本文讨论了如何集成Wiz的数据,以生成可在Cato XDR 发现事件中查看的事件。
通过将Wiz的数据集成到XOps平台,您可以扩展您的企业网络和端点之外的可见性和检测功能。 这减少了云原生架构中的攻击风险,其中会出现新的攻击面。
Wiz集成使XOps平台能够识别和管理云环境中特有的风险。 这包括检测不安全的配置、易受攻击的应用程序和暴露的凭证。 这创建了一个统一的风险视图,连接了单一安全框架下的本地和云资产。
攻击者可能利用云基础设施中的漏洞,例如配置错误的存储桶或暴露的API来建立初始访问。 从此,他们可以转移到企业网络中。 Wiz集成使XOps平台能够早期检测跨环境攻击,并提供必要的可见性和上下文,以防止云与本地系统之间的横向运动。
要将Wiz数据与XOps集成,您需要设置Wiz的API连接器。 创建连接器后,XOps引擎从Wiz检索并分析检测数据。
有关审查XOps事件的更多信息,请参见深入分析和调查XOps安全事件。
由Wiz问题生成的事件由云检测和响应生产者接近实时处理。 它们是根据以下内容生成的:
-
Wiz来源模块:Wiz Cloud和Wiz Defend
-
检测类型:威胁检测、云配置和图控制
-
导入数据:概览、事件表格和Wiz问题中的主要资源
公司XYZ通过Google Workspace管理其云环境,其中有几个用户拥有广泛管理访问权限的高级角色。 但是,当登录尝试来自公司组织网络之外时,该公司面临可见性挑战,尤其是在这些尝试失败时。 没有适当的检测,这些事件可能表明凭证盗窃或针对关键账户的蛮力攻击。
公司将XOps与其Wiz账户集成。 当Wiz检测到登录失败尝试警报时,XOps会自动摄取数据,并将其与Cato的身份和网络上下文关联,并创建一个相关事件以突出可疑活动。
从XOps事件中,公司可以:
-
验证失败登录是否为合法或恶意
-
使用关联的Cato网络洞察调查IP的来源、地理位置和声誉
-
识别是否对其他特权用户进行过类似尝试
通过结合Wiz的云智能与Cato的上下文分析,XYZ公司获取登录失败尝试的可见性,这可能表明攻击者对管理账户的破坏企图。 这种主动方法有助于减少调查时间,防止基于凭证的攻击,并增强组织的整体身份安全状态。
-
您必须拥有Wiz Defend许可证
-
要查看Wiz问题的Cato XOps事件,需要XOps或MDR许可证。 连接器可以配置,事件可以生成,无需许可证
-
要添加连接器,您必须在资源部分拥有集成的编辑者权限。 有关更多信息,请参阅使用RBAC管理管理员角色。
要为Cato和您的Wiz租户之间创建连接器,您需要:
-
在Wiz应用程序中配置集成
-
在CMA中创建API连接器
在Wiz App中,识别客户端ID和客户端密钥。
配置集成:
-
在Wiz应用程序中,导航到设置 > 访问管理 > 服务账户。
-
点击添加服务账户。
-
在类型下拉菜单中,选择自定义集成(GraphQL API)。
-
添加这些API范围:
-
读取:安全扫描
-
读取:问题
-
读取:控制
-
读取:云事件_云
-
读取:云事件_传感器
-
读取:威胁问题
-
-
复制并保存客户端ID和客户端密钥,以便将其添加到CMA。
-
点击您的缩写,然后选择租户信息。
-
复制并保存API端点URL和认证URL,以便将其添加到CMA。
创建API客户端后,添加详细信息到CMA。
0 条评论
文章评论已关闭。