Configuração de fonte para o WIZ CNAPP
Integrar com o Wiz CNAPP
O Wiz é uma plataforma de proteção de aplicações nativas da nuvem (CNAPP) que fornece visibilidade e segurança abrangentes em ambientes multinuvens. O CloudWatch Pipeline usa a API GraphQL do Wiz para recuperar informações sobre postura de segurança, vulnerabilidades, configurações incorretas, ameaças e atividades de auditoria da infraestrutura de nuvem. A API GraphQL do Wiz permite o acesso aos dados de segurança por meio de consultas GraphQL flexíveis, permitindo a recuperação de logs de auditoria, problemas, descobertas de vulnerabilidades, descobertas de configuração e detecções da plataforma Wiz.
Autenticação no Wiz CNAPP
Para ler os logs de auditoria do Wiz Cnapp, o pipeline precisa ser autenticado na sua conta. O plug-in é compatível com autenticação OAuth2. Siga estas instruções para começar.
-
Crie uma conta de serviço no Wiz com as permissões apropriadas. Você deve fazer login como um usuário do Wiz com permissão de gravação (W) nas contas de serviço.
-
Configure a conta de serviço e obtenha o ID e o segredo do cliente recém-criados.
-
No AWS Secrets Manager, crie um segredo e armazene o ID da aplicação (cliente) com a chave
client_ide o segredo do cliente com a chaveclient_secret. -
Configure as permissões (escopos) da API para sua conta de serviço.
Escopos necessários:
read:issues,read:detections,read:cloud_events_cloud,read:cloud_events_sensor,read:security_scans,read:vulnerabilities,read:cloud_configuration,admin:audit -
Identifique o endpoint da API GraphQL: para encontrar o endpoint específico, verifique as Informações de locatário no portal Wiz. O endpoint da API GraphQL do Wiz é
https://api.<region>.app.wiz.io/graphql, onde<region>corresponde ao datacenter do locatário Wiz (por exemplo, us1, us2, eu1, eu2).
Configurar o CloudWatch Pipeline
Ao configurar o pipeline para ler os logs de auditoria do Wiz, escolha o Wiz CNAPP como a fonte de dados. Preencha as informações necessárias, como a região. Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.
Classes de eventos do Open Cybersecurity Schema Framework compatíveis
Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados para Detection Finding (2004), Vulnerability Finding (2002), Compliance Finding (2003), Authentication (3002) e API Activity (6003).
Detection Finding inclui todos os eventos das seguintes fontes:
Problemas
Detecções
Vulnerability Finding inclui todos os eventos das seguintes fontes:
Descobertas de vulnerabilidades
Compliance Finding inclui todos os eventos das seguintes fontes:
Descobertas de configuração de nuvem
Authentication inclui eventos das seguintes fontes e ações especificadas:
Logs de auditoria
DeviceLogin
Login
API Activity inclui eventos das seguintes fontes e ações especificadas:
Logs de auditoria
AddSecurityScan
AddSupportTicketContext
AiAssistantSendMessage
ApproveCopyResourceForensicsSettings...
AssociateServiceTicket
CancelReportRun
ClearUIUserPreferences
CompleteAuthMigration
ConvertGitHubAppRegistrationCode
CopyResourceForensicsToExternalAccount
CreateActionTemplate
CreateApplicationServiceDiscoveryRule
CreateAutomationRule
CreateCICDScanPolicy
CreateCloudConfigurationFindingNote
CreateCloudConfigurationRule
CreateCloudConfigurationRules
CreateCloudEventRule
CreateComputeGroupTagsSet
CreateConnector
CreateControl
CreateCustomIPRange
CreateDashboard
CreateDashboardWidget
CreateDataClassifier
CreateDigitalTrustCustomDomain
CreateFileIntegrityMonitoringExclusion
CreateHostConfigurationAssessmentNote
CreateHostConfigurationRule
CreateIgnoreRule
CreateImageIntegrityValidator
CreateIntegration
CreateIssueNote
CreateMalwareExclusion
CreateMonitoredMetric
CreateOutpost
CreateOutpostCluster
CreatePolicyPackage
CreatePortalView
CreateProject
CreateRemediationAndResponseDeployment
CreateRemediationPullRequest
CreateReport
CreateRuntimeResponsePolicy
CreateSAMLIdentityProvider
CreateSAMLUser
CreateSavedCloudEventFilter
CreateSavedGraphQuery
CreateScannerAPIRateLimit
CreateSecurityFramework
CreateServiceAccount
CreateSupportTicket
CreateTestNode
CreateUser
CreateUserRole
CreateVulnerabilityFindingNote
DeleteActionTemplate
DeleteApplicationServiceDiscoveryRule
DeleteAutomationRule
DeleteCICDScan
DeleteCICDScanPolicy
DeleteCloudConfigurationFindingNote
DeleteCloudConfigurationRule
DeleteCloudEventRule
DeleteComputeGroupTagsSet
DeleteConnector
DeleteControl
DeleteCustomIPRange
DeleteDashboard
DeleteDashboardWidget
DeleteDataClassifier
DeleteDigitalTrustCustomDomain
DeleteFileIntegrityMonitoringExclusion
DeleteHostConfigurationAssessmentNote
DeleteHostConfigurationRule
DeleteIgnoreRule
DeleteImageIntegrityValidator
DeleteIntegration
DeleteIssueNote
DeleteMalwareExclusion
DeleteMonitoredMetric
DeleteOutpost
DeleteOutpostCluster
DeletePolicyPackage
DeletePortalView
DeleteProject
DeleteRemediationAndResponseDeployment
DeleteReport
DeleteRuntimeResponsePolicy
DeleteSAMLIdentityProvider
DeleteSavedCloudEventFilter
DeleteSavedGraphQuery
DeleteScannerAPIRateLimit
DeleteSecurityFramework
DeleteSecurityScan
DeleteServiceAccount
DeleteTestNode
DeleteUser
DeleteUserRole
DeleteVulnerabilityFindingNote
DisassociateServiceTicket
DuplicateDashboard
DuplicateDataClassifier
DuplicateHostConfigurationRule
DuplicateSecurityFramework
DuplicateUserRole
FinalizeCICDScan
FinalizeCICDScanTelemetry
GenerateWizContainerRegistryToken
GraphSearch
InitiateCICDScanTelemetry
InitiateDiskScanContainerImage
InitiateDiskScanDirectory
InitiateDiskScanVirtualMachine
InitiateDiskScanVirtualMachineImage
InitiateIACScan
InvokeOutpostClusterUpdate
LegalConsent
MergeDiscoveredApplicationService
MigrateUsers
ModifySAMLIdentityProviderGroupMappings
ModifySAMLIdentityProviderPortalView...
PromoteDiscoveredApplicationService
ProvideAiFeedback
ProvideAiGraphQueryExample
ProvideAiGraphQueryFeedback
ProvideIssueFeedback
ReassessIssue
RefreshResponseActions
RegisterAgent
ReportIDEActivityHeartbeat
ReportIDEAnalytics
RequestConnectorEntityScan
RequestConnectorScan
RerunReport
ResetUserPassword
RevokeSessions
RevokeUserSessions
RotateServiceAccountSecret
RunAllControls
RunCloudConfigurationRule
RunControl
RunControlsIntegrationAction
RunIssuesIntegrationAction
RunOutpostClusterUpdate
RunResponseAction
SAMLUserInitialProvision
SendUserEmailInvite
TagCICDScan
TokenDeviceRefresh
TokenRefresh
UninstallOutpost
UpdateAiSettings
UpdateApplicationServiceDiscoveryRule
UpdateAutomationRule
UpdateBasicAuthSettings
UpdateCICDScanPolicy
UpdateChampionCenterJourneyItem
UpdateCloudConfigurationFinding
UpdateCloudConfigurationRule
UpdateCloudConfigurationRules
UpdateCloudCostSettings
UpdateCloudEventRule
UpdateCloudEventRules
UpdateCloudEventSettings
UpdateComputeGroupTagsSet
UpdateConnector
UpdateContainerRegistryCustomScannin...
UpdateContainerRegistryGlobalScannin...
UpdateControl
UpdateControls
UpdateCopyResourceForensicsSettings
Atualizar o intervalo de IP personalizado
UpdateCustomIPRangesSettings
UpdateCustomUserRolesSettings
UpdateDashboard
UpdateDashboardSettings
UpdateDashboardWidget
UpdateDataClassifier
UpdateDataFinding
UpdateDataScannerSettings
UpdateDigitalTrustCustomDomain
UpdateDigitalTrustDashboardSettings
UpdateDigitalTrustSAMLIdentityProvider
UpdateDiscoveredApplicationServices
UpdateEventTriggeredScanningSettings
UpdateExternalExposureScannerSettings
UpdateExternalExposureSettings
UpdateFileIntegrityMonitoringExclusion
UpdateFileIntegrityMonitoringSettings
UpdateForensicsPackageSettings
UpdateGraphEntity
UpdateHostConfigurationRule
UpdateHostConfigurationRuleAssessment
UpdateHostConfigurationRules
UpdateIPRestrictions
UpdateIgnoreRule
UpdateImageIntegrityValidator
UpdateIntegration
UpdateInternalExposureSettings
UpdateIssue
UpdateIssueNote
UpdateIssueSettings
UpdateIssues
UpdateKubernetesGlobalScanningConfig...
UpdateLoginSettings
UpdateMalwareExclusion
UpdateMonitoredMetric
UpdateMonitoredMetricSettings
UpdateNode
UpdateNonOSDiskScanningSettings
UpdateNotificationSettings
UpdateOutpost
UpdateOutpostCluster
UpdatePolicyPackage
UpdatePortalInactivityTimeoutSettings
UpdatePortalSettings
UpdatePortalView
UpdatePreviewHubItem
UpdateProject
UpdateRemediationAndResponseDeployment
UpdateReport
UpdateReportSettings
UpdateRepositorySettings
UpdateResponseAction
UpdateResponseActions
UpdateRuntimeResponsePolicy
UpdateSAMLIdentityProvider
UpdateSavedCloudEventFilter
UpdateSavedGraphQuery
UpdateScannerAPIRateLimit
UpdateScannerExclusionSettingsConstr...
UpdateScannerExclusionSettingsTimeLi...
UpdateScannerExclusionSizeLimits
UpdateScannerExclusionTags
UpdateScannerResourceTagSettings
UpdateScannerResourceTags
UpdateScannerSettings
UpdateSecretInstance
UpdateSecurityFramework
UpdateSecurityScan
UpdateServiceAccount
UpdateSessionLifetimeSettings
UpdateSupportContactList
UpdateSystemHealthIssue
UpdateSystemHealthIssues
UpdateTechnology
UpdateTenantNewsletterSettings
UpdateUIUserPreferences
UpdateUser
UpdateUserRole
UpdateUserSelectedPortalView
UpdateVersionControlOrganizationSett...
UpdateVersionControlRepositorySettings
UpdateViewerPreferences
UpdateVulnerability
UpdateVulnerabilityAssessmentSettings
UpdateVulnerabilityFinding
UpdateVulnerabilityFindingStatus
UpsertAgentTelemetry
