッピングします。
actionParameters.name target.user.user_display_name actionParameters.name が空でない場合の直接マッピング。
actionParameters.products security_result.detection_fields.value パーサーは、actionParameters.products の各商品(空の文字列と * を除く)を反復処理し、キー service_account_product を持つ個別の detection_fields エントリにマッピングします。
actionParameters.role target.user.attribute.roles.name actionParameters.role が空でない場合、直接マッピングされます。
actionParameters.scopes security_result.detection_fields.value パーサーは actionParameters.scopes の各スコープを反復処理し、キー service_account_scope を持つ個別の detection_fields エントリにマッピングします。
actionParameters.selection additional.fields.value.list_value.values.string_value パーサーは、actionParameters.selection.preferences 内の各項目を反復処理し、additional.fields.value.list_value.values 内の個別の string_value エントリにマッピングします。
actionParameters.userEmail target.user.email_addresses Grok パターンを使用して抽出され、空でない場合マッピングされます。
actionParameters.userID target.user.userid actionParameters.userID が空でない場合の直接マッピング。
actor.displayName target.user.user_display_name actor.displayName が空でないか unknown でない場合、直接マッピングされます。
actor.id target.user.userid actor.id が空でない場合、直接マッピングされます。
authenticationContext.authenticationProvider security_result.detection_fields.value 空でない場合、キー authenticationProvider を持つ detection_fields エントリにマッピングされます。
authenticationContext.credentialProvider security_result.detection_fields.value 空でない場合、キー credentialProvider を持つ detection_fields エントリにマッピングされます。
authenticationContext.credentialType extensions.auth.mechanism 特定の値に基づいて extensions.auth.mechanism の値を導出するために使用されます。
authenticationContext.externalSessionId network.parent_session_id 空でないか unknown でない場合、直接マッピングされます。
client.device principal.asset.type 特定の値に基づいて principal.asset.type の値を導出するために使用されます。
client.geographicalContext.city principal.location.city 空でない場合、直接マッピングされます。
client.geographicalContext.country principal.location.country_or_region 空でない場合、直接マッピングされます。
client.geographicalContext.geolocation.lat principal.location.region_latitude 空でない場合、直接マッピングされます。
client.geographicalContext.geolocation.lon principal.location.region_longitude 空でない場合、直接マッピングされます。
client.geographicalContext.postalCode additional.fields.value.string_value 空でない場合、キー Postal code を持つ additional.fields エントリにマッピングされます。
client.geographicalContext.state principal.location.state 空でない場合、直接マッピングされます。
client.ipAddress principal.asset.ip 空でない場合、principal.ip と principal.asset.ip に統合されました。
client.ipAddress principal.ip 空でない場合、principal.ip と principal.asset.ip に統合されました。
client.userAgent.browser target.resource.attribute.labels.value 空でない場合、キー Browser を持つ target.resource.attribute.labels エントリにマッピングされます。
client.userAgent.os principal.platform 特定の値に基づいて principal.platform の値を導出するために使用されます。
client.userAgent.rawUserAgent network.http.user_agent 空でない場合、直接マッピングされます。
debugContext.debugData.behaviors security_result.description 空でない場合、直接マッピングされます。
debugContext.debugData.deviceFingerprint target.asset.asset_id 空でない場合、接頭辞 device_finger_print: 付きで target.asset.asset_id にマッピングされます。
debugContext.debugData.dtHash security_result.detection_fields.value 空でない場合、キー dtHash を持つ detection_fields エントリにマッピングされます。
debugContext.debugData.factor security_result.detection_fields.value 空でない場合、キー factor を持つ detection_fields エントリにマッピングされます。
debugContext.debugData.promptingPolicyTypes security_result.detection_fields.value 空でない場合、キー promptingPolicyTypes を持つ detection_fields エントリにマッピングされます。
debugContext.debugData.requestUri extensions.auth.auth_details 空でない場合、直接マッピングされます。
eventType metadata.event_type 特定の値に基づいて metadata.event_type の値を導出するために使用されます。
eventType metadata.product_event_type 空でない場合、直接マッピングされます。
outcome.reason security_result.category_details 空でない場合、直接マッピングされます。
outcome.result security_result.action 特定の値に基づいて正規化された後、security_result.action にマッピングされます。
requestId metadata.product_log_id 空でない場合、直接マッピングされます。
serviceAccount.name principal.application action が Report で、serviceAccount.name が空でない場合の直接マッピング。
sourceIP principal.asset.ip Grok パターンを使用して抽出され、空で有効な場合は principal.ip と principal.asset.ip と統合されます。
sourceIP principal.ip Grok パターンを使用して抽出され、空で有効な場合は principal.ip と principal.asset.ip と統合されます。
ステータス security_result.summary 空でない場合、直接マッピングされます。
timestamp metadata.event_timestamp タイムスタンプ形式に変換され、空でない場合マッピングされます。
user.id target.user.userid actionParameters.userID が空で、user.id が空でない場合の直接マッピング。
user.name target.user.user_display_name actionParameters.name が空で、user.name が空でない場合の直接マッピング。
userAgent network.http.user_agent client.userAgent.rawUserAgent が空で、userAgent が空でない場合の直接マッピング。
extensions.auth.type has_user が true で、action が Login の場合は AUTHTYPE_UNSPECIFIED に設定します。
metadata.product_name WIZ_IO に設定します。
metadata.vendor_name WIZ_IO に設定します。
network.http.parsed_user_agent user_agent_value を parseduseragent に変換して得られます。
security_result.severity 特定の値に基づいて重大度から派生し、デフォルトは LOW です。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。