Este artículo aborda la integración de datos de Wiz para generar historias que puedes revisar en el Banco de Trabajo de Historias de Cato.
Al integrar datos de Wiz en la plataforma XOps, puedes habilitar modo de depuración y capacidad de detección más allá de tu red corporativa y puntos de conexión. Esto reduce los riesgos de ataque en arquitecturas nativas en la nube, donde surgen nuevas áreas de ataque.
Con la integración de Wiz, la plataforma XOps identifica y gestiona riesgos únicos en entornos de nube. Esto incluye detectar configuraciones inseguras, aplicaciones vulnerables y credenciales expuestas. Esto crea una vista unificada del riesgo que conecta activos locales y de nube bajo un marco único de seguridad.
Los adversarios pueden explotar vulnerabilidades en la infraestructura de la nube, por ejemplo, buckets de almacenamiento mal configurados o APIs expuestas, para establecer acceso inicial. Desde allí, pueden pivotar hacia la red corporativa. La integración de Wiz habilitar usuarios LDAP permite a la plataforma XOps detectar ataques entre entornos temprano, proporcionando la visibilidad y el contexto necesarios para prevenir movimiento lateral entre sistemas de nube y locales.
Para integrar datos de Wiz con XOps, necesitas configurar los conectores API para Wiz. Después de crear el conector, el motor de detección XOps recupera y analiza los datos de detección de Wiz.
Para obtener más información sobre la revisión de historias de XOps, consulta Análisis profundos y análisis de historias de seguridad de XOps.
Las historias generadas a partir de problemas de Wiz son procesadas por el productor de Detección y Respuesta en la Nube en tiempo casi real. Se generan en base a:
-
Módulos de fuente Wiz: Wiz Cloud y Wiz Defend
-
Tipos de detección: Detección de amenazas, Configuración de la nube y Control de gráfico
-
Datos importados: Resumen, Tabla de eventos y Recurso primario del problema Wiz
La empresa XYZ gestiona su entorno de nube a través de Google Workspace, donde varios usuarios poseen roles altamente privilegiados con acceso administrativo amplio. Sin embargo, la empresa enfrenta desafíos de visibilidad cuando los intentos de inicio de sesión ocurren desde fuera de su red organizativa, especialmente cuando esos intentos fallan. Sin una detección adecuada, estos eventos podrían indicar robo de credenciales o ataques de fuerza bruta dirigidos a cuentas críticas.
La empresa integra XOps con su cuenta de Wiz. Cuando Wiz detecta una alerta de intento de inicio de sesión fallido, XOps ingiere automáticamente los datos, los enriquece con la identidad y contexto de red de Cato, y crea una historia correlacionada que destaca la actividad sospechosa.
Desde la historia de XOps, la empresa puede:
-
Verificar si el inicio de sesión fallido fue legítimo o malicioso
-
Investigue el origen, la geolocalización y la reputación de la IP utilizando la información correlacionada de la red de Cato
-
Identifique si se realizaron intentos similares contra otros usuarios privilegiados
Al combinar la inteligencia en la nube de Wiz con el análisis contextual de Cato, la Empresa XYZ obtiene visibilidad de intentos de autenticación fallidos que podrían señalar intentos de compromiso contra cuentas administrativas. Este enfoque proactivo ayuda a reducir el tiempo de investigación, previene ataques basados en credenciales y fortalece la postura de seguridad de identidad de la organización.
-
Debe tener una licencia de Wiz Defend
-
Para ver historias de Cato XOps para problemas de wiz, se requiere una licencia de XOps o MDR. El conector puede configurarse, y los eventos generarse sin una licencia
-
Para agregar un conector, debes tener permiso de editor para Integraciones (en la Sección de Recursos). Para más información, consulte Gestión de Roles de Administrador Usando RBAC.
Para crear el conector entre Cato y tu inquilino de Wiz, necesitas:
-
Configurar la integración en la Aplicación Wiz
-
Crear el conector API en el CMA
En la Aplicación Wiz, identifica el Client ID y el Client Secret.
Para configurar la integración:
-
En la Aplicación Wiz, navegue a Configuración > Gestión de Acceso > Cuentas de Servicio.
-
Haz clic en Agregar Cuenta de Servicio.
-
En el desplegable de Tipo, seleccione Integración Personalizada (API GraphQL).
-
Agrega estos alcances de API:
-
leer:scans_de_seguridad
-
leer:problemas
-
leer:controles
-
leer:eventos_nube_nube
-
leer:eventos_nube_sensor
-
leer:problemas_de_amenaza
-
-
Copie y guarde el ID de Cliente y el Secreto de Cliente para que puedan ser agregados al CMA.
-
Haga clic en sus iniciales y seleccione Información de Inquilino.
-
Copie y guarde la URL de Endpoint API y la URL de Autenticación para que puedan ser agregados al CMA.
Después de que hayas creado el cliente API, agrega los detalles en la CMA.
Para configurar el conector Wiz en el CMA:
-
Desde el menú de navegación, seleccione Recursos > Integraciones.
-
En la pestaña de Aplicaciones Integradas, haga clic en Nuevo. Se abre el panel Nueva Integración.
-
Seleccione la Aplicación SaaS que desea agregar.
-
Agregue los detalles creados durante el paso uno.
-
Haz clic en Guardar.
-
La aplicación es visible en la tabla de Aplicaciones Integradas con un estado Conectado.
Una vez que hayas creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.
Para ver la página del Banco de Trabajo de Historias:
-
Desde el menú de navegación, haga clic en Inicio > Banco de Trabajo de Historias.
Para obtener información sobre las columnas en el Banco de Trabajo de Historias, consulta Entendiendo las Columnas de Historias.
Para obtener más información sobre la revisión de historias de XOps, consulta Análisis profundos y análisis de XOps historias de seguridad.
0 comentarios
El artículo está cerrado para comentarios.