Cet article explique comment intégrer les données de Wiz pour générer des histoires que vous pouvez consulter dans l'Atelier des Histoires Cato.
En intégrant les données de Wiz dans la plateforme XOps, vous pouvez activer le mode débogage des capacités de visibilité et de détection au-delà de votre réseau d'entreprise et des Points d'Extrémité. Cela réduit les risques d'attaque dans les architectures natives du cloud, où de nouveaux surfaces d'attaque émergent.
Avec l'intégration Wiz, la plateforme XOps identifie et gère les risques uniques aux environnements cloud. Cela inclut la détection de configurations non sécurisées, d'applications vulnérables et de d'identifiants exposés. Cela crée une vue unifiée des risques qui relie les ressources sur site et cloud sous un seul cadre de sécurité.
Les adversaires peuvent exploiter des vulnérabilités dans l'infrastructure cloud, par exemple des buckets de stockage mal configurés ou des API exposées, pour établir un accès initial. À partir de là, ils peuvent pivoter vers le réseau d'entreprise. L'intégration Wiz permet à la plateforme XOps de SIM détectée des attaques entre environnements tôt, fournissant la visibilité et le contexte nécessaires pour PREVENTED le Mouvement Latéral entre les systèmes cloud et sur site.
Pour intégrer les données Wiz avec XOps, vous devez configurer les connecteurs API pour Wiz. Après avoir créé le connecteur, le moteur XOps récupère et analyse les SIM détectée données de Wiz.
Pour plus d'informations sur la révision des histoires XOps, consultez Exploration et Analyse des Histoires de Sécurité XOps.
Les histoires générées à partir des problèmes Wiz sont traitées par le producteur de Détection et Réponse Cloud en temps quasi réel. Elles sont générées à partir de :
-
Modules source Wiz : Wiz Cloud et Wiz Defend
-
Types de Détection : Détection des Menaces, Configuration du Cloud et Contrôle Graphique
-
Données Importées : Vue d'ensemble, Tableau des Événements et Ressource Primaire du problème Wiz
L'Entreprise XYZ gère son environnement cloud via Google Workspace, où plusieurs utilisateurs ont des rôles très privilégiés avec un large accès administratif. Cependant, l'entreprise fait face à des défis de visibilité lorsque des tentatives de connexion se produisent de l'extérieur de son réseau organisationnel, surtout lorsque ces tentatives échouent. Sans SIM détectée, ces événements pourraient indiquer un vol d'identifiants ou des attaques par force brute ciblant des comptes critiques.
L'entreprise intègre XOps avec leur compte Wiz. Lorsque Wiz détecte une alerte d'échec de connexion, XOps SIM détectée automatiquement les données, les enrichit avec l'identité et le réseau de Cato, et crée une histoire corrélée mettant en avant l'Activité suspecte.
De l'histoire XOps, l'entreprise peut :
-
Vérifiez si la connexion échouée était légitime ou malveillante
-
Enquêter sur l'origine, la géolocalisation et la réputation de l'adresse IP en utilisant les aperçus du réseau Cato corrélés
-
Identifiez si des tentatives similaires ont été faites contre d'autres utilisateurs privilégiés
En combinant l'intelligence cloud de Wiz avec les analyses contextuelles de Cato, l'Entreprise XYZ obtient une visibilité sur les tentatives d'Authentification échouées qui pourraient signaler des tentatives de compromis contre des Comptes assignés. Cette approche proactive aide à réduire le temps d'investigation, PREVENTED les attaques basées sur les identifiants, et renforce la posture globale de Sécurité de l'identité de l'organisation.
-
Vous devez avoir une licence Wiz Defend
-
Pour voir les histoires XOps pour les problèmes wiz, une licence XOps ou MDR est requise. Le connecteur peut être configuré et des événements générés sans licence
-
Pour ajouter un connecteur, vous devez avoir une permission d'éditeur pour Intégrations (dans la Ressources section). Pour plus d'informations, voir Managing Admin Roles Using RBAC.
Pour créer le connecteur entre Cato et votre locataire Wiz, vous devez :
-
Configurez l'intégration dans l'Application Wiz
-
Créer le connecteur API dans le CMA
Dans l'application Wiz, identifier le Client ID et la Clé secrète du client.
Pour configurer l'intégration :
-
Dans l'Application Wiz, naviguez vers Paramètres > Gestion des Accès > Comptes de Service.
-
Cliquez sur Ajouter Compte de Service.
-
Dans le menu déroulant Type, sélectionnez Intégration Personnalisée (GraphQL API).
-
Ajoutez ces portées API :
-
lire:security_scans
-
lire:issues
-
lire:controls
-
lire:cloud_events_cloud
-
lire:cloud_events_sensor
-
lire:threat_issues
-
-
Copiez et enregistrez l'ID Client et le Secret Client pour pouvoir les ajouter au CMA.
-
Cliquez sur vos initiales et sélectionnez Infos Locataire.
-
Copiez et enregistrez l'URL du Point de Terminaison API et l'URL d'Authentification pour pouvoir les ajouter au CMA.
Après avoir créé le client API, ajoutez les détails dans le CMA.
Pour configurer le connecteur Wiz dans le CMA :
-
Dans le menu de navigation, sélectionnez Ressources > Intégrations.
-
Dans l'onglet Applications Intégrées, cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.
-
Sélectionnez l'Application SaaS que vous souhaitez ajouter.
-
Ajoutez les détails créés lors de l'étape un.
-
Cliquez sur Enregistrer.
-
L'application est visible sur le tableau Applications Intégrées avec un statut Connecté.
-
Point de terminaison GraphQL
-
IssuesTable - Interrogation du point de terminaison des Problèmes.
-
Une fois que vous aurez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.
Pour voir la page Atelier des Histoires :
-
Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.
Pour plus d'informations sur les colonnes dans l'Atelier des Histoires, consultez Comprendre les colonnes des histoires
Pour plus d'informations sur la révision des histoires XOps, consultez Exploration et Analyse des Histoires de Sécurité XOps
0 commentaire
Cet article n'accepte pas de commentaires.