Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Jos haluat luoda Azure -tallennustilan Blob-tietoliittimen CCF-kehyksen avulla, käytä tätä viittausta Microsoft Sentinel REST API for Data Connectors -artikkelin lisäksi.
Jokainen dataConnector edustaa Microsoft Sentinel -tietoliittimen tiettyä yhteyttä. Yhdellä tietoyhdistimellä voi olla useita yhteyksiä, jotka noutavat tietoja eri päätepisteistä. Tämän viiteasiakirjan avulla luotua JSON-määritystä käytetään CCF-tietoliittimen käyttöönottomallin viimeistelemiseen.
Lisätietoja on artikkelissa Koodittoman liittimen luominen Microsoft Sentinel varten.
Blob-Azure säilön CCF-tietoliittimen luominen
Yksinkertaista Azure säilön Blob-tietolähteen yhdistämistä Blob-tietoyhdistimen mallimallin avulla. Lisätietoja on kohdassa Yhdistimen tallennustilanBlob CCF -malli.
Kun suurin osa käyttöönottomallin osista on täytetty, sinun tarvitsee luoda vain kaksi ensimmäistä osaa, tulostetaulukko ja DCR. Lisätietoja on Output-taulukon määrityksen ja tietojen keräämissäännön (DCR) osioissa.
Tietoyhdistimet - Luo tai päivitä
Katso uusin vakaa tai esikatselun ohjelmointirajapinnan versio rest-ohjelmointirajapinnan ohjeissa luonti- tai päivitystoiminnon avulla. Luonti- ja päivitystoiminnon ero on siinä, että päivitys edellyttää etag-arvoa.
PUT-menetelmä
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametrit
Lisätietoja uusimmasta ohjelmointirajapintaversiosta on kohdassa Tietoyhdistimet – URI-parametrien luominen tai päivittäminen.
| Nimi | Kuvaus |
|---|---|
| dataConnectorId | Tietoyhdistimen tunnuksen on oltava yksilöllinen nimi, ja se on sama kuin namepyynnön leipätekstin parametri. |
| resourceGroupName | Resurssiryhmän nimi, jossa kirjainkoko ei ole merkitsevä. |
| subscriptionId | Kohdetilauksen tunnus. |
| workspaceName | Työtilan nimi , ei tunnus. Regex-kuvio: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| ohjelmointirajapinnan versio | Tässä toiminnossa käytettävä ohjelmointirajapinnan versio. |
Pyynnön leipäteksti
CCF-tietoliittimen pyynnön leipätekstillä StorageAccountBlobContainer on seuraava rakenne:
{
"name": "{{dataConnectorId}}",
"kind": "StorageAccountBlobContainer",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": {},
"response": {}
}
}
StorageAccountBlobContainer
StorageAccountBlobContainer edustaa CCF-tietoyhdistintä, jossa Azure Blob-tallennustilan tietolähteen odotetut vastauskuormat on jo määritetty. Tuottajan määrittäminen lähettämään tietoja Blob-tallennustilaan on tehtävä erikseen.
| Nimi | Pakollinen | Kirjoita | Kuvaus |
|---|---|---|---|
| Nimi | Tosi | Merkkijono | URI-parametria vastaavan yhteyden yksilöivä nimi |
| Sellainen | Tosi | Merkkijono | Oltava StorageAccountBlobContainer |
| Etag | GUID | Jätä tyhjäksi uusien liittimien luontia varten. Päivitystoimintojen etagin on vastattava olemassa olevan liittimen etag-tunnusta (GUID). | |
| Majoituspaikkaa. connectorDefinitionName | Merkkijono | Sen DataConnectorDefinition-resurssin nimi, joka määrittää tietoliittimen käyttöliittymämäärityksen. Lisätietoja on kohdassa Tietoyhdistimen määritys. | |
| Majoituspaikkaa. Auth | Tosi | Sisäkkäinen JSON | Tässä artikkelissa kuvataan blob Azure säilön tietojen käyttöön käytettävät tunnistetiedot. Lisätietoja on kohdassa Todennusmääritys. |
| Majoituspaikkaa. Pyyntö | Tosi | Sisäkkäinen JSON | Tässä artikkelissa kuvataan Azure tallennusjonot, jotka vastaanottavat blob-objektin luomia tapahtumia. Lisätietoja on kohdassa Pyynnön määritys. |
| Majoituspaikkaa. dcrConfig | Sisäkkäinen JSON | Pakolliset parametrit, kun tiedot lähetetään tiedonkeräyssääntöön (DCR). Lisätietoja on kohdassa DCR-määritys. | |
| Majoituspaikkaa. Vastaus | Tosi | Sisäkkäinen JSON | Kuvailee ohjelmointirajapinnasta palautetun vastausobjektin ja sisäkkäisen viestin tietoja noudettaessa. Lisätietoja on artikkelissa Vastauksen määritys. |
Todennusmääritys
Azure -säilön Blob-liitin käyttää vuokraajassasi luotua palvelun päänimeä, joka on liitetty Microsoftin hallinnoimaan usean kohteen sovellukseen (palvelun päänimi Blueprint). Vuokraajan järjestelmänvalvojan on myönnettävä suostumus tämän palvelun päänimen luomiseen. ARM-malli tarjoaa mahdollisuuden vahvistaa, onko sovellukseen liittyvä palvelun päänimi jo vuokraajassasi, ja jos ei, tarjoaa mahdollisuuden luoda palvelun päänimi käyttäjän suostumuksella.
ARM-malliesimerkki sisältää toiminnot, joilla käytetään kaikkia tarvittavia roolipohjaisia käyttöoikeuksia tallennustiliin blob-objektien lukemiseksi ja jonoihin osallistumiseksi. Varmista, että malli ja käytetyt palvelun päänimet liittyvät ympäristösi sovellukseen ja että vuokraajan järjestelmänvalvojan suostumus on myönnetty.
Seuraavassa taulukossa on lueteltu sovellustunnukset Azure ympäristöä kohden:
| Azure ympäristö | ApplicationId |
|---|---|
| AzureCloud | 4f05ce56-95b6-4612-9d98-a45c8cc33f9f |
StorageAccountBlobContainer-todennusesimerkki:
"auth": {
"type": "ServicePrincipal"
}
Pyynnön määritys
Pyyntö-osiossa kuvataan Azure-tallennusjonot, jotka vastaanottavat blob-objektilla luotuja tapahtumaviestejä.
| Kenttä | Pakollinen | Kirjoita | Kuvaus |
|---|---|---|---|
| QueueUri | Tosi | Merkkijono | Blob-tapahtumia vastaanottavan Azure tallennusjonon URI. |
| DlqUri | Tosi | Merkkijono | Epäonnistuneiden viestien kuolleen kirjaimen jonon URI. |
StorageAccountBlobContainer-pyynnön esimerkki:
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
Vastauksen määritys
Määritä tietoyhdistimen vastausten käsittely seuraavien parametrien avulla:
| Kenttä | Pakollinen | Kirjoita | Kuvaus |
|---|---|---|---|
| EventsJsonPaths | Tosi | Merkkijonoluettelo | Määrittää viestin polun vastauksessa JSON. JSON-polkulauseke määrittää polun JSON-rakenteen elementtiin tai elementtijoukkoon. |
| IsGzipCompressed | Totuusarvo | Määrittää, onko vastaus pakattu gzip-tiedostoon. | |
| Muodossa | Tosi | Merkkijono |
json, csv, xml, tai parquet |
| CompressionAlgo | Merkkijono | Pakkausalgoritmi, joko multi-gzip tai deflate. Jos kyseessä on gzip-pakkaus, määritä IsGzipCompressed - True arvo sen sijaan, että määrittäsit tälle parametrille arvon. |
|
| CsvDelimiter | Merkkijono | Jos vastausmuoto on CSV ja haluat muuttaa csv-oletuserotinta ,. |
|
| HasCsvBoundary | Totuusarvo | Ilmaisee, onko CSV-tiedoilla reuna. | |
| HasCsvHeader | Totuusarvo | Ilmaisee, onko CSV-tiedoissa otsikko. Oletusarvo: True. |
|
| CsvEscape | Merkkijono | Kentän reunan ohjausmerkki. Oletusarvo: ". Esimerkiksi CSV, jossa on otsikoita id,name,avg ja tietorivi, joka sisältää esimerkiksi välilyöntejä 1,"my name",5.5 , edellyttää kentän reunaa " . |
Huomautus
CSV-muototyyppi jäsennetaan RFC 4180 -määrityksellä.
Vastauksen määritysesimerkkejä
Pakkaamaton JSON:
"response": {
"EventsJsonPaths": ["$"],
"format": "json"
}
Pakattu CSV:
"response": {
"EventsJsonPaths": ["$"],
"format": "csv",
"IsGzipCompressed": true
}
Parquet (pakkaus voidaan päätellä):
"response": {
"EventsJsonPaths": ["$"],
"format": "parquet"
}
Dcr-määritys
| Kenttä | Pakollinen | Kirjoita | Kuvaus |
|---|---|---|---|
| DataCollectionEndpoint | Tosi | Merkkijono | DCE (Tietojen keräämisen päätepiste), esimerkiksi: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Tosi | Merkkijono | Dcr:n muuttumaton tunnus. Etsi se tarkastelemalla DCR-luontivastaus tai käyttämällä DCR-ohjelmointirajapintaa. |
| StreamName | Tosi | Merkkijono | Tämä arvo on streamDeclaration määritetty DCR:ssä (etuliitteen on alettava kohteella Custom-). |
Esimerkki CCF-tietoyhdistimestä
Tässä on esimerkki kaikista CCF-tietoliittimen JSON:n osista StorageAccountBlobContainer yhdessä.
{
"kind": "StorageAccountBlobContainer",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"auth": {
"type": "ServicePrincipal"
},
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
}
}
Lisätietoja on artikkelissa Tietoliittimen REST-ohjelmointirajapinnan luominen esimerkki.