將 Wiz 與 Google SecOps 整合

本文說明如何將 Wiz 與 Google Security Operations (Google SecOps) 整合。

整合版本:1.0

事前準備

如要使用整合功能,您需要 API 根目錄、用戶端 ID 和用戶端密碼。

如要進一步瞭解如何產生這些憑證,請參閱「服務帳戶設定」。

整合參數

Wiz 整合需要下列參數:

參數 說明
API Root

必填。

Wiz 執行個體的 API 根層級。
Client ID

必填。

與 Wiz API 憑證相關聯的用戶端 ID。
Client Secret

必填。

與 Wiz API 憑證相關聯的用戶端密鑰。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 Wiz 伺服器時驗證 SSL 憑證。

(預設為啟用)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

乒乓

使用「Ping」動作測試與 Wiz 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果。 可用
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully connected to the Wiz server with the provided connection parameters!

 動作成功。
Failed to connect to the Wiz server! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得問題詳細資料

使用「Get Issue Details」(取得問題詳細資料) 動作,取得 Wiz 中指定問題的相關資訊。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得問題詳細資料」動作需要下列參數:

參數 說明
Issue ID

必填。

要擷取或處理的 Wiz 問題專屬 ID。

動作輸出內容

「Get Issue Details」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Get Issue Details」動作時收到的 JSON 結果輸出內容:

{
   "id": "f54e3fb9-a520-4e99-aacc-b99f6ae7f28d",
   "createdAt": "2025-07-26T11:47:43.94524Z",
   "updatedAt": "2025-07-31T07:34:54.445702Z",
   "status": "RESOLVED",
   "severity": "CRITICAL",
   "type": "TOXIC_COMBINATION",
   "description": "This container is using an image that contains a file identified as a high/critical severity malware by ReversingLabs.\n\nMalware can imply a malicious actor's presence in your environment. The malware can be used for crypto-mining, data leakage, lateral movement to other resources in your environment, etc.",
   "resolvedAt": "2025-07-31T07:34:54.445702Z",
   "entitySnapshot": {
       "cloudPlatform": "GCP",
       "id": "1971f945-3476-5b3d-a5a1-ab166c3e2eca",
       "name": "cluster-solr",
       "region": "us-central1",
       "subscriptionName": "Wiz-Labs",
       "type": "KUBERNETES_CLUSTER"
   },
   "projects": [
       {
           "id": "904cbc14-1c52-571c-a6b8-46fee263eb0f",
           "name": "GCP Lab"
       }
   ],
   "sourceRules": [
       {
           "id": "wc-id-1038",
           "name": "Container using an image infected with critical/high severity malware",
           "description": "This container is using an image that contains a file identified as a high/critical severity malware by ReversingLabs.\n\nMalware can imply a malicious actor's presence in your environment. The malware can be used for crypto-mining, data leakage, lateral movement to other resources in your environment, etc."
       }
   ]
}
輸出訊息

「Get Issue Details」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned details for the following issue using information from Wiz: ISSUE_ID

The action wasn't able to return details for the following entities using information from Wiz: ISSUE_ID

 動作成功。
Error executing action "Get Issue Details". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Get Issue Details」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

重新開啟問題

使用「Reopen Issue」(重新開啟問題) 動作,在 Wiz 中重新開啟特定問題。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「重新開啟問題」動作需要下列參數:

參數 說明
Issue ID

必填。

Wiz 中問題的專屬 ID,用於擷取或更新問題。

動作輸出內容

「重新開啟問題」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「重新開啟問題」動作時收到的 JSON 結果輸出內容:

{
    "id": "41facd3f-29b0-4fcf-9a0c-e7fc40416aa0",
    "note": "",
    "status": "OPEN",
    "dueAt": null,
    "resolutionReason": null
}
輸出訊息

「重新開啟問題」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully reopened issue with ID ISSUE_ID

 動作成功。
Error executing action "Reopen Issue". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「重新開啟問題」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

忽略問題

使用「忽略問題」動作,忽略 Wiz 中的特定問題。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「忽略問題」動作需要下列參數:

參數 說明
Issue ID

必填。

Wiz 中問題的專屬 ID。
Resolution Reason

必填。

問題解決的原因。

可能的值如下:

  • False Positive
  • Exception
  • Won't Fix~

預設值為 False Positive
Resolution Note

選填。

提供問題解決方案額外背景資訊的附註。

動作輸出內容

「忽略問題」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「忽略問題」動作時收到的 JSON 結果輸出內容:

{
    "id": "41facd3f-29b0-4fcf-9a0c-e7fc40416aa0",
    "note": "",
    "status": "REJECTED",
    "dueAt": null,
    "resolutionReason": "FALSE_POSITIVE"
}
輸出訊息

「忽略問題」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully ignored issue with ID ISSUE_ID

 動作成功。
Error executing action "Ignore Issue". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「忽略問題」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

解決問題

使用「解決問題」動作,解決 Wiz 中的特定問題。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「解決問題」動作需要下列參數:

參數 說明
Issue ID

必填。

Wiz 中問題的專屬 ID。
Resolution Reason

必填。

問題解決的原因。

可能的值如下:

  • Malicious Threat
  • Not Malicious Threat
  • Security Test Threat
  • Planned Action Threat
  • Inconclusive Threat

預設值為 Not Malicious Threat
Resolution Note

選填。

附註:提供解決方案的額外背景資訊。

動作輸出內容

「解決問題」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「解決問題」動作時收到的 JSON 結果輸出內容:

{
    "id": "0db2222f-7d1f-501a-9ad5-fe669c7da036",
    "resolutionNote": "",
    "status": "RESOLVED",
    "dueAt": null,
    "resolutionReason": "NOT_MALICIOUS_THREAT"
}
輸出訊息

「解決問題」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully resolved issue with ID ISSUE_ID

 動作成功。
Error executing action "Resolve Issue". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「解決問題」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

Add Comment To Issue

使用「Add Comment To Issue」(在問題中新增註解) 動作,在 Wiz 中為指定問題新增註解。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Add Comment To Issue」動作需要下列參數:

參數 說明
Issue ID

必填。

Wiz 中問題的專屬 ID。
Comment

必填。

要新增至問題的註解文字。

動作輸出內容

「Add Comment To Issue」(在問題中新增留言) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Add Comment To Issue」(在問題中新增留言) 動作時收到的 JSON 結果輸出內容:

{
  "createdAt": "2025-08-01T11:59:00.843434941Z", "id":
  "6f997da2-85a0-4be2-b205-83ea19e9b17a", "text": "testing"
}
輸出訊息

「Add Comment To Issue」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added a comment to the issue with ID ISSUE_ID

 動作成功。
Error executing action "Add Comment To Issue". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Add Comment To Issue」(在問題中新增留言) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。