Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Jos haluat luoda Google Cloud Platform (GCP) -tietoliittimen Codeless Connector Frameworkin (CCF) avulla, käytä tätä viittausta Microsoft Sentinel REST API for Data Connectors -asiakirjojen täydennyksenä.
Jokainen dataConnector edustaa Microsoft Sentinel -tietoliittimen tiettyä yhteyttä. Yhdellä tietoyhdistimellä voi olla useita yhteyksiä, jotka noutavat tietoja eri päätepisteistä. Tämän viiteasiakirjan avulla luotua JSON-määritystä käytetään CCF-tietoliittimen käyttöönottomallin viimeistelemiseen.
Lisätietoja on artikkelissa Koodittoman liittimen luominen Microsoft Sentinel varten.
GCP CCF -tietoliittimen luominen
Yksinkertaista GCP-tietolähteen yhdistämistä GCP CCF -mallitietoliittimen käyttöönottomallin avulla.
Kun suurin osa käyttöönottomallin osista on täytetty, sinun tarvitsee luoda vain kaksi ensimmäistä osaa, tulostetaulukko ja DCR. Lisätietoja on Output-taulukon määrityksen ja tietojen keräämissäännön (DCR) osioissa.
Tietoyhdistimet - Luo tai päivitä
Katso uusin vakaa tai esikatselun ohjelmointirajapinnan versio rest-ohjelmointirajapinnan ohjeissa luonti- tai päivitystoiminnon avulla. Luonti- ja päivitystoiminnon ero on siinä, että päivitys edellyttää etag-arvoa.
PUT-menetelmä
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametrit
Lisätietoja uusimmasta ohjelmointirajapintaversiosta on kohdassa Tietoyhdistimet – URI-parametrien luominen tai päivittäminen.
| Nimi | Kuvaus |
|---|---|
| dataConnectorId | Tietoyhdistimen tunnuksen on oltava yksilöllinen nimi, ja se on sama kuin namepyynnön leipätekstin parametri. |
| resourceGroupName | Resurssiryhmän nimi, jossa kirjainkoko ei ole merkitsevä. |
| subscriptionId | Kohdetilauksen tunnus. |
| workspaceName | Työtilan nimi , ei tunnus. Regex-kuvio: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| ohjelmointirajapinnan versio | Tässä toiminnossa käytettävä ohjelmointirajapinnan versio. |
Pyynnön leipäteksti
CCF-tietoliittimen pyynnön leipätekstillä GCP on seuraava rakenne:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP edustaa CCF-tietoyhdistintä, jossa Google Cloud Platform (GCP) -tietolähteen sivutus ja odotetut vastauskuormat on jo määritetty. GCP-palvelun määrittäminen lähettämään tietoja GCP Pub/Subiin on tehtävä erikseen. Lisätietoja on artikkelissa Julkaise viesti pubissa/alitilassa -yleiskatsaus.
| Nimi | Pakollinen | Kirjoita | Kuvaus |
|---|---|---|---|
| Nimi | Tosi | Merkkijono | URI-parametria vastaavan yhteyden yksilöivä nimi |
| Sellainen | Tosi | Merkkijono | Oltava GCP |
| Etag | GUID | Jätä tyhjäksi uusien liittimien luontia varten. Päivitystoimintojen etagin on vastattava olemassa olevan liittimen etag-tunnusta (GUID). | |
| properties.connectorDefinitionName | Merkkijono | Sen DataConnectorDefinition-resurssin nimi, joka määrittää tietoliittimen käyttöliittymämäärityksen. Lisätietoja on kohdassa Tietoyhdistimen määritys. | |
| Majoituspaikkaa. Auth | Tosi | Sisäkkäinen JSON | Kuvaa GCP-tietojen kyselyn tunnistetiedot. Lisätietoja on kohdassa Todennusmääritys. |
| Majoituspaikkaa. Pyyntö | Tosi | Sisäkkäinen JSON | Kuvaa GCP-projektitunnusta ja GCP-tilausta tietojen kyselyä varten. Lisätietoja on kohdassa Pyynnön määritys. |
| Majoituspaikkaa. dcrConfig | Sisäkkäinen JSON | Pakolliset parametrit, kun tiedot lähetetään tiedonkeräyssääntöön (DCR). Lisätietoja on kohdassa DCR-määritys. |
Todennusmääritys
Todentaminen GCP:lle Microsoft Sentinel käyttää GCP Pub/Subia. Todennus on määritettävä erikseen. Käytä Terraform-komentosarjoja tässä. Lisätietoja on artikkelissa GCP Pub/Sub -todennus todennuksella toiselta pilvipalveluntarjoajalta.
Paras käytäntö on käyttää parametreja todennusosiossa tunnistetietojen kiinteän koodauksen sijaan. Lisätietoja on kohdassa Luottamuksellisen syötteen suojaaminen.
Jotta voit luoda käyttöönottomallin, joka käyttää myös parametreja, sinun on päästävä eroon tämän osion parametreista ylimääräisellä aloitusohjelmalla [. Näin parametrit voivat määrittää arvon sen perusteella, miten käyttäjä on vuorovaikutuksessa liittimen kanssa. Lisätietoja on artikkelissa Mallilausekkeiden ohjausmerkit.
Jotta tunnistetiedot voidaan antaa käyttöliittymästä, connectorUIConfig osio edellyttää instructions haluamiasi parametreja. Lisätietoja on ohjeaiheessa Koodittoman liittimen sovelluskehyksen tietoyhdistimen määritysviittaus.
Esimerkki GCP-todennusta:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
Pyynnön määritys
Pyyntö-osio edellyttää projectId - ja subscriptionNames -tietoja GCP Pub/Subista.
Esimerkki GCP-pyynnöstä:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
Dcr-määritys
| Kenttä | Pakollinen | Kirjoita | Kuvaus |
|---|---|---|---|
| DataCollectionEndpoint | Tosi | Merkkijono | DCE (Data Collection Endpoint) esimerkiksi: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Tosi | Merkkijono | Dcr:n muuttumaton tunnus. Etsi se tarkastelemalla DCR-luontivastaus tai käyttämällä DCR-ohjelmointirajapintaa |
| StreamName | Tosi | Merkkijono | Tämä arvo on streamDeclaration määritetty DCR:ssä (etuliitteen on alettava kohteella Custom-) |
Esimerkki CCF-tietoyhdistimestä
Tässä on esimerkki kaikista CCF-tietoliittimen JSON:n osista GCP yhdessä.
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
Lisätietoja on artikkelissa GCP-tietoliittimen luominen REST-ohjelmointirajapinnan esimerkki.