WIZ CNAPP의 소스 구성
Wiz CNAPP와 통합
Wiz는 멀티 클라우드 환경에서 포괄적인 가시성과 보안을 제공하는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)입니다. CloudWatch Pipeline은 Wiz GraphQL API를 사용하여 클라우드 인프라에서 보안 태세, 취약성, 잘못된 구성, 위협, 감사 활동에 대한 정보를 검색합니다. Wiz GraphQL API를 사용하면 유연한 GraphQL 쿼리를 통해 보안 데이터에 액세스할 수 있으므로 Wiz 플랫폼에서 감사 로그, 문제, 취약성 조사 결과, 구성 조사 결과, 탐지 항목을 검색할 수 있습니다.
Wiz CNAPP로 인증
Wiz Cnapp 감사 로그를 읽으려면 파이프라인이 사용자의 계정으로 인증해야 합니다. 플러그인은 OAuth2 인증을 지원합니다. 시작하려면 아래의 지침을 따르세요.
-
적절한 권한을 사용하여 Wiz에서 서비스 계정을 생성합니다. 서비스 계정에 대한 쓰기(W) 권한이 있는 Wiz 사용자로 로그인해야 합니다.
-
서비스 계정을 구성하고 새로 생성된 클라이언트 ID 및 클라이언트 보안 암호를 가져옵니다.
-
AWS Secrets Manager에서 보안 암호를 생성한 후
client_id라는 키로 애플리케이션(클라이언트) ID를 저장하고client_secret이라는 키로 클라이언트 보안 암호를 저장합니다. -
서비스 계정에 대한 API 권한(범위)을 구성합니다.
필수 범위:
read:issues,read:detections,read:cloud_events_cloud,read:cloud_events_sensor,read:security_scans,read:vulnerabilities,read:cloud_configuration,admin:audit -
GraphQL API 엔드포인트 식별: 특정 엔드포인트를 찾으려면 Wiz 포털에서 테넌트 정보를 확인합니다. Wiz GraphQL API 엔드포인트는
https://api.<region>.app.wiz.io/graphql이며, 여기서<region>은 Wiz 테넌트의 데이터 센터(예: us1, us2, eu1, eu2)에 해당합니다.
CloudWatch 파이프라인 구성
Wiz에서 감사 로그를 읽도록 파이프라인을 구성할 경우 Wiz CNAPP를 데이터 소스로 선택합니다. 리전 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.
지원되는 Open Cybersecurity Schema Framework 이벤트 클래스
이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 탐지 결과(2004), 취약성 조사 결과(2002), 규정 준수 조사 결과(2003), 인증(3002), API 활동(6003)에 매핑되는 이벤트를 지원합니다.
탐지 결과에는 다음 소스의 모든 이벤트가 포함됩니다.
문제
탐지
취약성 조사 결과에는 다음 소스의 모든 이벤트가 포함됩니다.
취약성 조사 결과
규정 준수 조사 결과에는 다음 소스의 모든 이벤트가 포함됩니다.
클라우드 구성 조사 결과
인증에는 다음 소스 및 지정된 작업의 이벤트가 포함됩니다.
감사 로그
DeviceLogin
로그인
API 활동에는 다음 소스 및 지정된 작업의 이벤트가 포함됩니다.
감사 로그
AddSecurityScan
AddSupportTicketContext
AiAssistantSendMessage
ApproveCopyResourceForensicsSettings...
AssociateServiceTicket
CancelReportRun
ClearUIUserPreferences
CompleteAuthMigration
ConvertGitHubAppRegistrationCode
CopyResourceForensicsToExternalAccount
CreateActionTemplate
CreateApplicationServiceDiscoveryRule
CreateAutomationRule
CreateCICDScanPolicy
CreateCloudConfigurationFindingNote
CreateCloudConfigurationRule
CreateCloudConfigurationRules
CreateCloudEventRule
CreateComputeGroupTagsSet
CreateConnector
CreateControl
CreateCustomIPRange
CreateDashboard
CreateDashboardWidget
CreateDataClassifier
CreateDigitalTrustCustomDomain
CreateFileIntegrityMonitoringExclusion
CreateHostConfigurationAssessmentNote
CreateHostConfigurationRule
CreateIgnoreRule
CreateImageIntegrityValidator
CreateIntegration
CreateIssueNote
CreateMalwareExclusion
CreateMonitoredMetric
CreateOutpost
CreateOutpostCluster
CreatePolicyPackage
CreatePortalView
CreateProject
CreateRemediationAndResponseDeployment
CreateRemediationPullRequest
CreateReport
CreateRuntimeResponsePolicy
CreateSAMLIdentityProvider
CreateSAMLUser
CreateSavedCloudEventFilter
CreateSavedGraphQuery
CreateScannerAPIRateLimit
CreateSecurityFramework
CreateServiceAccount
CreateSupportTicket
CreateTestNode
CreateUser
CreateUserRole
CreateVulnerabilityFindingNote
DeleteActionTemplate
DeleteApplicationServiceDiscoveryRule
DeleteAutomationRule
DeleteCICDScan
DeleteCICDScanPolicy
DeleteCloudConfigurationFindingNote
DeleteCloudConfigurationRule
DeleteCloudEventRule
DeleteComputeGroupTagsSet
DeleteConnector
DeleteControl
DeleteCustomIPRange
DeleteDashboard
DeleteDashboardWidget
DeleteDataClassifier
DeleteDigitalTrustCustomDomain
DeleteFileIntegrityMonitoringExclusion
DeleteHostConfigurationAssessmentNote
DeleteHostConfigurationRule
DeleteIgnoreRule
DeleteImageIntegrityValidator
DeleteIntegration
DeleteIssueNote
DeleteMalwareExclusion
DeleteMonitoredMetric
DeleteOutpost
DeleteOutpostCluster
DeletePolicyPackage
DeletePortalView
DeleteProject
DeleteRemediationAndResponseDeployment
DeleteReports
DeleteRuntimeResponsePolicy
DeleteSAMLIdentityProvider
DeleteSavedCloudEventFilter
DeleteSavedGraphQuery
DeleteScannerAPIRateLimit
DeleteSecurityFramework
DeleteSecurityScan
DeleteServiceAccount
DeleteTestNode
DeleteUser
DeleteUserRole
DeleteVulnerabilityFindingNote
DisassociateServiceTicket
DuplicateDashboard
DuplicateDataClassifier
DuplicateHostConfigurationRule
DuplicateSecurityFramework
DuplicateUserRole
FinalizeCICDScan
FinalizeCICDScanTelemetry
GenerateWizContainerRegistryToken
GraphSearch
InitiateCICDScanTelemetry
InitiateDiskScanContainerImage
InitiateDiskScanDirectory
InitiateDiskScanVirtualMachine
InitiateDiskScanVirtualMachineImage
InitiateIACScan
InvokeOutpostClusterUpdate
LegalConsent
MergeDiscoveredApplicationService
MigrateUsers
ModifySAMLIdentityProviderGroupMappings
ModifySAMLIdentityProviderPortalView...
PromoteDiscoveredApplicationService
ProvideAiFeedback
ProvideAiGraphQueryExample
ProvideAiGraphQueryFeedback
ProvideIssueFeedback
ReassessIssue
RefreshResponseActions
RegisterAgent
ReportIDEActivityHeartbeat
ReportIDEAnalytics
RequestConnectorEntityScan
RequestConnectorScan
RerunReport
ResetUserPassword
RevokeSessions
RevokeUserSessions
RotateServiceAccountSecret
RunAllControls
RunCloudConfigurationRule
RunControl
RunControlsIntegrationAction
RunIssuesIntegrationAction
RunOutpostClusterUpdate
RunResponseAction
SAMLUserInitialProvision
SendUserEmailInvite
TagCICDScan
TokenDeviceRefresh
TokenRefresh
UninstallOutpost
UpdateAiSettings
UpdateApplicationServiceDiscoveryRule
UpdateAutomationRule
UpdateBasicAuthSettings
UpdateCICDScanPolicy
UpdateChampionCenterJourneyItem
UpdateCloudConfigurationFinding
UpdateCloudConfigurationRule
UpdateCloudConfigurationRules
UpdateCloudCostSettings
UpdateCloudEventRule
UpdateCloudEventRules
UpdateCloudEventSettings
UpdateComputeGroupTagsSet
UpdateConnector
UpdateContainerRegistryCustomScannin...
UpdateContainerRegistryGlobalScannin...
UpdateControl
UpdateControls
UpdateCopyResourceForensicsSettings
UpdateCustomIPRange
UpdateCustomIPRangesSettings
UpdateCustomUserRolesSettings
UpdateDashboard
UpdateDashboardSettings
UpdateDashboardWidget
UpdateDataClassifier
UpdateDataFinding
UpdateDataScannerSettings
UpdateDigitalTrustCustomDomain
UpdateDigitalTrustDashboardSettings
UpdateDigitalTrustSAMLIdentityProvider
UpdateDiscoveredApplicationServices
UpdateEventTriggeredScanningSettings
UpdateExternalExposureScannerSettings
UpdateExternalExposureSettings
UpdateFileIntegrityMonitoringExclusion
UpdateFileIntegrityMonitoringSettings
UpdateForensicsPackageSettings
UpdateGraphEntity
UpdateHostConfigurationRule
UpdateHostConfigurationRuleAssessment
UpdateHostConfigurationRules
UpdateIPRestrictions
UpdateIgnoreRule
UpdateImageIntegrityValidator
UpdateIntegration
UpdateInternalExposureSettings
UpdateIssue
UpdateIssueNote
UpdateIssueSettings
UpdateIssues
UpdateKubernetesGlobalScanningConfig...
UpdateLoginSettings
UpdateMalwareExclusion
UpdateMonitoredMetric
UpdateMonitoredMetricSettings
UpdateNode
UpdateNonOSDiskScanningSettings
UpdateNotificationSettings
UpdateOutpost
UpdateOutpostCluster
UpdatePolicyPackage
UpdatePortalInactivityTimeoutSettings
UpdatePortalSettings
UpdatePortalView
UpdatePreviewHubItem
UpdateProject
UpdateRemediationAndResponseDeployment
UpdateReport
UpdateReportSettings
UpdateRepositorySettings
UpdateResponseAction
UpdateResponseActions
UpdateRuntimeResponsePolicy
UpdateSAMLIdentityProvider
UpdateSavedCloudEventFilter
UpdateSavedGraphQuery
UpdateScannerAPIRateLimit
UpdateScannerExclusionSettingsConstr...
UpdateScannerExclusionSettingsTimeLi...
UpdateScannerExclusionSizeLimits
UpdateScannerExclusionTags
UpdateScannerResourceTagSettings
UpdateScannerResourceTags
UpdateScannerSettings
UpdateSecretInstance
UpdateSecurityFramework
UpdateSecurityScan
UpdateServiceAccount
UpdateSessionLifetimeSettings
UpdateSupportContactList
UpdateSystemHealthIssue
UpdateSystemHealthIssues
UpdateTechnology
UpdateTenantNewsletterSettings
UpdateUIUserPreferences
UpdateUser
UpdateUserRole
UpdateUserSelectedPortalView
UpdateVersionControlOrganizationSett...
UpdateVersionControlRepositorySettings
UpdateViewerPreferences
UpdateVulnerability
UpdateVulnerabilityAssessmentSettings
UpdateVulnerabilityFinding
UpdateVulnerabilityFindingStatus
UpsertAgentTelemetry
