Wiz: Настройка интеграции XOps

Эта статья обсуждает интеграцию данных из Wiz для создания историй, которые вы можете просматривать в Рабочей области Историй Cato.

Обзор

Интеграция данных из Wiz в платформу XOps позволяет расширить возможности видимости и обнаружения за пределы вашей корпоративной сети и конечных точек. Это снижает риски атак в облачных архитектурах, где возникают новые поверхности атак.

С интеграцией Wiz платформа XOps идентифицирует и управляет рисками, уникальными для облачных сред. Это включает в себя обнаружение небезопасных конфигураций, уязвимых приложений и открытых учетных данных. Это создает единый обзор риска, соединяющий локальные и облачные активы в рамках одной системы безопасности.

Злоумышленники могут использовать уязвимости в облачной инфраструктуре, например, неправильно настроенные хранилища или открытые API, чтобы установить первоначальный доступ. Оттуда они могут проникнуть в корпоративную сеть. Интеграция Wiz позволяет платформе XOps рано обнаруживать межсредовые атаки, предоставляя видимость и контекст, необходимые для предотвращения латерального перемещения между облачными и локальными системами.

Для интеграции данных Wiz с XOps необходимо настроить API-коннекторы для Wiz. После создания коннектора движок XOps извлекает и анализирует данные обнаружения из Wiz.

Дополнительную информацию о просмотре историй XOps см. в разделе Drilling-Down and Analyzing XOps Security Stories.

Что представляет собой истории, созданные с конечными коннекторами Wiz

Истории, созданные из проблем Wiz, обрабатываются модулем Cloud Detection and Response в почти реальном времени. Они создаются на основе:

Модули источников Wiz: Wiz Cloud и Wiz Defend
Типы детекции: обнаружение угроз, облачная конфигурация и управление графом
Импортированные данные: Обзор, Таблица событий и Основной ресурс из проблемы Wiz

Использование - Неудачный вход для с неорганизационного IP-адреса

Компания XYZ управляет своей облачной средой через Google Workspace, где несколько пользователей занимают высокопривилегированные роли с широким административным доступом. Тем не менее компания сталкивается с проблемами видимости, когда попытки входа в систему происходят из-за пределов ее организационной сети, особенно когда эти попытки не удалось. Без надлежащего обнаружения эти события могут указывать на кражу учетных данных или атаки грубой силы, нацеленные на критические учетные записи.

Компания интегрирует XOps с их учетной записью Wiz. Когда Wiz обнаруживает оповещение о неудачной попытке входа, XOps автоматически загружает данные, обогащает их контекстом идентификации и сети Cato и создает связанную историю, выделяющую подозрительную активность.

Из истории XOps компания может:

Подтвердите, является ли неудачный вход законным или вредоносным
Исследуйте происхождение IP, геолокацию и репутацию, используя связанную аналитика сети Cato
Определите, были ли попытки аналогичны для других привилегированных пользователей

Объединив облачную аналитику Wiz и контекстуальную аналитику Cato, Компания XYZ получает видимость неудачных попыток аутентификации, которые могут сигнализировать о попытках компрометации против административных учетных записей. Этот проактивный подход помогает сократить время расследования, предотвратить атаки, основанные на учетных данных, и укрепить общую идентификационную безопасность организации.

Предварительные условия

У вас должна быть лицензия Wiz Defend
Чтобы просмотреть истории Cato XOps для проблем wiz, требуется лицензия XOps или MDR. Конечные коннекторы могут быть настроены, а события сгенерированы без лицензии
Чтобы добавить конечный коннектор, у вас должны быть разрешения редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Управление административными ролями с использованием RBAC.

Настройка конечных коннекторов Wiz

Чтобы создать коннектор между Cato и вашим арендатором Wiz, вам нужно:

Настройте интеграцию в приложении Wiz
Создайте конечный коннектор API в CMA

Шаг 1: Настройте интеграцию в приложении Wiz

В приложении Wiz идентифицируем ID клиента и секретный ключ клиента.

Для настройки интеграции:

В Wiz App перейдите в Настройки > Управление доступом > Учетные записи служб.
Нажмите Добавить сервисную учетную запись.
В выпадающем списке Тип выберите Пользовательская интеграция (GraphQL API).
Добавить следующие области API:
- read:security_scans
- read:issues
- read:controls
- read:cloud_events_cloud
- read:cloud_events_sensor
- read:threat_issues
Скопируйте и сохраните Client ID и Секретный ключ клиента, чтобы их можно было добавить в CMA.
Нажмите на свои инициалы и выберите Информация арендатора.
Скопируйте и сохраните API Endpoint URL и URL аутентификации, чтобы их можно было добавить в CMA.

Шаг 2: Создайте конечный API-коннектор в CMA

После создания API-клиента добавьте детали в CMA.

Для настройки конечного коннектора Wiz в CMA:

Из меню навигации выберите Ресурсы > Интеграции.
На вкладке Интегрированные приложения нажмите Новое. Панель Новая интеграция открывается.
Выберите SaaS приложение, которое хотите добавить.
Добавьте подробности, созданные на первом шаге.
Нажмите Сохранить.
Приложение видно в таблице Интегрированные приложения со статусом Подключено.

Источники

GraphQL конечная точка
- Таблица проблем - Запрос к конечным точкам проблем.

Известные ограничения

Все проблемы на данный момент извлекаются
Истории не могут быть отключены
Данные событий Wiz не включены в истории XOps

Просмотр страницы рабочей области Историй

После создания коннектора истории будут видны в Рабочей области Историй.

Чтобы просмотреть страницу рабочей области Историй:

Из меню навигации нажмите Домашняя > Рабочая область Историй.

Для получения информации о столбцах в Рабочей области Историй смотрите Понимание колонок историй.

Для получения информации о просмотре историй XOps см. Углубление и анализ историй безопасности XOps.