Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Hvis du vil oprette en Azure Storage Blob-dataconnector med Codeless Connector Framework (CCF), skal du bruge denne reference ud over artiklen Microsoft Sentinel REST API til Data Connectors.
Hver dataConnector repræsenterer en bestemt forbindelse for en Microsoft Sentinel dataconnector. En dataconnector kan have flere forbindelser, som henter data fra forskellige slutpunkter. Den JSON-konfiguration, der oprettes ved hjælp af dette referencedokument, bruges til at fuldføre installationsskabelonen for CCF-dataconnectoren.
Du kan få flere oplysninger under Opret en kodeløs connector til Microsoft Sentinel.
Byg Azure Storage Blob CCF-dataconnectoren
Gør det nemmere at oprette forbindelse til din Azure Storage Blob-datakilde med en eksempelskabelon til udrulning af Storage Blob CCF-dataconnector. Du kan få flere oplysninger under Connector StorageBlob CCF-skabelon.
Når de fleste afsnit med udrulningsskabeloner er udfyldt, skal du kun oprette de første to komponenter, outputtabellen og DCR. Du kan få flere oplysninger i afsnittene Definition af outputtabel og DCR (Data Collection Rule).
Dataconnectors – Opret eller opdater
Se opret eller opdater-handlingen i REST API-dokumentation for at finde den nyeste stabile API-version eller prøveversion. Forskellen mellem oprettelses - og opdateringshandlingen er, at opdateringen kræver etag-værdien .
PUT-metode
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametre
Du kan få flere oplysninger om den nyeste API-version under DataConnectors – Opret eller opdater URI-parametre.
| Navn | Beskrivelse |
|---|---|
| dataConnectorId | Dataconnector-id'et skal være et entydigt navn og er det samme som name parameteren i anmodningens brødtekst. |
| resourceGroupName | Navnet på ressourcegruppen, hvor der ikke skelnes mellem store og små bogstaver. |
| subscriptionId | Id'et for målabonnementet. |
| workspaceName |
Navnet på arbejdsområdet, ikke id'et. Regex-mønster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-version | Den API-version, der skal bruges til denne handling. |
Brødtekst i anmodning
Anmodningens brødtekst for en StorageAccountBlobContainer CCF-dataconnector har følgende struktur:
{
"name": "{{dataConnectorId}}",
"kind": "StorageAccountBlobContainer",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": {},
"response": {}
}
}
StorageAccountBlobContainer
StorageAccountBlobContainer repræsenterer en CCF-dataconnector, hvor de forventede svarnyttedata for din Azure Storage Blob-datakilde allerede er konfigureret. Konfiguration af producenten til at sende data til Lager-Blob skal udføres separat.
| Navn | Påkrævet | Type | Beskrivelse |
|---|---|---|---|
| Navn | Sandt | Streng | Det entydige navn på forbindelsen, der svarer til URI-parameteren |
| Form | Sandt | Streng | Skal være StorageAccountBlobContainer |
| Etag | GUID | Lad argumentet være tomt for at oprette nye connectors. I forbindelse med opdateringshandlinger skal etag'et matche den eksisterende connectors etag (GUID). | |
| Egenskaber. connectorDefinitionName | Streng | Navnet på den DataConnectorDefinition-ressource, der definerer konfigurationen af brugergrænsefladen for dataconnectoren. Du kan få flere oplysninger under Definition af dataconnector. | |
| Egenskaber. Auth | Sandt | Indlejret JSON | Beskriver legitimationsoplysningerne til indtagelse af Azure Storage Blob-data. Du kan få flere oplysninger under Konfiguration af godkendelse. |
| Egenskaber. Anmodning | Sandt | Indlejret JSON | Beskriver de Azure Lagerkøer, der modtager hændelser, der er oprettet i et område. Du kan få flere oplysninger under Anmodningskonfiguration. |
| Egenskaber. dcrConfig | Indlejret JSON | Påkrævede parametre, når dataene sendes til en DCR (Data Collection Rule). Du kan få flere oplysninger under DCR-konfiguration. | |
| Egenskaber. Svar | Sandt | Indlejret JSON | Beskriver svarobjektet og den indlejrede meddelelse, der returneres fra API'en, når dataene hentes. Du kan få flere oplysninger under Svarkonfiguration. |
Godkendelseskonfiguration
Azure Storage Blob-connectoren er afhængig af en tjenesteprincipal, der er oprettet i din lejer, og som er knyttet til et Microsoft-administreret multitenantprogram (kursusplan for tjenesteprincipal). Lejeradministratoren skal give samtykke for at oprette denne tjenesteprincipal. ARM-skabelonen giver mulighed for at bekræfte, om den tjenesteprincipal, der er knyttet til programmet, allerede findes i din lejer, og hvis ikke, kan du oprette tjenesteprincipalen med brugerens samtykke.
ARM-skabeloneksepelet indeholder handlinger til at anvende al nødvendig rollebaseret adgang på lagerkontoen til at læse blobs og bidrage til køer. Sørg for, at skabelonen og de anvendte tjenesteprincipaler er knyttet til programmet for dit miljø, og at der er givet samtykke til lejeradministratoren.
I følgende tabel vises program-id'erne pr. Azure miljø:
| Azure miljø | ApplicationId |
|---|---|
| AzureCloud | 4f05ce56-95b6-4612-9d98-a45c8cc33f9f |
Eksempel på godkendelse af StorageAccountBlobContainer:
"auth": {
"type": "ServicePrincipal"
}
Anmodningskonfiguration
I anmodningsafsnittet beskrives de Azure Lagerkøer, der modtager meddelelser om bloboprettede hændelser.
| Feltet | Påkrævet | Type | Beskrivelse |
|---|---|---|---|
| QueueUri | Sandt | String | URI'en for den Azure lagerkø, der modtager hændelser, der er oprettet af blob. |
| DlqUri | Sandt | String | URI'en for køen til døde bogstaver for mislykkede meddelelser. |
Eksempel på anmodning om StorageAccountBlobContainer:
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
Svarkonfiguration
Definer svarhåndteringen for dataconnectoren med følgende parametre:
| Feltet | Påkrævet | Type | Beskrivelse |
|---|---|---|---|
| HændelserJsonPaths | Sandt | Liste over strenge | Definerer stien til meddelelsen i svar-JSON. Et JSON-stiudtryk angiver en sti til et element eller et sæt elementer i en JSON-struktur. |
| IsGzipCompressed | Boolesk | Bestemmer, om svaret komprimeres i en gzip-fil. | |
| Format | Sandt | String |
json, csv, xmleller parquet |
| CompressionAlgo | String | Komprimeringsalgoritmen, enten multi-gzip eller deflate. I forbindelse med gzip-komprimering skal du konfigurere IsGzipCompressed til i stedet for at True angive en værdi for denne parameter. |
|
| CsvDelimiter | String | Hvis svarformatet er CSV, og du vil ændre standard-CSV-afgrænseren for ,. |
|
| HasCsvBoundary | Boolesk | Angiver, om CSV-dataene har en grænse. | |
| HasCsvHeader | Boolesk | Angiver, om CSV-dataene har en header. Som standard: True. |
|
| CsvEscape | String | Escape-tegn for en feltgrænse. Som standard: ". En CSV med overskrifter id,name,avg og en række data, der indeholder mellemrum, f.eks 1,"my name",5.5 . kræver " feltgrænsen. |
Bemærk!
CSV-formattypen fortolkes af RFC 4180-specifikationen .
Eksempler på svarkonfiguration
Ukomprimeret JSON:
"response": {
"EventsJsonPaths": ["$"],
"format": "json"
}
Komprimeret CSV:
"response": {
"EventsJsonPaths": ["$"],
"format": "csv",
"IsGzipCompressed": true
}
Parquet (komprimering kan udledes):
"response": {
"EventsJsonPaths": ["$"],
"format": "parquet"
}
DCR-konfiguration
| Feltet | Påkrævet | Type | Beskrivelse |
|---|---|---|---|
| DataCollectionEndpoint | Sandt | String | DCE (Data Collection Endpoint), f.eks.: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Sandt | String | Det uforanderlige ID for DCR. Find den ved at få vist DCR-oprettelsessvaret eller ved hjælp af DCR-API'en. |
| StreamName | Sandt | Streng | Denne værdi er defineret streamDeclaration i DCR (præfikset skal begynde med Custom-). |
Eksempel på CCF-dataconnector
Her er et eksempel på alle komponenterne i StorageAccountBlobContainer JSON for CCF-dataconnectoren sammen.
{
"kind": "StorageAccountBlobContainer",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"auth": {
"type": "ServicePrincipal"
},
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
}
}
Du kan få flere oplysninger under Opret REST API-eksempel til dataconnector.