Wiz ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Wiz ログを Google Security Operations に取り込む方法について説明します。パーサーは、Wiz からの未加工の JSON 形式のログを Unified Data Model(UDM)に変換します。まず、UDM フィールドのデフォルト値を初期化し、JSON メッセージを解析して、ユーザー情報、場所、デバイスの詳細、セキュリティの結果などの関連フィールドを抽出します。Wiz は、 Google Cloud、AWS、Azure、OCI、Kubernetes 環境全体でエージェントレスのエンドツーエンドの可視性とリスクの優先順位付けを実現するクラウド セキュリティ プラットフォームです。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Wiz への特権アクセス
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードし、安全な場所に保存します。
Wiz で統合を構成する
- Wiz ウェブ UI にログインします。
- [Connect to Wiz] ページに移動します。
- [Google Cloud Chronicle] をクリックします。
- [スコープ] を選択します。
- Google SecOps のお客様 ID を入力します。
- Google SecOps インスタンスのエンドポイント アドレスを入力します。
- カナダ: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- ヨーロッパ(マルチリージョン): https://europe-malachiteingestion-pa.googleapis.com
- フランクフルト: https://europe-west3-malachiteingestion-pa.googleapis.com
- ロンドン: https://europe-west2-malachiteingestion-pa.googleapis.com
- ムンバイ: https://asia-south1-malachiteingestion-pa.googleapis.com
- シンガポール: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- シドニー: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- テルアビブ: https://me-west1-malachiteingestion-pa.googleapis.com
- 東京: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- 米国マルチリージョン: https://malachiteingestion-pa.googleapis.com
- チューリッヒ: https://europe-west6-malachiteingestion-pa.googleapis.com
- Ingestion Authentication File をアップロードします。
- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | metadata.product_event_type | eventType が空の場合の直接マッピング。 |
| アクション | principal.application | アクションが Report で、serviceAccount.name が空でない場合は、直接マッピングされます。 |
| actionParameters.groups | security_result.detection_fields.value | パーサーは actionParameters.groups の各グループを反復処理し、キー service_account_group を持つ個別の detection_fields エントリにマッピングします。 |
| actionParameters.input.patch.portalVisitHistory.dateTime | additional.fields.value.string_value | パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、dateTime フィールドを抽出して、キー dateTime {index} を持つ個別の additional.fields エントリにマッピングします。 |
| actionParameters.input.patch.portalVisitHistory.id | principal.resource.attribute.labels.value | パーサーは、actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、id フィールドを抽出して、キー id {index} を持つ別の principal.resource.attribute.labels エントリにマッピングします。 |
| actionParameters.input.patch.portalVisitHistory.name | principal.resource.attribute.labels.value | パーサーは actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、name フィールドを抽出して、キー name {index} を持つ別の principal.resource.attribute.labels エントリにマッピングします。 |
| actionParameters.input.patch.portalVisitHistory.resourceName | principal.resource.attribute.labels.value | パーサーは actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、resourceName フィールドを抽出して、キー resourceName {index} を持つ別の principal.resource.attribute.labels エントリにマッピングします。 |
| actionParameters.input.patch.portalVisitHistory.resourceType | principal.resource.attribute.labels.value | パーサーは actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、resourceType フィールドを抽出して、キー resourceType {index} を持つ別の principal.resource.attribute.labels エントリにマッピングします。 |
| actionParameters.input.patch.portalVisitHistory.ruleType | principal.resource.attribute.labels.value | パーサーは actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、ruleType フィールドを抽出して、キー ruleType {index} を持つ個別の principal.resource.attribute.labels エントリにマッピングします。 |
| actionParameters.input.patch.portalVisitHistory.type | additional.fields.value.string_value | パーサーは actionParameters.input.patch.portalVisitHistory の各アイテムを反復処理し、type フィールドを抽出して、キー type {index} を持つ別の additional.fields エントリにマッピングします。 |
| actionParameters.name | target.user.user_display_name | actionParameters.name が空でない場合は直接マッピング。 |
| actionParameters.products | security_result.detection_fields.value | パーサーは、actionParameters.products の各プロダクト(空の文字列と * を除く)を反復処理し、キー service_account_product を持つ個別の detection_fields エントリにマッピングします。 |
| actionParameters.role | target.user.attribute.roles.name | actionParameters.role が空でない場合は直接マッピングされます。 |
| actionParameters.scopes | security_result.detection_fields.value | パーサーは actionParameters.scopes の各スコープを反復処理し、キー service_account_scope を持つ個別の detection_fields エントリにマッピングします。 |
| actionParameters.selection | additional.fields.value.list_value.values.string_value | パーサーは actionParameters.selection.preferences の各項目を反復処理し、additional.fields.value.list_value.values 内の個別の string_value エントリにマッピングします。 |
| actionParameters.userEmail | target.user.email_addresses | Grok パターンを使用して抽出され、空でない場合にマッピングされます。 |
| actionParameters.userID | target.user.userid | actionParameters.userID が空でない場合は直接マッピングします。 |
| actor.displayName | target.user.user_display_name | actor.displayName が空でなく、unknown でない場合、直接マッピングされます。 |
| actor.id | target.user.userid | actor.id が空でない場合、直接マッピングされます。 |
| authenticationContext.authenticationProvider | security_result.detection_fields.value | 空でない場合、キー authenticationProvider を持つ detection_fields エントリにマッピングされます。 |
| authenticationContext.credentialProvider | security_result.detection_fields.value | 空でない場合、キー credentialProvider を持つ detection_fields エントリにマッピングされます。 |
| authenticationContext.credentialType | extensions.auth.mechanism | 特定の値に基づいて extensions.auth.mechanism の値を導出するために使用されます。 |
| authenticationContext.externalSessionId | network.parent_session_id | 空でなく unknown でない場合、直接マッピングされます。 |
| client.device | principal.asset.type | 特定の値に基づいて principal.asset.type の値を取得するために使用されます。 |
| client.geographicalContext.city | principal.location.city | 空でない場合は直接マッピングされます。 |
| client.geographicalContext.country | principal.location.country_or_region | 空でない場合は直接マッピングされます。 |
| client.geographicalContext.geolocation.lat | principal.location.region_latitude | 空でない場合は直接マッピングされます。 |
| client.geographicalContext.geolocation.lon | principal.location.region_longitude | 空でない場合は直接マッピングされます。 |
| client.geographicalContext.postalCode | additional.fields.value.string_value | 空でない場合は、キー Postal code を持つ additional.fields エントリにマッピングされます。 |
| client.geographicalContext.state | principal.location.state | 空でない場合は直接マッピングされます。 |
| client.ipAddress | principal.asset.ip | 空でない場合は、principal.ip および principal.asset.ip と統合されます。 |
| client.ipAddress | principal.ip | 空でない場合は、principal.ip および principal.asset.ip と統合されます。 |
| client.userAgent.browser | target.resource.attribute.labels.value | 空でない場合は、キー Browser を持つ target.resource.attribute.labels エントリにマッピングされます。 |
| client.userAgent.os | principal.platform | 特定の値に基づいて principal.platform の値を取得するために使用されます。 |
| client.userAgent.rawUserAgent | network.http.user_agent | 空でない場合は直接マッピングされます。 |
| debugContext.debugData.behaviors | security_result.description | 空でない場合は直接マッピングされます。 |
| debugContext.debugData.deviceFingerprint | target.asset.asset_id | 空でない場合は、接頭辞 device_finger_print: 付きで target.asset.asset_id にマッピングされます。 |
| debugContext.debugData.dtHash | security_result.detection_fields.value | 空でない場合、キー dtHash を持つ detection_fields エントリにマッピングされます。 |
| debugContext.debugData.factor | security_result.detection_fields.value | 空でない場合、キー factor を持つ detection_fields エントリにマッピングされます。 |
| debugContext.debugData.promptingPolicyTypes | security_result.detection_fields.value | 空でない場合、キー promptingPolicyTypes を持つ detection_fields エントリにマッピングされます。 |
| debugContext.debugData.requestUri | extensions.auth.auth_details | 空でない場合は直接マッピングされます。 |
| eventType | metadata.event_type | 特定の値を基に metadata.event_type の値を導出するために使用されます。 |
| eventType | metadata.product_event_type | 空でない場合は直接マッピングされます。 |
| outcome.reason | security_result.category_details | 空でない場合は直接マッピングされます。 |
| outcome.result | security_result.action | 特定の値に基づいて正規化された後、security_result.action にマッピングされます。 |
| requestId | metadata.product_log_id | 空でない場合は直接マッピングされます。 |
| serviceAccount.name | principal.application | アクションが Report で、serviceAccount.name が空でない場合は、直接マッピングされます。 |
| sourceIP | principal.asset.ip | Grok パターンを使用して抽出され、空ではなく有効な場合は principal.ip および principal.asset.ip と統合されます。 |
| sourceIP | principal.ip | Grok パターンを使用して抽出され、空ではなく有効な場合は principal.ip および principal.asset.ip と統合されます。 |
| ステータス | security_result.summary | 空でない場合は直接マッピングされます。 |
| timestamp | metadata.event_timestamp | 空でない場合は、タイムスタンプ形式に変換してマッピングします。 |
| user.id | target.user.userid | actionParameters.userID が空で、user.id が空でない場合、直接マッピングします。 |
| user.name | target.user.user_display_name | actionParameters.name が空で、user.name が空でない場合、直接マッピングします。 |
| userAgent | network.http.user_agent | client.userAgent.rawUserAgent が空で、userAgent が空でない場合、直接マッピングされます。 |
| extensions.auth.type | has_user が true で、アクションが Login の場合は AUTHTYPE_UNSPECIFIED に設定します。 |
|
| metadata.product_name | WIZ_IO に設定します。 |
|
| metadata.vendor_name | WIZ_IO に設定します。 |
|
| network.http.parsed_user_agent | user_agent_value を parseduseragent に変換して導出されます。 | |
| security_result.severity | 特定の値に基づいて重大度から導出されます。デフォルトは LOW です。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。