Wiz: XOps 統合の設定

この記事では、Wizからデータを統合し、Catoストーリー作業台でレビューできるストーリーを生成する方法について説明します。

概要

WizからXOpsプラットフォームへのデータ統合によって、企業ネットワークやエンドポイントを超えた可視性と検出機能を拡張できます。 これにより、新しい攻撃面が出現するクラウドネイティブなアーキテクチャにおける攻撃リスクが軽減されます。

Wiz統合により、XOpsプラットフォームはクラウド環境固有のリスクを特定し管理します。 これには、安全でない設定、脆弱なアプリケーション、および露出した認証情報の検出が含まれます。 これにより、オンプレミスおよびクラウド資産を単一のセキュリティフレームワークで橋渡しする統合的なリスクビューが作成されます。

対立者はクラウドインフラストラクチャの脆弱性を悪用し、例えば設定ミスされたストレージバケットまたは露出したAPIを利用して初期アクセスを確立することがあります。 そこから、企業ネットワークにピボットすることができます。 Wiz統合により、XOpsプラットフォームは環境をまたぐ攻撃を早期に検出し、クラウドとオンプレミスシステム間の横方向移動を防ぐために必要な可視性とコンテキストを提供します。

WizデータをXOpsと統合するには、WizのAPIコネクタを設定する必要があります。 コネクタを作成した後、XOpsエンジンがWizから検出データを取得して分析します。

XOpsストーリーのレビューの詳細については、Drilling-Down and Analyzing XOps Security Storiesを参照してください。

Wiz コネクタで生成されたストーリーを理解する

Wizの問題から生成されたストーリーは、クラウド検出と応答プロデューサーによってほぼリアルタイムで処理されます。 それらは以下に基づいて生成されます:

  • Wiz ソース モジュール: Wiz Cloud と Wiz Defend

  • 検出タイプ: 脅威検出、クラウド設定、およびグラフ制御

  • 読み込まれたデータ: Wiz 問題の概要、イベントテーブル、およびプライマリ リソース

ユースケース - 非組織的なIPアドレスからのログイン失敗

Wix_UC.png

XYZ社はGoogle Workspaceを通じてクラウド環境を管理しており、複数のユーザーが幅広い管理アクセスを持つ高度な特権ロールを保持しています。 ただし、会社は可視性の課題に直面しており、特に会社のネットワーク外部からのログイン試行が失敗した場合に、その試行が発生します。 適切な検出がない場合、これらのイベントは認証情報の窃取や重要なアカウントを対象としたブルートフォース攻撃を示している可能性があります。

企業はXOpsをWizアカウントと統合します。 Wizがログイン試行失敗アラートを検出すると、XOpsはデータを自動的に取り込み、Catoのアイデンティティとネットワークコンテキストで強化し、疑わしい活動を強調する相関ストーリーを作成します。

XOpsストーリーから、企業は以下を行うことができます:

  • ログイン失敗が正当なものか悪意のあるものかを確認する

  • IPの出元、ジオロケーション、および評判をCatoネットワークインサイトで調査する

  • 他の特権ユーザーに対して類似の試みが行われたか確認する

WizのクラウドインテリジェンスとCatoのコンテキスト分析を組み合わせることで、XYZ社は管理アカウントに対する侵害試行を示す可能性がある認証失敗試行の可視性を得ます。 この積極的なアプローチにより、調査時間が短縮され、認証情報に基づく攻撃を防ぎ、組織のアイデンティティセキュリティ全体の姿勢が強化されます。

前提条件

  • Wiz Defendライセンスを持っている必要があります

  • wiz問題のCato XOpsストーリーを表示するには、XOpsまたはMDRライセンスが必要です。 このコネクタは、ライセンスなしで設定でき、イベントを生成できます

  • コネクタを追加するためには、リソース セクション内の 統合の編集者権限が必要です。 詳細については、管理者の役割の管理 RBAC の使用を参照してください。

Wiz コネクタの設定

CatoとあなたのWizテナント間でコネクタを作成するには、以下を行う必要があります:

  1. Wiz アプリで統合を設定する

  2. CMAでAPIコネクタを作成する

ステップ 1: Wiz アプリで統合を設定する

Wiz Appで、クライアントIDとクライアントシークレットを特定します。

統合を設定するには:

  1. Wiz アプリの中で、設定 > アクセス管理 > サービスアカウントへ移動します。

  2. サービスアカウントを追加をクリックします。

    Wiz.png

  3. タイプ ドロップダウンで、カスタム統合 (GraphQL API)を選択します。

  4. 次のAPIスコープを追加します:

    • 参照のみ:security_scans

    • 参照のみ:問題

    • 参照のみ:制御

    • 参照のみ:cloud_events_cloud

    • 参照のみ:cloud_events_sensor

    • 参照のみ:脅威の問題

  5. クライアントIDクライアントシークレットをコピーして保存し、それらをCMAに追加できるようにします。

  6. イニシャルをクリックしてテナント情報を選択します。

  7. API エンドポイントURL認証URLをコピーして保存し、それらをCMAに追加できるようにします。

ステップ 2: CMAでAPIコネクタを作成する

APIクライアントを作成した後、CMAに詳細を追加します。

CMAでWiz コネクタを設定するには:

  1. ナビゲーションメニューからリソース > 統合を選択します。

  2. 統合済みアプリタブで新規をクリックします。 新しい統合パネルが開きます。

  3. 追加したいSaaS アプリケーションを選択します。

  4. ステップ1で作成された詳細を追加します。

  5. 保存をクリックしてください。

  6. アプリは、統合済みアプリテーブルで接続済みのステータスで表示されます。

ソース

  • GraphQLエンドポイント

    • 問題テーブル - 問題のエンドポイントに問い合わせる。

既知の制限

  • すべての問題が現在フェッチされています

  • ストーリーはミュートできません

  • Wiz イベント データはXOpsストーリーに含まれていません

ストーリー ワークベンチ ページの表示

コネクタを作成すると、ストーリーはストーリー作業台に表示されます。

ストーリー ワークベンチ ページを表示するには:

  • ナビゲーションメニューから、ホーム > ストーリー ワークベンチをクリックします。

ストーリー作業台の列に関する情報は、ストーリー列の理解を参照してください

XOpsストーリーのレビューの詳細については、Drilling-Down and Analyzing XOps Security Storiesを参照してください

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント