Raccogliere i log di Wiz

Supportato in:

Questo documento spiega come importare i log di Wiz in Google Security Operations. Il parser trasforma i log non elaborati in formato JSON di Wiz in un modello Unified Data Model (UDM). Inizialmente inizializza i valori predefiniti per i campi UDM, poi analizza il messaggio JSON, estrae i campi pertinenti come informazioni utente, posizione, dettagli del dispositivo e risultati di sicurezza. Wiz è una piattaforma di sicurezza cloud che offre visibilità end-to-end senza agente e definizione delle priorità dei rischi in Google Cloud, ambienti AWS, Azure, OCI e Kubernetes.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato a Wiz

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione e salvalo in una posizione sicura.

Configurare l'integrazione in Wiz

  1. Accedi all'UI web di Wiz.
  2. Vai alla pagina Connetti a Wiz.
  3. Fai clic su Google Cloud Chronicle.
  4. Seleziona l'ambito.
  5. Inserisci il tuo ID cliente Google SecOps.
  6. Inserisci l'indirizzo dell'endpoint dell'istanza Google SecOps.
  7. Carica il file di autenticazione importazione.
  8. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
azione metadata.product_event_type Mappatura diretta quando eventType è vuoto.
azione principal.application Mappatura diretta quando l'azione è Report e serviceAccount.name non è vuoto.
actionParameters.groups security_result.detection_fields.value Il parser scorre ogni gruppo in actionParameters.groups e lo mappa a una voce detection_fields separata con la chiave service_account_group.
actionParameters.input.patch.portalVisitHistory.dateTime additional.fields.value.string_value Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo dateTime, mappandolo a una voce additional.fields separata con la chiave dateTime {index}.
actionParameters.input.patch.portalVisitHistory.id principal.resource.attribute.labels.value Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo id, mappandolo a una voce principal.resource.attribute.labels separata con la chiave id {index}.
actionParameters.input.patch.portalVisitHistory.name principal.resource.attribute.labels.value Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo name, mappandolo a una voce principal.resource.attribute.labels separata con la chiave name {index}.
actionParameters.input.patch.portalVisitHistory.resourceName principal.resource.attribute.labels.value Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo resourceName, mappandolo a una voce principal.resource.attribute.labels separata con la chiave resourceName {index}.
actionParameters.input.patch.portalVisitHistory.resourceType principal.resource.attribute.labels.value Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo resourceType, mappandolo a una voce principal.resource.attribute.labels separata con la chiave resourceType {index}.
actionParameters.input.patch.portalVisitHistory.ruleType principal.resource.attribute.labels.value Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo ruleType, mappandolo a una voce principal.resource.attribute.labels separata con la chiave ruleType {index}.
actionParameters.input.patch.portalVisitHistory.type additional.fields.value.string_value Il parser scorre ogni elemento in actionParameters.input.patch.portalVisitHistory ed estrae il campo type, mappandolo a una voce additional.fields separata con la chiave type {index}.
actionParameters.name target.user.user_display_name Mappatura diretta quando actionParameters.name non è vuoto.
actionParameters.products security_result.detection_fields.value Il parser scorre ogni prodotto in actionParameters.products (escluse le stringhe vuote e *) e lo mappa a una voce detection_fields separata con la chiave service_account_product.
actionParameters.role target.user.attribute.roles.name Mappatura diretta quando actionParameters.role non è vuoto.
actionParameters.scopes security_result.detection_fields.value Il parser scorre ogni ambito in actionParameters.scopes e lo mappa a una voce detection_fields separata con la chiave service_account_scope.
actionParameters.selection additional.fields.value.list_value.values.string_value Il parser scorre ogni elemento in actionParameters.selection.preferences e lo mappa a una voce string_value separata all'interno di additional.fields.value.list_value.values.
actionParameters.userEmail target.user.email_addresses Estratto utilizzando un pattern grok e mappato quando non è vuoto.
actionParameters.userID target.user.userid Mappatura diretta quando actionParameters.userID non è vuoto.
actor.displayName target.user.user_display_name Mappatura diretta quando actor.displayName non è vuoto e non è unknown.
actor.id target.user.userid Mappatura diretta quando actor.id non è vuoto.
authenticationContext.authenticationProvider security_result.detection_fields.value Mappato a una voce detection_fields con chiave authenticationProvider quando non è vuoto.
authenticationContext.credentialProvider security_result.detection_fields.value Mappato a una voce detection_fields con chiave credentialProvider quando non è vuoto.
authenticationContext.credentialType extensions.auth.mechanism Utilizzato per derivare il valore di extensions.auth.mechanism in base a valori specifici.
authenticationContext.externalSessionId network.parent_session_id Mappatura diretta quando non è vuoto e non è unknown.
client.device principal.asset.type Utilizzato per derivare il valore di principal.asset.type in base a valori specifici.
client.geographicalContext.city principal.location.city Mappatura diretta quando non è vuoto.
client.geographicalContext.country principal.location.country_or_region Mappatura diretta quando non è vuoto.
client.geographicalContext.geolocation.lat principal.location.region_latitude Mappatura diretta quando non è vuoto.
client.geographicalContext.geolocation.lon principal.location.region_longitude Mappatura diretta quando non è vuoto.
client.geographicalContext.postalCode additional.fields.value.string_value Mappato a una voce additional.fields con la chiave Postal code se non è vuoto.
client.geographicalContext.state principal.location.state Mappatura diretta quando non è vuoto.
client.ipAddress principal.asset.ip Unito a principal.ip e principal.asset.ip quando non è vuoto.
client.ipAddress principal.ip Unito a principal.ip e principal.asset.ip quando non è vuoto.
client.userAgent.browser target.resource.attribute.labels.value Mappato a una voce target.resource.attribute.labels con chiave Browser quando non è vuota.
client.userAgent.os principal.platform Utilizzato per derivare il valore di principal.platform in base a valori specifici.
client.userAgent.rawUserAgent network.http.user_agent Mappatura diretta quando non è vuoto.
debugContext.debugData.behaviors security_result.description Mappatura diretta quando non è vuoto.
debugContext.debugData.deviceFingerprint target.asset.asset_id Mappato a target.asset.asset_id con il prefisso device_finger_print: se non è vuoto.
debugContext.debugData.dtHash security_result.detection_fields.value Mappato a una voce detection_fields con chiave dtHash quando non è vuoto.
debugContext.debugData.factor security_result.detection_fields.value Mappato a una voce detection_fields con chiave factor quando non è vuoto.
debugContext.debugData.promptingPolicyTypes security_result.detection_fields.value Mappato a una voce detection_fields con chiave promptingPolicyTypes quando non è vuoto.
debugContext.debugData.requestUri extensions.auth.auth_details Mappatura diretta quando non è vuoto.
eventType metadata.event_type Utilizzato per derivare il valore di metadata.event_type in base a valori specifici.
eventType metadata.product_event_type Mappatura diretta quando non è vuoto.
outcome.reason security_result.category_details Mappatura diretta quando non è vuoto.
outcome.result security_result.action Mappato su security_result.action dopo la normalizzazione in base a valori specifici.
requestId metadata.product_log_id Mappatura diretta quando non è vuoto.
serviceAccount.name principal.application Mappatura diretta quando l'azione è Report e serviceAccount.name non è vuoto.
sourceIP principal.asset.ip Estratto utilizzando un pattern grok e unito a principal.ip e principal.asset.ip quando non è vuoto e valido.
sourceIP principal.ip Estratto utilizzando un pattern grok e unito a principal.ip e principal.asset.ip quando non è vuoto e valido.
stato security_result.summary Mappatura diretta quando non è vuoto.
timestamp metadata.event_timestamp Convertito nel formato timestamp e mappato se non è vuoto.
user.id target.user.userid Mappatura diretta quando actionParameters.userID è vuoto e user.id non è vuoto.
nome.utente target.user.user_display_name Mappatura diretta quando actionParameters.name è vuoto e user.name non è vuoto.
userAgent network.http.user_agent Mappatura diretta quando client.userAgent.rawUserAgent è vuoto e userAgent non è vuoto.
extensions.auth.type Impostato su AUTHTYPE_UNSPECIFIED quando has_user è true e action è Login.
metadata.product_name Imposta su WIZ_IO.
metadata.vendor_name Imposta su WIZ_IO.
network.http.parsed_user_agent Derivato da user_agent_value mediante la conversione in parseduseragent.
security_result.severity Derivato dalla gravità in base a valori specifici, con valore predefinito LOW.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.