Wiz: Configurando a Integração XOps

Este artigo discute a integração de dados do Wiz para gerar histórias que você pode revisar na Bancada de Trabalho de Histórias da Cato.

Visão geral

Ao integrar dados do Wiz na plataforma XOps, você pode ativar modo de depuração de visibilidade e capacidades de detecção além da sua rede corporativa e pontos finais. Isso reduz os riscos de ataque em arquiteturas nativas da nuvem, onde novas superfícies de ataque emergem.

Com a integração do Wiz, a plataforma XOps identifica e gerencia riscos únicos para ambientes na nuvem. Isso inclui detectar configurações inseguras, aplicações vulneráveis e credenciais expostas. Isso cria uma visão unificada de riscos que conecta ativos locais e de nuvem sob um único quadro de segurança.

Os adversários podem explorar vulnerabilidades na infraestrutura de nuvem, por exemplo buckets de armazenamento mal configurados ou APIs expostas, para estabelecer acesso inicial. A partir daí, eles podem pivotar para a rede corporativa. A integração Wiz permite que a plataforma XOps detecte ataques entre ambientes com antecedência, fornecendo a visibilidade e o contexto necessários para impedir o movimento lateral entre sistemas de nuvem e locais.

Para integrar dados do Wiz com XOps, você precisa configurar os conectores de API para o Wiz. Após criar o conector, o motor XOps recupera e analisa os dados de detecção do Wiz.

Para mais informações sobre a revisão de histórias XOps, consulte Análise Detalhada e Investigação das Histórias de Segurança XOps.

Compreendendo Histórias Geradas com o Conector Wiz

Histórias geradas a partir de problemas do Wiz são processadas pelo produtor de Detecção e Resposta na Nuvem quase em tempo real. Eles são gerados com base em:

Módulos de fonte Wiz: Wiz Cloud e Wiz Defend
Tipos de Detecção: Detecção de Ameaças, Configuração da Nuvem e Controle de Gráfico
Dados Importados: Visão geral, Tabela de Eventos e Recurso Principal do problema do Wiz

Caso de Uso - Falha de Login de um Endereço IP Não Organizacional

A Empresa XYZ gerencia seu ambiente de nuvem por meio do Google Workspace, onde vários usuários têm funções altamente privilegiadas com amplo acesso administrativo. No entanto, a empresa enfrenta desafios de Visibilidade quando as tentativas de login ocorrem fora de sua Rede organizacional, especialmente quando essas tentativas Falham. Sem detecção adequada, esses eventos podem indicar roubo de credenciais ou ataques de força bruta visando contas críticas.

A empresa integra XOps com sua conta Wiz. Quando o Wiz detecta um alerta de tentativa de login falho, o XOps automaticamente ingere os dados, enriquece com a identidade e o contexto de rede do Cato, e cria uma história correlata destacando a atividade suspeita.

A partir da história XOps, a empresa pode:

Verifique se o login falhou de forma legítima ou maliciosa
Investigue a origem, geolocalização e reputação do IP usando insights de rede correlacionados da Cato
Identifique se tentativas semelhantes foram feitas contra outros usuários privilegiados

Ao combinar a inteligência de nuvem do Wiz com as análises contextuais do Cato, a Empresa XYZ ganha visibilidade sobre tentativas de autenticação falhas que podem sinalizar tentativas de comprometimento contra contas administrativas. Esta abordagem proativa ajuda a reduzir o tempo de investigação, impede ataques baseados em credenciais e fortalece a postura geral de segurança de identidade da organização.

Pré-requisitos

Você deve ter uma licença Wiz Defend
Para visualizar as histórias Cato XOps para problemas wiz, é necessária uma licença XOps ou MDR. O conector pode ser configurado e eventos gerados sem uma licença
Para adicionar um conector, você deve ter permissão de Editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciamento de Funções de Admin Usando RBAC.

Configurando o Conector Wiz

Para criar o conector entre o Cato e seu inquilino Wiz, você precisa:

Configure a integração no Aplicativo Wiz
Crie o conector de API na CMA

Passo 1: Configure a Integração no Aplicativo Wiz

No Aplicativo Wiz, identificar o ID do Cliente e o Segredo do Cliente.

Para configurar a integração:

No Aplicativo Wiz, navegue até Configurações > Gerenciamento de Acesso > Contas de Serviço.
Clique em Adicionar Conta de Serviço.
No dropdown Tipo, selecione Integração Personalizada (GraphQL API).
Adicione esses escopos de API:
- read:security_scans
- read:issues
- read:controls
- read:cloud_events_cloud
- read:cloud_events_sensor
- read:threat_issues
Copie e salve o ID do Cliente e o Segredo do Cliente para que possam ser adicionados ao CMA.
Clique nas suas iniciais e selecione Informações do Inquilino.
Copie e salve o URL do Endpoint da API e o URL de Autenticação para que possam ser adicionados ao CMA.

Passo 2: Crie o Conector de API na CMA

Depois de criar o cliente de API, adicione os detalhes no CMA.

Para configurar o conector Wiz na CMA:

No menu de navegação, selecione Recursos > Integrações.
Na aba Aplicativos Integrados, clique em Novo. O painel Nova Integração é aberto.
Selecione a Aplicação SaaS que deseja adicionar.
Adicione os detalhes criados durante o primeiro passo.
Clique em Salvar.
O aplicativo é visível na tabela Aplicativos Integrados com status de Conectado.

Fontes

Endpoint GraphQL
- IssuesTable - Consultando o endpoint de Problemas.

Limitações Conhecidas

Todos os problemas são atualmente buscados
Histórias não podem ser silenciadas
Dados de Eventos Wiz não estão incluídos nas histórias XOps

Visualizando a Página da Bancada de Trabalho de Histórias

Uma vez criado o conector, as histórias estarão visíveis na Bancada de Trabalho de Histórias.

Para visualizar a página da Bancada de Trabalho de Histórias:

No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.

Para mais informações sobre as colunas na Bancada de Trabalho de Histórias, consulte Understanding the Stories Columns

Para mais informações sobre a revisão de histórias XOps, consulte Análise Detalhada e Investigação das Histórias de Segurança XOps