Konfigurer din Azure Storage-connector til at streame logge til Microsoft Sentinel

Azure Storage Blob-connectoren forenkler indsamlingen af logge fra Azure Storage. Det gør det muligt for ISV'er og brugere at bygge skalerbare connectors oven på Azure Storage-integrationer via den fuldt administrerede CCF (Codeless Connector Framework).

I denne artikel opsummeres connectorressourcerne, og den indeholder trin til oprettelse og validering af din første Azure Storage-connector.

Forudsætninger

Før du begynder, skal du sikre dig, at du har:

  • En Azure Lagerkonto med hierarkisk navneområde aktiveret (Azure Data Lake Storage Gen2) og en objektbeholder, der indeholder logfilerne.
  • Et Microsoft Sentinel arbejdsområde med en Microsoft Sentinel bidragyder eller en højere rolle til oprettelse af dataconnectors.
  • Ejer- eller EventGrid Contributor-rolletilladelser på lagerkontoen til at oprette emner og abonnementer på Event Grid-systemet.

Bemærk!

Sørg for, at ressourceudbyderen af Microsoft.EventGrid er registreret i det abonnement, der indeholder lagerkontoen.

Oversigt over connectorressource

Azure Storage Blob-connectoren bruger en købaseret blob-pointer-model til at abonnere på bloboprettede hændelser på din lagerkonto. Et emneabonnement på et hændelsesgittersystem lytter efter bloboprettelsesaktivitet og sender hændelser, der er baseret på konfigurerbare filtreringskriterier, til en Azure Lagerkø. Flere connectorforekomster kan hente fra den samme objektbeholder, mens filer skal angives efter mappe- og filmønster. Du kan styre filtrering via portalen eller ARM-connectorskabelonen ved at angive blobpræfiks og suffiksmønstre.

Et diagram, der viser arkitekturen for Azure Storage Blob Connector, herunder hændelser, der er oprettet af blob, Hændelsesgitter, lagerkø og Microsoft Sentinel indtagelsesflow.

Den Microsoft Sentinel connector:

  • Sender forespørgsler til Azure lagerkøen for bloboprettede meddelelser.
  • Henter filer fra Azure Lager-Blob-objektbeholder baseret på stien i kømeddelelsen.
  • Sletter kømeddelelsen efter videresendelse.

Connectoren godkendes til lagerkontoen ved hjælp af en tjenesteprincipal, der er tilgængelig for connectorprogrammet. Du kan se program-id'erne pr. cloud og det fulde skabelonskema i API-referencen til Azure Storage Blob Connectors. Brug arm-skabelonautomatisering til at bekræfte, at tjenesteprincipalen findes, og til at anvende de påkrævede rolletildelinger på lagerkontoen.

Opret en Azure Storage Blob-connector

  1. Gennemse og tilpas eksemplet på ARM-skabelonen i API-referencen til Azure Storage Blob-connectors. Angiv objektbeholdernavnet, kønavnet (hvis det ikke er oprettet automatisk), filtre for blobpræfiks/suffiks og tilknytning af destinationstabellen.
  2. Installér skabelonen ved at følge Opret en kodeløs connector til Microsoft Sentinel. Sørg for, at udrulningsområdet stemmer overens med lagerkontoen og Microsoft Sentinel arbejdsområde.
  3. Efter udrulningen skal du bekræfte, at connectorforekomsten er oprettet i Microsoft Sentinel, og at abonnementsstatus for Hændelsesgitter er i orden.

Valider connectoren

  • Upload en eksempelfil, der svarer til præfiks-/suffiksfilteret, og bekræft, at kømeddelelser oprettes og forbruges.
  • Kontrollér indtagelsen i destinationstabellen i Microsoft Sentinel, og kontrollér, om der er fejl i connectortilstandsbladet.
  • Hvis du bruger netværksbegrænsninger, skal du bekræfte, at de connectoradministrerede ressourcer kan nå blob- og køslutpunkterne.

Fejlfinding

Du kan finde fejlfindingstrin under Fejlfinding af problemer med Azure Storage Blob Connector.

Relateret indhold

  • Last updated on