本頁面由 Cloud Translation API 翻譯而成。

收集 Wiz 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何將 Wiz 記錄擷取至 Google Security Operations。剖析器會將 Wiz 提供的原始 JSON 格式記錄轉換為統一資料模型 (UDM)。首先，它會初始化 UDM 欄位的預設值，然後剖析 JSON 訊息、擷取相關欄位 (例如使用者資訊、位置、裝置詳細資料和安全性結果)。Wiz 雲端安全平台可提供無代理程式的端對端可視性，並優先處理 AWS、Azure、OCI 和 Kubernetes 環境中的風險。 Google Cloud

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Wiz 的特殊存取權

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案，並將檔案儲存在安全的位置。

在 Wiz 中設定整合

登入 Wiz 網頁版 UI。
前往「Connect to Wiz」(連結至 Wiz) 頁面。
按一下「Google Cloud Chronicle」。
選取「範圍」。
輸入 Google SecOps 客戶 ID。
輸入 Google SecOps 執行個體端點地址。
- 加拿大：https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam：https://me-central2-malachiteingestion-pa.googleapis.com
- 歐洲多區域：https://europe-malachiteingestion-pa.googleapis.com
- 法蘭克福：https://europe-west3-malachiteingestion-pa.googleapis.com
- 倫敦：https://europe-west2-malachiteingestion-pa.googleapis.com
- 孟買：https://asia-south1-malachiteingestion-pa.googleapis.com
- 新加坡：https://asia-southeast1-malachiteingestion-pa.googleapis.com
- 雪梨：https://australia-southeast1-malachiteingestion-pa.googleapis.com
- 特拉維夫：https://me-west1-malachiteingestion-pa.googleapis.com
- 東京：https://asia-northeast1-malachiteingestion-pa.googleapis.com
- 美國多區域：https://malachiteingestion-pa.googleapis.com
- 蘇黎世：https://europe-west6-malachiteingestion-pa.googleapis.com
上傳擷取驗證檔案。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
動作	metadata.product_event_type	eventType 為空時直接對應。
動作	principal.application	當動作為 `Report` 且 serviceAccount.name 不為空白時，直接對應。
actionParameters.groups	security_result.detection_fields.value	剖析器會逐一疊代 actionParameters.groups 中的每個群組，並將其對應至具有索引鍵 `service_account_group` 的個別 detection_fields 項目。
actionParameters.input.patch.portalVisitHistory.dateTime	additional.fields.value.string_value	剖析器會逐一檢查 actionParameters.input.patch.portalVisitHistory 中的每個項目，並擷取 dateTime 欄位，然後將其對應至具有索引鍵 `dateTime {index}` 的個別 additional.fields 項目。
actionParameters.input.patch.portalVisitHistory.id	principal.resource.attribute.labels.value	剖析器會逐一疊代 actionParameters.input.patch.portalVisitHistory 中的每個項目，並擷取 ID 欄位，然後將其對應至具有索引鍵 `id {index}` 的個別 principal.resource.attribute.labels 項目。
actionParameters.input.patch.portalVisitHistory.name	principal.resource.attribute.labels.value	剖析器會逐一疊代 actionParameters.input.patch.portalVisitHistory 中的每個項目，並擷取名稱欄位，然後將其對應至具有索引鍵 `name {index}` 的個別 principal.resource.attribute.labels 項目。
actionParameters.input.patch.portalVisitHistory.resourceName	principal.resource.attribute.labels.value	剖析器會逐一疊代 actionParameters.input.patch.portalVisitHistory 中的每個項目，並擷取 resourceName 欄位，然後將其對應至具有索引鍵 `resourceName {index}` 的個別 principal.resource.attribute.labels 項目。
actionParameters.input.patch.portalVisitHistory.resourceType	principal.resource.attribute.labels.value	剖析器會逐一疊代 actionParameters.input.patch.portalVisitHistory 中的每個項目，並擷取 resourceType 欄位，然後將其對應至具有索引鍵 `resourceType {index}` 的個別 principal.resource.attribute.labels 項目。
actionParameters.input.patch.portalVisitHistory.ruleType	principal.resource.attribute.labels.value	剖析器會逐一檢查 actionParameters.input.patch.portalVisitHistory 中的每個項目，並擷取 ruleType 欄位，然後將其對應至具有索引鍵 `ruleType {index}` 的個別 principal.resource.attribute.labels 項目。
actionParameters.input.patch.portalVisitHistory.type	additional.fields.value.string_value	剖析器會逐一疊代 actionParameters.input.patch.portalVisitHistory 中的每個項目，並擷取型別欄位，然後將其對應至具有 `type {index}` 鍵的個別 additional.fields 項目。
actionParameters.name	target.user.user_display_name	如果 actionParameters.name 不為空白，則直接對應。
actionParameters.products	security_result.detection_fields.value	剖析器會逐一疊代 actionParameters.products 中的每個產品 (不含空字串和 `*`)，並將其對應至含有鍵 `service_account_product` 的個別 detection_fields 項目。
actionParameters.role	target.user.attribute.roles.name	當 actionParameters.role 不為空時，直接對應。
actionParameters.scopes	security_result.detection_fields.value	剖析器會逐一疊代 actionParameters.scopes 中的每個範圍，並將其對應至具有 `service_account_scope` 鍵的個別 detection_fields 項目。
actionParameters.selection	additional.fields.value.list_value.values.string_value	剖析器會逐一疊代 actionParameters.selection.preferences 中的每個項目，並將其對應至 additional.fields.value.list_value.values 中的個別 string_value 項目。
actionParameters.userEmail	target.user.email_addresses	使用 grok 模式擷取，並在不為空白時對應。
actionParameters.userID	target.user.userid	當 actionParameters.userID 不為空時，直接對應。
actor.displayName	target.user.user_display_name	當 actor.displayName 不為空且不是 `unknown` 時，直接對應。
actor.id	target.user.userid	當 actor.id 不為空時，直接對應。
authenticationContext.authenticationProvider	security_result.detection_fields.value	如果不是空白，則會對應至鍵為 `authenticationProvider` 的 detection_fields 項目。
authenticationContext.credentialProvider	security_result.detection_fields.value	如果不是空白，則會對應至鍵為 `credentialProvider` 的 detection_fields 項目。
authenticationContext.credentialType	extensions.auth.mechanism	用於根據特定值衍生 extensions.auth.mechanism 的值。
authenticationContext.externalSessionId	network.parent_session_id	如果不是空白或 `unknown`，則直接對應。
client.device	principal.asset.type	用於根據特定值衍生 principal.asset.type 的值。
client.geographicalContext.city	principal.location.city	如果不是空白，則直接對應。
client.geographicalContext.country	principal.location.country_or_region	如果不是空白，則直接對應。
client.geographicalContext.geolocation.lat	principal.location.region_latitude	如果不是空白，則直接對應。
client.geographicalContext.geolocation.lon	principal.location.region_longitude	如果不是空白，則直接對應。
client.geographicalContext.postalCode	additional.fields.value.string_value	如果不是空白，則會對應至含有索引鍵 `Postal code` 的 additional.fields 項目。
client.geographicalContext.state	principal.location.state	如果不是空白，則直接對應。
client.ipAddress	principal.asset.ip	如果 principal.ip 和 principal.asset.ip 不為空白，則會與這些屬性合併。
client.ipAddress	principal.ip	如果 principal.ip 和 principal.asset.ip 不為空白，則會與這些屬性合併。
client.userAgent.browser	target.resource.attribute.labels.value	如果不是空白，則會對應至含有鍵 `Browser` 的 target.resource.attribute.labels 項目。
client.userAgent.os	principal.platform	用於根據特定值衍生 principal.platform 的值。
client.userAgent.rawUserAgent	network.http.user_agent	如果不是空白，則直接對應。
debugContext.debugData.behaviors	security_result.description	如果不是空白，則直接對應。
debugContext.debugData.deviceFingerprint	target.asset.asset_id	如果不是空白，則會對應至 target.asset.asset_id，並加上 `device_finger_print:` 前置字串。
debugContext.debugData.dtHash	security_result.detection_fields.value	如果不是空白，則會對應至鍵為 `dtHash` 的 detection_fields 項目。
debugContext.debugData.factor	security_result.detection_fields.value	如果不是空白，則會對應至鍵為 `factor` 的 detection_fields 項目。
debugContext.debugData.promptingPolicyTypes	security_result.detection_fields.value	如果不是空白，則會對應至鍵為 `promptingPolicyTypes` 的 detection_fields 項目。
debugContext.debugData.requestUri	extensions.auth.auth_details	如果不是空白，則直接對應。
eventType	metadata.event_type	用於根據特定值衍生 metadata.event_type 的值。
eventType	metadata.product_event_type	如果不是空白，則直接對應。
outcome.reason	security_result.category_details	如果不是空白，則直接對應。
outcome.result	security_result.action	根據特定值完成正規化後，對應至 security_result.action。
requestId	metadata.product_log_id	如果不是空白，則直接對應。
serviceAccount.name	principal.application	當動作為 `Report` 且 serviceAccount.name 不為空白時，直接對應。
sourceIP	principal.asset.ip	使用 grok 模式擷取，並在不為空白且有效時，與 principal.ip 和 principal.asset.ip 合併。
sourceIP	principal.ip	使用 grok 模式擷取，並在不為空白且有效時，與 principal.ip 和 principal.asset.ip 合併。
狀態	security_result.summary	如果不是空白，則直接對應。
時間戳記	metadata.event_timestamp	如果不是空白，則會轉換為時間戳記格式並對應。
user.id	target.user.userid	當 actionParameters.userID 為空，但 user.id 不為空時，直接對應。
user.name	target.user.user_display_name	當 actionParameters.name 為空，但 user.name 不為空時，直接對應。
userAgent	network.http.user_agent	當 client.userAgent.rawUserAgent 為空，但 userAgent 不為空時，直接對應。
	extensions.auth.type	如果 has_user 為 true 且動作為 `Login`，則設為 `AUTHTYPE_UNSPECIFIED`。
	metadata.product_name	設為 `WIZ_IO`。
	metadata.vendor_name	設為 `WIZ_IO`。
	network.http.parsed_user_agent	透過將 user_agent_value 轉換為 parseduseragent 衍生而來。
	security_result.severity	根據特定值衍生而來，預設為 `LOW`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。