Raccogliere i log di Wiz
Supportato in:
Google secops
SIEM
Questo documento spiega come importare i log di Wiz in Google Security Operations. Il parser trasforma i log non elaborati in formato JSON di Wiz in un modello Unified Data Model (UDM). Inizialmente inizializza i valori predefiniti per i campi UDM, poi analizza il messaggio JSON, estrae i campi pertinenti come informazioni utente, posizione, dettagli del dispositivo e risultati di sicurezza. Wiz è una piattaforma di sicurezza cloud che offre visibilità end-to-end senza agente e definizione delle priorità dei rischi in Google Cloud, ambienti AWS, Azure, OCI e Kubernetes.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Accesso privilegiato a Wiz
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione e salvalo in una posizione sicura.
Configurare l'integrazione in Wiz
- Accedi all'UI web di Wiz.
- Vai alla pagina Connetti a Wiz.
- Fai clic su Google Cloud Chronicle.
- Seleziona l'ambito.
- Inserisci il tuo ID cliente Google SecOps.
- Inserisci l'indirizzo dell'endpoint dell'istanza Google SecOps.
- Canada: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Europa multiregionale: https://europe-malachiteingestion-pa.googleapis.com
- Francoforte: https://europe-west3-malachiteingestion-pa.googleapis.com
- Londra: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapore: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tokyo: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Multi-Region Stati Uniti: https://malachiteingestion-pa.googleapis.com
- Zurigo: https://europe-west6-malachiteingestion-pa.googleapis.com
- Carica il file di autenticazione importazione.
- Fai clic su Salva.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| azione | metadata.product_event_type | Mappatura diretta quando eventType è vuoto. |
| azione | principal.application | Mappatura diretta quando l'azione è Report e serviceAccount.name non è vuoto. |
| actionParameters.groups | security_result.detection_fields.value | Il parser scorre ogni gruppo in actionParameters.groups e lo mappa a una voce detection_fields separata con la chiave service_account_group. |
| actionParameters.input.patch.portalVisitHistory.dateTime | additional.fields.value.string_value | Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo dateTime, mappandolo a una voce additional.fields separata con la chiave dateTime {index}. |
| actionParameters.input.patch.portalVisitHistory.id | principal.resource.attribute.labels.value | Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo id, mappandolo a una voce principal.resource.attribute.labels separata con la chiave id {index}. |
| actionParameters.input.patch.portalVisitHistory.name | principal.resource.attribute.labels.value | Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo name, mappandolo a una voce principal.resource.attribute.labels separata con la chiave name {index}. |
| actionParameters.input.patch.portalVisitHistory.resourceName | principal.resource.attribute.labels.value | Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo resourceName, mappandolo a una voce principal.resource.attribute.labels separata con la chiave resourceName {index}. |
| actionParameters.input.patch.portalVisitHistory.resourceType | principal.resource.attribute.labels.value | Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo resourceType, mappandolo a una voce principal.resource.attribute.labels separata con la chiave resourceType {index}. |
| actionParameters.input.patch.portalVisitHistory.ruleType | principal.resource.attribute.labels.value | Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo ruleType, mappandolo a una voce principal.resource.attribute.labels separata con la chiave ruleType {index}. |
| actionParameters.input.patch.portalVisitHistory.type | additional.fields.value.string_value | Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo type, mappandolo a una voce additional.fields separata con la chiave type {index}. |
| actionParameters.name | target.user.user_display_name | Mappatura diretta quando actionParameters.name non è vuoto. |
| actionParameters.products | security_result.detection_fields.value | Il parser scorre ogni prodotto in actionParameters.products (escluse le stringhe vuote e *) e lo mappa a una voce detection_fields separata con la chiave service_account_product. |
| actionParameters.role | target.user.attribute.roles.name | Mappatura diretta quando actionParameters.role non è vuoto. |
| actionParameters.scopes | security_result.detection_fields.value | Il parser scorre ogni ambito in actionParameters.scopes e lo mappa a una voce detection_fields separata con la chiave service_account_scope. |
| actionParameters.selection | additional.fields.value.list_value.values.string_value | Il parser scorre ogni elemento in actionParameters.selection.preferences e lo mappa a una voce string_value separata all'interno di additional.fields.value.list_value.values. |
| actionParameters.userEmail | target.user.email_addresses | Estratto utilizzando un pattern grok e mappato quando non è vuoto. |
| actionParameters.userID | target.user.userid | Mappatura diretta quando actionParameters.userID non è vuoto. |
| actor.displayName | target.user.user_display_name | Mappatura diretta quando actor.displayName non è vuoto e non è unknown. |
| actor.id | target.user.userid | Mappatura diretta quando actor.id non è vuoto. |
| authenticationContext.authenticationProvider | security_result.detection_fields.value | Mappato a una voce detection_fields con chiave authenticationProvider quando non è vuoto. |
| authenticationContext.credentialProvider | security_result.detection_fields.value | Mappato a una voce detection_fields con chiave credentialProvider quando non è vuoto. |
| authenticationContext.credentialType | extensions.auth.mechanism | Utilizzato per derivare il valore di extensions.auth.mechanism in base a valori specifici. |
| authenticationContext.externalSessionId | network.parent_session_id | Mappatura diretta quando non è vuoto e non è unknown. |
| client.device | principal.asset.type | Utilizzato per derivare il valore di principal.asset.type in base a valori specifici. |
| client.geographicalContext.city | principal.location.city | Mappatura diretta quando non è vuoto. |
| client.geographicalContext.country | principal.location.country_or_region | Mappatura diretta quando non è vuoto. |
| client.geographicalContext.geolocation.lat | principal.location.region_latitude | Mappatura diretta quando non è vuoto. |
| client.geographicalContext.geolocation.lon | principal.location.region_longitude | Mappatura diretta quando non è vuoto. |
| client.geographicalContext.postalCode | additional.fields.value.string_value | Mappato a una voce additional.fields con la chiave Postal code se non è vuoto. |
| client.geographicalContext.state | principal.location.state | Mappatura diretta quando non è vuoto. |
| client.ipAddress | principal.asset.ip | Unito a principal.ip e principal.asset.ip quando non è vuoto. |
| client.ipAddress | principal.ip | Unito a principal.ip e principal.asset.ip quando non è vuoto. |
| client.userAgent.browser | target.resource.attribute.labels.value | Mappato a una voce target.resource.attribute.labels con chiave Browser quando non è vuota. |
| client.userAgent.os | principal.platform | Utilizzato per derivare il valore di principal.platform in base a valori specifici. |
| client.userAgent.rawUserAgent | network.http.user_agent | Mappatura diretta quando non è vuoto. |
| debugContext.debugData.behaviors | security_result.description | Mappatura diretta quando non è vuoto. |
| debugContext.debugData.deviceFingerprint | target.asset.asset_id | Mappato a target.asset.asset_id con il prefisso device_finger_print: se non è vuoto. |
| debugContext.debugData.dtHash | security_result.detection_fields.value | Mappato a una voce detection_fields con chiave dtHash quando non è vuoto. |
| debugContext.debugData.factor | security_result.detection_fields.value | Mappato a una voce detection_fields con chiave factor quando non è vuoto. |
| debugContext.debugData.promptingPolicyTypes | security_result.detection_fields.value | Mappato a una voce detection_fields con chiave promptingPolicyTypes quando non è vuoto. |
| debugContext.debugData.requestUri | extensions.auth.auth_details | Mappatura diretta quando non è vuoto. |
| eventType | metadata.event_type | Utilizzato per derivare il valore di metadata.event_type in base a valori specifici. |
| eventType | metadata.product_event_type | Mappatura diretta quando non è vuoto. |
| outcome.reason | security_result.category_details | Mappatura diretta quando non è vuoto. |
| outcome.result | security_result.action | Mappato su security_result.action dopo la normalizzazione in base a valori specifici. |
| requestId | metadata.product_log_id | Mappatura diretta quando non è vuoto. |
| serviceAccount.name | principal.application | Mappatura diretta quando l'azione è Report e serviceAccount.name non è vuoto. |
| sourceIP | principal.asset.ip | Estratto utilizzando un pattern grok e unito a principal.ip e principal.asset.ip quando non è vuoto e valido. |
| sourceIP | principal.ip | Estratto utilizzando un pattern grok e unito a principal.ip e principal.asset.ip quando non è vuoto e valido. |
| stato | security_result.summary | Mappatura diretta quando non è vuoto. |
| timestamp | metadata.event_timestamp | Convertito nel formato timestamp e mappato se non è vuoto. |
| user.id | target.user.userid | Mappatura diretta quando actionParameters.userID è vuoto e user.id non è vuoto. |
| nome.utente | target.user.user_display_name | Mappatura diretta quando actionParameters.name è vuoto e user.name non è vuoto. |
| userAgent | network.http.user_agent | Mappatura diretta quando client.userAgent.rawUserAgent è vuoto e userAgent non è vuoto. |
| extensions.auth.type | Impostato su AUTHTYPE_UNSPECIFIED quando has_user è true e action è Login. |
|
| metadata.product_name | Imposta su WIZ_IO. |
|
| metadata.vendor_name | Imposta su WIZ_IO. |
|
| network.http.parsed_user_agent | Derivato da user_agent_value mediante la conversione in parseduseragent. | |
| security_result.severity | Derivato dalla gravità in base a valori specifici, con valore predefinito LOW. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.