Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Codeless Connector Framework (CCF) offre a partner, utenti avanzati e sviluppatori la possibilità di creare connettori personalizzati per l'inserimento di dati da Microsoft Sentinel.
I connettori creati con CCF sono completamente SaaS, senza requisiti per le installazioni del servizio. Includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Seguire questa procedura per creare il connettore CCF e connettere l'origine dati a Microsoft Sentinel
- Compilare il connettore dati
- Creare il modello di Resource Manager
- Distribuire il connettore
- Connettere Microsoft Sentinel all'origine dati e iniziare a inserire i dati
Questo articolo illustra come completare ogni passaggio e fornire un connettore senza codice di esempio da compilare lungo la strada.
Se si è un partner di sviluppo software e si ha bisogno di supporto per creare un connettore dati CCF, contattare Microsoft Sentinel Partner all'indirizzo AzureSentinelPartner@microsoft.com per assistenza.
In che modo questo CCF è diverso dalla versione precedente?
La versione iniziale del CCF è stata annunciata nel gennaio 2022. Da allora, la piattaforma è stata migliorata e la versione legacy non è più consigliata. Questa nuova versione del CCF presenta i miglioramenti principali seguenti:
Supporto migliore per vari tipi di autenticazione e impaginazione.
Supporta le regole di raccolta dati standard.
Le parti relative all'interfaccia utente e alla configurazione della connessione del connettore senza codice sono ora separate. Ciò consente la creazione di connettori con più connessioni che non erano possibili in precedenza.
Prerequisiti
Prima di creare un connettore, comprendere l'origine dati e il modo in cui Microsoft Sentinel deve connettersi.
Endpoint raccolta dati (DCE)
Un controller di dominio è un requisito per un DCR. Viene creato un solo controller di dominio per ogni distribuzione DCR dell'area di lavoro log analytics. Ogni DCR distribuito per un'area di lavoro Microsoft Sentinel usa lo stesso dce. Per altre informazioni su come crearne uno o se ne è necessario uno nuovo, vedere Endpoint di raccolta dati in Azure Monitor.
Schema delle tabelle di output.
È importante comprendere la forma del flusso di dati e i campi da includere nella tabella di output. Fare riferimento alla documentazione dell'origine dati o analizzare esempi di output sufficienti.
Cercare i componenti seguenti e verificarne il supporto nelle informazioni di riferimento sull'API del connettore dati:
Struttura di richiesta e risposta HTTP all'origine dati
Autenticazione richiesta dall'origine dati.
Ad esempio, se l'origine dati richiede un token firmato con un certificato, il riferimento all'API del connettore dati specifica che l'autenticazione del certificato non è supportata.Opzioni di impaginazione per l'origine dati
Api di test
È consigliabile testare i componenti con uno strumento di test api simile a uno dei seguenti:
- Visual Studio Code con un'estensione da Visual Studio Marketplace
- PowerShell Invoke-RestMethod
- Microsoft Edge - Strumento console di rete
- Bruno
- Curl
Attenzione
Per gli scenari in cui si dispone di dati sensibili, ad esempio credenziali, segreti, token di accesso, chiavi API e altre informazioni simili, assicurarsi di usare uno strumento che protegga i dati con le funzionalità di sicurezza necessarie, funzioni offline o localmente, non sincronizza i dati nel cloud e non richieda l'accesso a un account online. In questo modo si riduce il rischio di esposizione di dati sensibili al pubblico.
Compilare il connettore dati
Consiglio
Se si è un fornitore di software indipendente (ISV) e si ha bisogno di supporto per la creazione di un'integrazione Microsoft Sentinel usando Microsoft Sentinel Codeless Connector Framework, il team di Microsoft App Assure potrebbe essere in grado di fornire assistenza. Per coinvolgere il team di App Assure, inviare un messaggio di posta elettronica a azuresentinelpartner@microsoft.com.
Per compilare il connettore dati CCF sono necessari quattro componenti.
- Definizione della tabella di output
- Regola raccolta dati (DCR)
- Interfaccia utente del connettore dati
- Regole di connessione del connettore dati
Ogni componente ha una sezione che descrive in dettaglio il processo da creare e convalidare. Prendere il codice JSON da ogni componente per la creazione del pacchetto finale del modello arm.
Definizione della tabella di output
Consiglio
Ignorare questo passaggio se i dati vengono inseriti solo nelle tabelle di Log Analytics standard. Esempi di tabelle standard includono CommonSecurityLog e ASimDnsActivityLogs. Per altre informazioni sull'elenco completo dei tipi di dati standard supportati, vedere Supporto della trasformazione dei dati per i connettori dati personalizzati.
Se l'origine dati non è conforme allo schema di una tabella standard, sono disponibili due opzioni:
- Creare una tabella personalizzata per tutti i dati
- Creare una tabella personalizzata per alcuni dati e suddividere i dati conformi a una tabella standard
Usare l'interfaccia utente di Log Analytics per un metodo diretto per creare una tabella personalizzata insieme a un DCR. Se si crea la tabella personalizzata usando l'API Tabelle o un altro metodo programmatico, aggiungere manualmente il _CL suffisso al nome della tabella. Per altre informazioni, vedere Creare una tabella personalizzata.
Per altre informazioni sulla suddivisione dei dati in più tabelle, vedere i dati di esempio e la tabella personalizzata di esempio creata per tali dati.
Regola di raccolta dati
Le regole di raccolta dati definiscono il processo di raccolta dati in Azure Monitor. I dcr specificano quali dati devono essere raccolti, come trasformare tali dati e dove inviare tali dati.
- Esiste un solo DCR che viene distribuito per ogni connettore dati.
- Un DCR deve avere un dce corrispondente nella stessa area.
- Quando il connettore dati CCF viene distribuito, il DCR viene creato se non esiste già.
Fare riferimento alle informazioni più recenti sui controller di dominio in questi articoli:
Per un'esercitazione che illustra la creazione di un controller di dominio, incluso l'uso di dati di esempio per creare la tabella personalizzata e DCR, vedere Esercitazione: Inviare dati a Azure Monitorare i log con l'API di inserimento log (portale di Azure). Usare il processo in questa esercitazione per verificare che i dati siano inseriti correttamente nella tabella con il DCR.
Per informazioni su come creare un DCR complesso con più flussi di dati, vedere la sezione di esempio DCR.
Interfaccia utente del connettore dati
Questo componente esegue il rendering dell'interfaccia utente per il connettore dati nella raccolta di connettori dati Microsoft Sentinel. Ogni connettore dati può avere una sola definizione dell'interfaccia utente.
Compilare l'interfaccia utente del connettore dati con l'API di definizione del connettore dati. Usare il riferimento alle definizioni del connettore dati come supplemento per illustrare in modo più dettagliato gli elementi dell'API.
Note:
- La
kindproprietà per il connettore di polling api deve essereCustomizablesempre . - Poiché si tratta di un tipo di connettore di polling api, impostare il tipo su
connectivityCriteriahasDataConnectors - L'esempio
instructionStepsinclude un pulsante di tipoConnectionToggleButton. Questo pulsante consente di attivare la distribuzione delle regole del connettore dati in base ai parametri di connessione specificati.
Usare uno strumento di test api per chiamare l'API definizioni del connettore dati per creare l'interfaccia utente del connettore dati per convalidarla nella raccolta di connettori dati.
Per informazioni su un esempio, vedere la sezione Esempio di riferimento sulle definizioni del connettore dati.
Regole di connessione dati
Esistono attualmente tre tipi di regole di connessione dati possibili per la definizione del connettore dati CCF.
-
RestApiPollerkind consente di personalizzare il paging, l'autorizzazione e i payload di richiesta/risposta previsti per l'origine dati. Per altre informazioni, vedere Informazioni di riferimento sulle regole di connessione del connettore dati RestApiPoller. -
GCPkind consente di ridurre i tempi di sviluppo configurando automaticamente il paging e i payload di risposta previsti per l'origine dati GCP (Google Cloud Platform). Per altre informazioni, vedere Informazioni di riferimento sulle regole di connessione del connettore dati GCP -
StorageAccountBlobContainerkind consente di inserire da un'origine dati blob di archiviazione Azure. Per altre informazioni, vedere Azure Informazioni di riferimento sull'API dei connettori BLOB di archiviazione.
Usare uno strumento di test api per chiamare l'API del connettore dati per creare il connettore dati che combina le regole di connessione e i componenti precedenti. Verificare che il connettore sia ora connesso nell'interfaccia utente.
Proteggere l'input riservato
Qualunque sia l'autenticazione usata dal connettore dati CCF, seguire questa procedura per garantire la sicurezza delle informazioni riservate. L'obiettivo è passare le credenziali dal modello di Arm al CCF senza lasciare oggetti riservati leggibili nella cronologia delle distribuzioni.
Creare un'etichetta
La definizione del connettore dati crea un elemento dell'interfaccia utente per richiedere le credenziali di sicurezza. Ad esempio, se il connettore dati esegue l'autenticazione a un'origine log con OAuth, la sezione relativa alla definizione del connettore dati include il OAuthForm tipo nelle istruzioni. In questo modo viene configurato il modello di Resource Manager per richiedere le credenziali.
"instructions": [
{
"type": "OAuthForm",
"parameters": {
"UsernameLabel": "Username",
"PasswordLabel": "Password",
"connectButtonLabel": "Connect",
"disconnectButtonLabel": "Disconnect"
}
}
],
Archiviare l'input riservato
Una sezione del modello di distribuzione arm fornisce un luogo in cui l'amministratore distribuisce il connettore dati per immettere la password. Usare securestring per mantenere protette le informazioni riservate in un oggetto che non è leggibile dopo la distribuzione. Per altre informazioni, vedere Consigli sulla sicurezza per i parametri.
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorCCPVersion')]",
"parameters": {
"Username": {
"type": "securestring",
"minLength": 1,
"metadata": {
"description": "Enter the username to connect to your data source."
},
"Password": {
"type": "securestring",
"minLength": 1,
"metadata": {
"description": "Enter the API key, client secret or password required to connect."
}
},
// more deployment template information
}
}
Usare gli oggetti securestring
Infine, il CCF usa gli oggetti credenziali nella sezione connettore dati.
"auth": {
"type": "OAuth2",
"ClientSecret": "[[parameters('Password')]",
"ClientId": "[[parameters('Username')]",
"GrantType": "client_credentials",
"TokenEndpoint": "https://api.contoso.com/oauth/token",
"TokenEndpointHeaders": {
"Content-Type": "application/x-www-form-urlencoded"
},
"TokenEndpointQueryParameters": {
"grant_type": "client_credentials"
}
},
Nota
La sintassi strana per l'oggetto "ClientSecret": "[[parameters('Password')]", credenziale non è un errore di digitazione.
Per creare il modello di distribuzione che usa anche i parametri, è necessario eseguire l'escape dei parametri in tale sezione con un avvio[ aggiuntivo. In questo modo i parametri possono assegnare un valore in base all'interazione dell'utente con il connettore.
Per altre informazioni, vedere Caratteri di escape delle espressioni modello.
Creare il modello di distribuzione
Creare manualmente un pacchetto di un modello di Gestione risorse Azure usando gli esempi di codice modello di esempio come guida. Questi esempi di codice sono divisi per sezioni del modello di Resource Manager che è necessario unire.
Se si sta creando un connettore dati CCF di Google Cloud Platform (GCP), creare un pacchetto del modello di distribuzione usando il modello CCF GCP di esempio. Per informazioni su come compilare il modello CCF GCP, vedere Informazioni di riferimento sulle regole di connessione del connettore dati GCP.
Oltre ai modelli di esempio, le soluzioni pubblicate disponibili nell'hub del contenuto Microsoft Sentinel usano CCF per i connettori dati. Esaminare le soluzioni seguenti come altri esempi di come unire i componenti in un modello di Resource Manager.
RestApiPoller Esempi di connettore dati CCF
- Sicurezza del browser Ermes
- Palo Alto Prisma Cloud CWPP
- Sophos Endpoint Protection
- Workday
- Atlassian Jira
- Okta Single Sign-On
GCP Esempi di connettore dati CCF
Distribuire il connettore
Distribuire il connettore senza codice come modello personalizzato.
Consiglio
Eliminare le risorse create nei passaggi precedenti. La DCR e la tabella personalizzata sono create con la distribuzione. Se queste risorse non vengono rimosse prima della distribuzione, è più difficile verificare il modello.
- Copiare il contenuto del modello di distribuzione arm.
- Seguire le istruzioni per modificare e distribuire i modelli dell'articolo Guida introduttiva: Creare e distribuire modelli di Resource Manager usando il portale di Azure.
Mantenere l'isolamento della rete per l'origine di registrazione
Se l'origine di registrazione richiede l'isolamento della rete, configurare un elenco di indirizzi IP pubblici usati dal CCF.
Azure reti virtuali usano tag di servizio per definire i controlli di accesso alla rete. Per il CCF, il tag del servizio è Scuba.
Per trovare l'intervallo IP corrente associato al tag del servizio Scuba , vedere Usare l'API di individuazione tag di servizio.
Verificare il connettore senza codice
Visualizzare il connettore senza codice nella raccolta di connettori dati. Aprire il connettore dati e completare tutti i parametri di autenticazione necessari per la connessione. Una volta stabilita la connessione, vengono create le tabelle DCR e personalizzate. Visualizzare la risorsa DCR nel gruppo di risorse ed eventuali tabelle personalizzate dall'area di lavoro log analytics.
Nota
L'inserimento dei dati può richiedere fino a 30 minuti.
Esempio
Ogni passaggio della compilazione del connettore senza codice è rappresentato nelle sezioni di esempio seguenti.
- Dati di esempio
- Tabella personalizzata di esempio
- Regola di raccolta dati di esempio
- Definizione dell'interfaccia utente del connettore dati di esempio
- Regole di connessione dati di esempio
- Usare dati di esempio con un modello di esempio
Per illustrare un'origine dati complessa con inserimento in più tabelle, questo esempio include uno schema di tabella di output e un DCR con più flussi di output. Nell'esempio DCR questi elementi vengono combinati con le relative trasformazioni KQL. Gli esempi di definizione dell'interfaccia utente del connettore dati e regole di connessione continuano da questa stessa origine dati di esempio. Infine, il modello di soluzione usa tutti questi componenti di esempio per mostrare end-to-end come creare il connettore dati CCF di esempio.
Dati di esempio
Un'origine dati restituisce il codice JSON seguente durante la connessione al relativo endpoint.
[
{
"ts": "3/6/2023 8:15:15 AM",
"eventType": "Alert",
"deviceMac": "bc:27:c6:21:1c:70",
"clientMac": "",
"srcIp": "10.12.11.106",
"destIp": "121.93.178.13",
"protocol": "tcp/ip",
"priority": "0",
"message": "This is an alert message"
},
{
"ts": "3/6/2023 8:14:54 AM",
"eventType": "File",
"srcIp": "178.175.128.249",
"destIp": "234.113.125.105",
"fileType": "MS_EXE",
"fileSizeBytes": 193688,
"disposition": "Malicious"
}
]
Questa risposta contiene eventTypeavvisi e file. Gli eventi file devono essere inseriti nella tabella standard normalizzata , AsimFileEventLogs, mentre gli eventi di avviso devono essere inseriti in una tabella personalizzata.
Tabella personalizzata di esempio
Per altre informazioni sulla struttura di questa tabella, vedere API Tabelle. I nomi di tabella di log personalizzati devono avere un _CL suffisso.
{
"properties": {
"schema": {
"name": "ExampleConnectorAlerts_CL",
"columns": [
{
"name": "TimeGenerated",
"type": "datetime"
},
{
"name": "SourceIP",
"type": "string"
},
{
"name": "DestIP",
"type": "string"
},
{
"name": "Message",
"type": "string"
},
{
"name": "Priority",
"type": "int"
}
]
}
}
}
Regola di raccolta dati di esempio
Il DCR seguente definisce un singolo flusso Custom-ExampleConnectorInput usando l'origine dati di esempio e trasforma l'output in due tabelle.
- Il primo flusso di dati indirizza
eventType= Alert alla tabella personalizzataExampleConnectorAlerts_CL. - il secondo flusso di dati indirizza
eventType= File alla tabellaASimFileEventLogsstandard normalizzata.
Per altre informazioni sulla struttura di questo esempio, vedere Struttura di una regola di raccolta dati.
Per creare questo DCR in un ambiente di test, seguire l'API Regole raccolta dati. Gli elementi dell'esempio in {{double curly braces}} indicano variabili che richiedono valori per semplificare l'uso con uno strumento di test delle API. Quando si crea questa risorsa nel modello di Resource Manager, le variabili espresse qui vengono scambiate per i parametri.
{
"location": "{{location}}",
"properties": {
"dataCollectionEndpointId": "/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Insights/dataCollectionEndpoints/{{dataCollectionEndpointName}}",
"streamDeclarations": {
"Custom-ExampleConnectorInput": {
"columns": [
{
"name": "ts",
"type": "datetime"
},
{
"name": "eventType",
"type": "string"
},
{
"name": "deviceMac",
"type": "string"
},
{
"name": "clientMac",
"type": "string"
},
{
"name": "srcIp",
"type": "string"
},
{
"name": "destIp",
"type": "string"
},
{
"name": "protocol",
"type": "string"
},
{
"name": "priority",
"type": "string"
},
{
"name": "message",
"type": "string"
},
{
"name": "fileType",
"type": "string"
},
{
"name": "fileSizeBytes",
"type": "int"
},
{
"name": "disposition",
"type": "string"
}
]
}
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{{subscriptionId}}/resourcegroups/{{resourceGroupName}}/providers/microsoft.operationalinsights/workspaces/{{workspaceName}}",
"name": "{{uniqueFriendlyDestinationName}}"
}
]
},
"dataFlows": [
{
"streams": [
"Custom-ExampleConnectorInput"
],
"destinations": [
"{{uniqueFriendlyDestinationName}}"
],
"transformKql": "source | where eventType == \"Alert\" | project TimeGenerated = ts, SourceIP = srcIp, DestIP = destIp, Message = message, Priority = priority \n",
"outputStream": "Custom-ExampleConnectorAlerts_CL"
},
{
"streams": [
"Custom-ExampleConnectorInput"
],
"destinations": [
"{{uniqueFriendlyDestinationName}}"
],
"transformKql": "source | where eventType == \"File\" | project-rename TimeGenerated = ts, EventOriginalType = eventType, SrcIpAddr = srcIp, DstIpAddr = destIp, FileContentType = fileType, FileSize = fileSizeBytes, EventOriginalSeverity = disposition \n",
"outputStream": "Microsoft-ASimFileEventLogs"
}
]
}
}
Definizione dell'interfaccia utente del connettore dati di esempio
Questo esempio si trova nel riferimento alle definizioni del connettore dati.
Regole di connessione del connettore dati di esempio
Questo esempio si trova nel riferimento Connettori dati.
Modello arm di esempio
Compilare il modello di distribuzione arm con la struttura seguente, che include le 4 sezioni dei componenti JSON necessarie per compilare il connettore dati CCF:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"variables": {},
"resources": [],
}
Unire le sezioni con un editor compatibile con JSON come Visual Code per ridurre al minimo gli errori di sintassi, ad esempio virgole, parentesi quadre di chiusura e parentesi.
Per guidare il processo di compilazione del modello, i commenti vengono visualizzati nei metadatidescription o inline con // la notazione di commento. Per altre informazioni, vedere Procedure consigliate per i modelli di Arm - commenti.
Provare a usare arm-ttk (Arm-ttk) per convalidare il modello compilato. Per altre informazioni, vedere arm-ttk.
Modello ARM di esempio - parametri
Per altre informazioni, vedere Parametri nei modelli di Arm.
Avviso
Usare securestring per tutte le password e i segreti negli oggetti leggibili dopo la distribuzione delle risorse.
Per altre informazioni, vedere Proteggere l'input riservato e Consigli sulla sicurezza per i parametri.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"location": {
"type": "string",
"minLength": 1,
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Not used, but needed to pass the arm-ttk test, 'Location-Should-Not-Be-Hardcoded'. Instead the `workspace-location` derived from the log analytics workspace is used."
}
},
"workspace-location": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "[concat('Region to deploy solution resources -- separate from location selection',parameters('location'))]"
}
},
"subscription": {
"defaultValue": "[last(split(subscription().id, '/'))]",
"type": "string",
"metadata": {
"description": "subscription id where Microsoft Sentinel is configured"
}
},
"resourceGroupName": {
"defaultValue": "[resourceGroup().name]",
"type": "string",
"metadata": {
"description": "resource group name where Microsoft Sentinel is configured"
}
},
"workspace": {
"defaultValue": "",
"type": "string",
"metadata": {
"description": "the log analytics workspace enabled for Microsoft Sentinel"
}
}
},
// Next is the variables section here
}
Modello ARM di esempio - variabili
Queste variabili consigliate consentono di semplificare il modello. Usare più o meno in base alle esigenze. Per altre informazioni, vedere Variabili nei modelli di Arm.
"variables": {
"workspaceResourceId": "[resourceId('microsoft.OperationalInsights/Workspaces', parameters('workspace'))]",
"_solutionName": "Solution name", // Enter your solution name
"_solutionVersion": "3.0.0", // must be 3.0.0 or above
"_solutionAuthor": "Contoso", // Enter the name of the author
"_packageIcon": "<img src=\"{LogoLink}\" width=\"75px\" height=\"75px\">", // Enter the http link for the logo. NOTE: This field is only recommended for Azure Global Cloud.
"_solutionId": "azuresentinel.azure-sentinel-solution-azuresentinel.azure-sentinel-MySolution", // Enter a name for your solution with this format but exchange the 'MySolution' portion
"dataConnectorVersionConnectorDefinition": "1.0.0",
"dataConnectorVersionConnections": "1.0.0",
"_solutionTier": "Community", // This designates the appropriate support - all custom data connectors are "Community"
"_dataConnectorContentIdConnectorDefinition": "MySolutionTemplateConnectorDefinition", // Enter a name for the connector
"dataConnectorTemplateNameConnectorDefinition": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnectorDefinition')))]",
"_dataConnectorContentIdConnections": "MySolutionTemplateConnections", // Enter a name for the connections this connector makes
"dataConnectorTemplateNameConnections": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnections')))]",
"_logAnalyticsTableId1": "ExampleConnectorAlerts_CL" // Enter the custom table name - not needed if you are ingesting data into standard tables
// Enter more variables as needed "":""
},
// Next is the resources sections here
Esempio di modello di Resource Manager - Risorse
In questa guida di modello sono disponibili 5 risorse di distribuzione arm che ospitano i 4 componenti di costruzione del connettore dati CCF.
-
contentTemplates (una risorsa padre)
- Metadati
- dataCollectionRules: per altre informazioni, vedere Regola di raccolta dati.
- tables : per altre informazioni, vedere Definizione della tabella di output.
- dataConnectorDefinitions : per altre informazioni, vedere Interfaccia utente del connettore dati.
- Metadati
-
contentTemplates
- Metadati
- RestApiPoller: per altre informazioni, vedere Regole di connessione dati.
- contentPackages
"resources": [
// resource section 1 - contentTemplates
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
"apiVersion": "2023-04-01-preview",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnectorDefinition'), variables('dataConnectorVersionConnectorDefinition'))]",
"location": "[parameters('workspace-location')]",
"dependsOn": [
"[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
],
"properties": {
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnectorDefinition'))]",
"contentKind": "DataConnector",
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorVersionConnectorDefinition')]",
"parameters": {},
"variables": {},
"resources": [
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"kind": "DataConnector",
"version": "[variables('dataConnectorVersionConnectorDefinition')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
},
"dependencies": {
"criteria": [
{
"version": "[variables('dataConnectorVersionConnections')]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector"
}
]
}
}
},
{
"name": "MyDCRV1", // Enter your DCR name
"apiVersion": "2021-09-01-preview",
"type": "Microsoft.Insights/dataCollectionRules",
"location": "[parameters('workspace-location')]",
"kind": null,
"properties":
{
// Enter your DCR properties here.
// Consider using these variables:
// "dataCollectionEndpointId": "[concat('/subscriptions/',parameters('subscription'),'/resourceGroups/',parameters('resourceGroupName'),'/providers/Microsoft.Insights/dataCollectionEndpoints/',parameters('workspace'))]",
// "workspaceResourceId": "[variables('workspaceResourceId')]",
}
},
{
"name": "[variables('_logAnalyticsTableId1')]",
"apiVersion": "2022-10-01",
"type": "Microsoft.OperationalInsights/workspaces/tables",
"location": "[parameters('workspace-location')]",
"kind": null,
"properties":
{
// Enter your log analytics table schema here.
// Consider using this variable for the name property:
// "name": "[variables('_logAnalyticsTableId1')]",
}
}
// Enter more tables if needed.
]
},
"packageKind": "Solution",
"packageVersion": "[variables('_solutionVersion')]",
"packageName": "[variables('_solutionName')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','dc','-', uniqueString(concat(variables('_solutionId'),'-','DataConnector','-',variables('_dataConnectorContentIdConnectorDefinition'),'-', variables('dataConnectorVersionConnectorDefinition'))))]",
"packageId": "[variables('_solutionId')]",
"contentSchemaVersion": "3.0.0",
"version": "[variables('_solutionVersion')]"
}
},
// resource 2 section here
// resource section 2 - dataConnectorDefinitions
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',variables('_dataConnectorContentIdConnectorDefinition'))]",
"apiVersion": "2022-09-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectorDefinitions",
"location": "[parameters('workspace-location')]",
"kind": "Customizable",
"properties":
{
//Enter your data connector definition properties here
//"connectorUiConfig": {
// "graphQueriesTableName": "[variables('_logAnalyticsTableId1')]",
//},
}
},
// resource 3 section here
// resource section 3 - metadata
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"kind": "DataConnector",
"version": "[variables('dataConnectorVersionConnectorDefinition')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
},
"dependencies": {
"criteria": [
{
"version": "[variables('dataConnectorVersionConnections')]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector"
}
]
}
}
},
// resource 4 section here
// resource section 4 - contentTemplates
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
"apiVersion": "2023-04-01-preview",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnections'), variables('dataConnectorVersionConnections'))]",
"location": "[parameters('workspace-location')]",
"dependsOn": [
"[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
],
"properties": {
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnections'))]",
"contentKind": "ResourcesDataConnector",
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorVersionConnections')]",
"parameters":
// These parameters are used by the data connector primarily as properties for the administrator to enter in the UI when configuring the connector
{
"connectorDefinitionName": {
"defaultValue": "connectorDefinitionName",
"type": "string",
"minLength": 1
},
"workspace": {
"defaultValue": "[parameters('workspace')]",
"type": "string"
},
"dcrConfig": {
"defaultValue": {
"dataCollectionEndpoint": "data collection Endpoint",
"dataCollectionRuleImmutableId": "data collection rule immutableId"
},
"type": "object"
}
// Enter additional parameters, for example:
//"domainname": {
// "defaultValue": "domain name",
// "type": "string",
// "minLength": 1
//},
//"apikey": {
// "defaultValue": "",
// "type": "securestring",
// "minLength": 1
//}
},
"variables": {
"_dataConnectorContentIdConnections": "[variables('_dataConnectorContentIdConnections')]"
},
"resources": [
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnections')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectors', variables('_dataConnectorContentIdConnections'))]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector",
"version": "[variables('dataConnectorVersionConnections')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
}
}
},
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', 'MyDataConnector')]", // Replace the last part of the name with your data connector name
// To create several connections using this template, make the name dynamic. For example, use the 'concat' function to add the connector name with a GUID using the 'guid' function.
"apiVersion": "2022-12-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectors",
"location": "[parameters('workspace-location')]",
"kind": "RestApiPoller",
"properties":
{
// Enter your data connector properties here. If you want to use UI parameters remember to escape the parameter like this: "[[parameters('paramName')]"
// Use parameters as needed. For example:
// "dataType": "My product security event API",
// "response": {
// "eventsJsonPaths": [
// "$"
// ],
// "format": "json"
// },
// "paging": {
// "pagingType": "LinkHeader"
// },
// "connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
// "auth": {
// "apiKeyName": "Authorization",
// "ApiKey": "[[parameters('apikey')]",
// "apiKeyIdentifier": "SSWS",
// "type": "APIKey"
//} ,
// "request": {
// "apiEndpoint": "[[concat('https://',parameters('domainname'),'/api/v1/logs')]",
// "rateLimitQPS": 10,
// "queryWindowInMin": 5,
// "httpMethod": "GET",
// "retryCount": 3,
// "timeoutInSeconds": 60,
// "headers": {
// "Accept": "application/json",
// "User-Agent": "My-Data-Source"
// },
// "startTimeAttributeName": "since",
// "endTimeAttributeName": "until"
// },
// "dcrConfig": {
// "dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
// "dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]",
// "streamName": "Custom-ExampleConnectorAlerts_CL" //This input stream should be the same as the inputStream property configured for the DataCollectionRule
// },
// "isActive": true
}
}
]
},
"packageKind": "Solution",
"packageVersion": "[variables('_solutionVersion')]",
"packageName": "[variables('_solutionName')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','rdc','-', uniqueString(concat(variables('_solutionId'),'-','ResourcesDataConnector','-',variables('_dataConnectorContentIdConnections'),'-', variables('dataConnectorVersionConnections'))))]",
"packageId": "[variables('_solutionId')]",
"contentSchemaVersion": "3.0.0",
"version": "[variables('_solutionVersion')]"
}
},
// resource 5 section here
// resource section 5 - contentPackages
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentPackages",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('_solutionId'))]",
"location": "[parameters('workspace-location')]",
"apiVersion": "2023-04-01-preview",
"properties": {
"version": "[variables('_solutionVersion')]",
"kind": "Solution",
"contentSchemaVersion": "3.0.0",
"contentId": "[variables('_solutionId')]",
"source": {
"kind": "Solution",
"name": "[variables('_solutionName')]",
"sourceId": "[variables('_solutionId')]"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]"
},
"dependencies": {
"operator": "AND",
"criteria": [
{
"kind": "DataConnector",
"contentId": "[variables('dataConnectorVersionConnectorDefinition')]",
"version": "[variables('_dataConnectorContentIdConnectorDefinition')]"
}
]
},
"firstPublishDate": "2023-12-05",
"providers": [
"[variables('_solutionAuthor')]"
],
"contentKind": "Solution",
"packageId": "[variables('_solutionId')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','sl','-', uniqueString(concat(variables('_solutionId'),'-','Solution','-',variables('_solutionId'),'-', variables('_solutionVersion'))))]",
"displayName": "[variables('_solutionName')]",
"publisherDisplayName": "[variables('_solutionId')]",
"descriptionHtml": "test",
"icon": "[variables('_packageIcon')]"
}
}
// that's the end!
]
}
Contenuto correlato
Per ulteriori informazioni, vedere