Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il connettore BLOB di archiviazione Azure semplifica la raccolta dei log dall'archiviazione Azure. Consente agli ISV e agli utenti di creare connettori scalabili oltre alle integrazioni di archiviazione Azure tramite Codeless Connector Framework (CCF) completamente gestito.
Questo articolo riepiloga le risorse del connettore e illustra i passaggi per creare e convalidare il primo connettore di archiviazione Azure.
Prerequisiti
Prima di iniziare, assicurarsi di avere:
- Un account di archiviazione Azure con spazio dei nomi gerarchico abilitato (Azure Data Lake Storage Gen2) e un contenitore che contiene i file di log.
- Un'area di lavoro Microsoft Sentinel con un ruolo collaboratore Microsoft Sentinel o superiore per creare connettori dati.
- Autorizzazioni del ruolo Proprietario o Collaboratore EventGrid per l'account di archiviazione per creare sottoscrizioni e argomenti di sistema di Griglia di eventi.
Nota
Assicurarsi che il provider di risorse Microsoft.EventGrid sia registrato nella sottoscrizione che contiene l'account di archiviazione.
Panoramica delle risorse del connettore
Il connettore BLOB di archiviazione Azure usa un modello di puntatore BLOB basato su coda per sottoscrivere eventi creati da BLOB nell'account di archiviazione. Una sottoscrizione dell'argomento di sistema griglia di eventi è in ascolto dell'attività di creazione del BLOB ed esegue il push degli eventi, in base a criteri di filtro configurabili, in una coda di archiviazione Azure. Più istanze del connettore possono inserire dallo stesso contenitore durante l'ambito dei file in base alla cartella e al modello di file. È possibile controllare il filtro tramite il portale o il modello arm del connettore impostando modelli di prefisso e suffisso BLOB.
Connettore Microsoft Sentinel:
- Esegue il polling della coda di archiviazione Azure per i messaggi creati da BLOB.
- Recupera i file dal contenitore BLOB di archiviazione Azure in base al percorso nel messaggio della coda.
- Elimina il messaggio della coda dopo aver completato l'inoltro.
Il connettore esegue l'autenticazione all'account di archiviazione usando un'entità servizio accessibile all'applicazione connettore. Per gli ID applicazione per cloud e lo schema del modello completo, vedere le informazioni di riferimento sull'API connettori BLOB di archiviazione Azure. Usare l'automazione del modello arm per verificare che l'entità servizio esista e per applicare le assegnazioni di ruolo necessarie nell'account di archiviazione.
Creare un connettore BLOB di archiviazione Azure
- Esaminare e adattare il modello arm di esempio nel riferimento api connettori BLOB di archiviazione Azure. Impostare il nome del contenitore, il nome della coda (se non creato automaticamente), i filtri di prefisso/suffisso BLOB e il mapping della tabella di destinazione.
- Distribuire il modello seguendo Creare un connettore senza codice per Microsoft Sentinel. Verificare che l'ambito di distribuzione corrisponda all'account di archiviazione e Microsoft Sentinel'area di lavoro.
- Dopo la distribuzione, verificare che l'istanza del connettore sia stata creata in Microsoft Sentinel e che lo stato della sottoscrizione di Griglia di eventi sia Integro.
Convalidare il connettore
- Caricare un file di esempio corrispondente al filtro prefisso/suffisso e verificare che i messaggi della coda vengano creati e utilizzati.
- Verificare l'inserimento nella tabella di destinazione in Microsoft Sentinel e verificare la presenza di errori nel pannello integrità del connettore.
- Se si usano restrizioni di rete, verificare che le risorse gestite dal connettore possano raggiungere gli endpoint BLOB e di coda.
Risoluzione dei problemi
Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi del connettore BLOB di archiviazione Azure.