Wiz: XOps 통합 구성

이 문서에서는 Cato Stories Workbench에서 검토할 수 있는 스토리를 생성하기 위해 Wiz의 데이터를 통합하는 방법에 대해 설명합니다.

개요

Wiz에서 데이터를 XOps 플랫폼에 통합함으로써 기업 네트워크와 엔드포인트를 넘어 가시성과 탐지 능력을 확장할 수 있습니다. 이는 새로운 공격 표면이 등장하는 클라우드 네이티브 아키텍처에서 공격 위험을 줄입니다.

Wiz 통합을 통해 XOps 플랫폼은 클라우드 환경에 고유한 위험을 식별하고 관리합니다. 이는 안전하지 않은 구성, 취약한 애플리케이션 및 노출된 자격 증명을 감지하는 것을 포함합니다. 이렇게 하면 단일 보안 프레임워크 하에서 온프레미스 및 클라우드 자산 사이의 통합된 위험 보기가 생성됩니다.

공격자는 잘못 구성된 스토리지 버킷 또는 노출된 API와 같은 클라우드 인프라의 취약성을 악용하여 초기 접근을 설정할 수 있습니다. 그곳에서 그들은 기업 네트워크로 방향을 바꿀 수 있습니다. Wiz 통합은 XOps 플랫폼이 환경 간 공격을 조기에 감지하도록 하여 클라우드와 온프레미스 시스템 간의 내부 이동을 방지하는 데 필요한 가시성과 컨텍스트를 제공합니다.

Wiz의 데이터를 XOps에 통합하려면 Wiz에 대한 API 커넥터를 설정해야 합니다. 커넥터를 생성한 후 XOps 엔진이 Wiz에서 탐지 데이터를 가져와 분석합니다.

XOps 스토리 검토에 대한 자세한 내용은 Drilling-Down and Analyzing XOps Security Stories를 참조하십시오.

Wiz 엔드포인트 커넥터로 생성된 스토리 이해

Wiz 문제에서 생성된 스토리는 거의 실시간으로 클라우드 탐지 및 대응 프로듀서에 의해 처리됩니다. 다음에 기반하여 생성됩니다:

  • Wiz 소스 모듈: Wiz 클라우드 그리고 Wiz 방어

  • 탐지 유형: 위협 탐지, 클라우드 구성, 그리고 그래프 제어

  • 가져온 데이터: 개요, 이벤트 테이블, 그리고 Wiz 문제에서의 기본 리소스

사용 사례 - 비조직 IP 주소에서 로그인 실패

Wix_UC.png

회사 XYZ는 Google Workspace를 통해 클라우드 환경을 관리하며, 여러 사용자가 광범위한 관리자 액세스를 가진 고급 역할을 보유하고 있습니다. 그러나 회사는 조직 네트워크 외부에서 로그인 시도가 발생할 때 특히 시도가 실패할 경우, 파일 공개 범위와 관련된 문제점에 직면합니다. 적절한 탐지 없이 이러한 이벤트는 자격 증명 도난 또는 중요한 계정을 대상으로 하는 무차별 공격을 나타낼 수 있습니다.

회사는 Wiz 계정과 XOps를 통합합니다. Wiz에서 로그인 실패 시도 알림을 감지하면 XOps가 데이터를 자동으로 수집하고 Cato의 신원 및 네트워크 컨텍스트로 강화하여 의심스러운 활동을 강조하는 관련 스토리를 생성합니다.

XOps 스토리에서 회사는 다음을 수행할 수 있습니다:

  • 실패한 로그인 합법적이거나 악의적 여부 확인

  • 연관된 Cato 네트워크 인사이트를 사용하여 IP의 출처, 지리적 위치, 평판 조사

  • 다른 특권 사용자에게 유사한 시도가 있었는지 식별

Wiz의 클라우드 인텔리전스를 Cato의 컨텍스트 분석과 결합함으로써 회사 XYZ는 관리 계정을 거래 대상으로 하는 공격 시도가 될 수 있는 실패한 인증 시도에 대한 가시성을 확보합니다. 이러한 적극적인 접근 방식은 조사 시간을 줄이고 자격 증명을 기반으로 하는 공격을 방지하며 조직의 전체적인 신원 보안 상태를 강화하는 데 도움을 줍니다.

필수 조건

  • Wiz 방어 라이센스를 가지고 있어야 합니다

  • Wiz 문제에 대한 Cato XOps 스토리를 보려면, XOps, 또는 MDR 라이센스가 필요합니다. 라이센스 없이 엔드포인트 커넥터 구성 및 이벤트 생성 가능

  • 커넥터를 추가하려면 자원 섹션에서 통합에 대한 편집자 권한이 있어야 합니다. 자세한 정보는 관리자 역할 관리 - RBAC 사용을 참조하십시오.

Wiz 엔드포인트 커넥터 구성

Cato와 Wiz 테넌트 사이에 커넥터를 생성하려면 다음이 필요합니다:

  1. Wiz 앱에서 통합 구성

  2. CMA에서 API 엔드포인트 커넥터 생성

1단계: Wiz 앱에서 통합 구성

Wiz 앱에서 클라이언트 ID와 클라이언트 비밀을 식별합니다.

통합 구성:

  1. Wiz 앱에서 설정 > 클라우드 액세스 관리 > 할당된 계정 으로 이동합니다.

  2. 서비스 계정 추가를 클릭합니다.

    Wiz.png

  3. 유형 드롭다운에서 사용자 정의 통합 (GraphQL API) 선택.

  4. 다음 API 범위를 추가하십시오:

    • 읽기:보안_스캔

    • 읽기:문제

    • 읽기:제어

    • 읽기:클라우드_이벤트_클라우드

    • 읽기:클라우드_이벤트_센서

    • 읽기:위협_문제

  5. 클라이언트 ID클라이언트 비밀번호를 복사하고 저장하여 CMA에 추가될 수 있도록 합니다.

  6. 초기틀에 클릭하고 테넌트 정보 선택.

  7. API 엔드포인트 URL인증 URL을 복사하고 저장하여 CMA에 추가될 수 있도록 합니다.

2단계: CMA에서 API 엔드포인트 커넥터 생성

API 클라이언트를 생성한 후 CMA에 세부 정보를 추가합니다.

CMA에서 Wiz 엔드포인트 커넥터 구성:

  1. 네비게이션 메뉴에서 자원 > 통합을 선택합니다.

  2. 통합된 앱 탭에서 새로운 클릭. 새 통합 패널이 열립니다.

  3. 추가하려는 SaaS 애플리케이션 선택.

  4. 단계 1 동안 생성된 세부 정보 추가.

  5. 저장 클릭.

  6. 앱이 연결된 상태로 통합된 앱 테이블에 표시됩니다.

출처

  • GraphQL 엔드포인트

    • IssuesTable - 문제 엔드포인트 조회.

알려진 제한사항

  • 모든 문제가 현재 가져옴

  • 스토리 음소거 불가능

  • Wiz 이벤트 데이터는 XOps 스토리에 포함되지 않음

XDR 발견 사건 페이지 보기

커넥터를 생성하면 Stories Workbench에서 스토리가 표시됩니다.

XDR 발견 사건 페이지 보기:

  • 네비게이션 메뉴에서 홈페이지 > XDR 발견 사건 클릭.

스토리 워크벤치의 열에 대한 정보는 스토리 열 이해하기를 참조하십시오

XOps 스토리 리뷰에 대한 자세한 내용은 Drilling-Down and Analyzing XOps Security Stories를 참조하십시오

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개