Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El agente del generador de conectores de Microsoft Sentinel compila conectores de datos en cuestión de minutos mediante el flujo de trabajo asistido por IA en GitHub Copilot mediante la extensión de Microsoft Sentinel para Visual Studio Code (VS Code). Esta experiencia de código bajo guía a los desarrolladores y proveedores de software independientes (ISV) de un extremo a otro mediante la generación autónoma de esquemas, recursos de implementación, interfaz de usuario del conector, control de secretos seguros y lógica de sondeo. La validación integrada expone los problemas de sondeo al principio, por lo que puede validar los registros de eventos antes de implementar e ingerir datos.
El agente del generador de conectores de Sentinel le ayuda a:
Reducir el tiempo y el esfuerzo manuales en la creación de conectores basados en Codeless Connector Framework (CCF)
Definiciones del conector scaffolding mediante solicitudes sencillas
Iteración en la lógica del conector mediante lenguaje natural
Validación de artefactos del conector antes de la implementación
Requisitos previos
Antes de empezar, asegúrese de cumplir los siguientes requisitos:
Un área de trabajo de Microsoft Sentinel activa
Acceso a Visual Studio Code con GitHub Copilot
La extensión Microsoft Sentinel VS Code instalada
Microsoft Sentinel rol Colaborador para crear o modificar conectores de datos Sentinel
Ventajas de los conectores con experiencia del agente
El agente Sentinel Connector Builder puede reducir el tiempo de desarrollo del conector de semanas a horas para muchos escenarios comunes. Las tareas que antes requerían varias herramientas, entregas manuales y ciclos de validación repetidos ahora se pueden completar en línea, lo que permite una iteración más rápida y una preparación más rápida para la implementación.
| Área | Proceso de desarrollo de conectores que no son de IA | Extensión de VS Code con el agente del Generador de conectores |
|---|---|---|
| Experiencia de creación | Las definiciones de conectores, los esquemas y los elementos de configuración a menudo se crean en varias herramientas, incluidos los Azure Portal, los editores y las plantillas JSON. El cambio de contexto es común. | La creación de conectores se produce directamente en VS Code, junto con otros recursos de desarrollo, mediante un único entorno centrado en el desarrollador. |
| Velocidad de iteración | Realizar cambios normalmente requiere navegar entre herramientas, actualizar elementos y volver a validar manualmente, lo que ralentiza la iteración. | Los desarrolladores pueden refinar iterativamente los conectores mediante el agente dentro de VS Code, lo que reduce la fricción entre el diseño, la actualización y la revisión. |
| Validación y comentarios | Los pasos de validación a menudo se realizan más adelante en el flujo de trabajo, lo que aumenta el riesgo de detectar problemas de esquema o configuración tarde. | La validación se produce más cerca de la experiencia de creación, lo que ayuda a identificar problemas antes y a mejorar la calidad general antes de la implementación. |
| Productividad del desarrollador | Los desarrolladores dedican tiempo a administrar herramientas y navegación en lugar de centrarse en la lógica y la corrección del conector. | Los desarrolladores pueden centrarse en revisar el código y estructurar el esquema mediante la compilación de conectores controlados por agentes de bajo código. |
Creación de un conector personalizado mediante Sentinel agente del generador de conectores
En los pasos siguientes se muestra cómo crear, validar e implementar un conector de Microsoft Sentinel personalizado mediante el agente Sentinel Connector Builder en VS Code.
Paso 1: Instalar y abrir la extensión de Sentinel para VS Code
Instale Microsoft Sentinel extensión para Visual Studio Code y vuelva a cargar VS Code si se le solicita.
Cree y abra una carpeta vacía en el Explorador de archivos. Todos los archivos generados por el agente se guardan localmente en esta carpeta.
Paso 2: Preguntar al agente del generador de conectores de Sentinel
Abra el chat de VS Code y establezca el chat en modo agente.
Solicite al agente que use
@sentinel. Cuando se le solicite, seleccione/create-connectory seleccione cualquier API compatible.Por ejemplo, escriba el símbolo del sistema como se indica a continuación:
@sentinel /create-connector Create a connector for Contoso. Here are the API docs: https://contoso-security-api.azurewebsites.net/v0101/api-doc
Proporcione la información de la API de origen, los métodos de autenticación para generar el patrón de conector adecuado.
Paso 3: Generación o actualización de artefactos del conector
En función de la entrada, el agente genera los cuatro archivos siguientes:
Configuración de sondeo
Asignaciones de reglas de recopilación de datos (DCR)
Definición del conector
Referencias de esquema y tabla alineadas con los requisitos de Sentinel
En la ilustración se muestran los archivos del conector JSON generados.
Nota:
Durante la evaluación del agente, seleccione Permitir respuestas una vez para aprobar los cambios o seleccione la opción Omitir aprobaciones en el chat. Las evaluaciones pueden tardar hasta varios minutos en finalizar.
Ajuste iterativamente el conector mediante el agente o directamente en línea en los archivos JSON generados. Por ejemplo:
Pida al agente que modifique la descripción, el nombre del autor, etc.
Actualización de la lógica de ingesta para el nombre de tabla
Ajustar los parámetros de autenticación o sondeo; por ejemplo, la frecuencia de sondeo, la ventana de tiempo de espera y otros
Importante
No edite ni modifique el archivo mientras se está compilando. Si un campo del archivo muestra un error, significa que la compilación sigue en curso.
Paso 4: Validar la configuración del conector
Para validar la API para eventos de origen de datos, haga clic con el botón derecho en la carpeta que contiene la plantilla de ARM y seleccione Microsoft Sentinel>Test Connector.
En el panel Conector de prueba , escriba los detalles de autenticación de la API de origen de datos y, a continuación, seleccione Conectar.
El sondeo se inicia en función de la configuración del archivo JSON de configuración de sondeo.
En la pestaña Eventos , revise los encabezados de solicitud y los eventos devueltos por la API.
Nota:
Esta prueba confirma que la llamada API se realizó correctamente y devuelve eventos. No confirma que los eventos se escriben en la tabla de Sentinel. La ingesta de tablas se valida al finalizar la configuración del conector en la página Conectores de datos de Microsoft Sentinel.
Después de validar la conexión, seleccione Desconectar para detener la sesión de sondeo.
Paso 5: Implementación
Una vez que la prueba de validación se realice correctamente, seleccione Implementar en la ventana de chat para empezar a implementar el conector.
La extensión abre un panel donde puede elegir entre las áreas de trabajo Microsoft Sentinel disponibles.
Seleccione un área de trabajo y, a continuación, seleccione Implementar para implementar el conector en ese área de trabajo.
Como alternativa, haga clic con el botón derecho en la carpeta que contiene los archivos generados y seleccione Microsoft Sentinel>Implementar conector.
Cuando se completa la implementación, aparece un mensaje correcto en la ventana Salida .
Nota:
Después de la implementación en un área de trabajo de Sentinel, este conector se centra en la ingesta de datos en tablas de Microsoft Sentinel. No incluye un paquete de solución completo ni flujos de trabajo SOAR precompilados de un extremo a otro para la cobertura de seguridad. Si necesita automatización, cree los cuadernos de estrategias y los flujos de trabajo necesarios para su escenario.
Obtención de ayuda
- En el caso de los asociados de ISV que crean integraciones, póngase en contacto con: azuresentinelpartner@microsoft.com
- Para preguntas técnicas, use Microsoft Q&A con la etiqueta "azure-sentinel"