Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Hvis du vil opprette en Azure Storage Blob-datakobling med Codeless Connector Framework (CCF), bruker du denne referansen i tillegg til artikkelen Microsoft Sentinel REST-API for datakoblinger.
Hver dataConnector av dem representerer en bestemt tilkobling til en Microsoft Sentinel datakobling. Én datakobling kan ha flere tilkoblinger, som henter data fra forskjellige endepunkter. JSON-konfigurasjonen som er bygget ved hjelp av dette referansedokumentet, brukes til å fullføre distribusjonsmalen for CCF-datakoblingen.
Hvis du vil ha mer informasjon, kan du se Opprette en kodeløs kobling for Microsoft Sentinel.
Bygg Azure Storage Blob CCF-datakoblingen
Forenkle utviklingen av tilkoblingen av datakilden Azure Storage Blob med en eksempel på distribusjonsmal for Lagringsblob CCF-datakobling. Hvis du vil ha mer informasjon , kan du se CCF-mal for Connector StorageBlob.
Med de fleste delene av distribusjonsmalen fylt ut, trenger du bare å bygge de to første komponentene, utdatatabellen og DCR. Hvis du vil ha mer informasjon, kan du se avsnittene Definisjon av utdatatabell og Datainnsamlingsregel (DCR ).
Datakoblinger – Opprett eller oppdater
Referer til opprettings- eller oppdateringsoperasjonen i REST-API-dokumentene for å finne den nyeste stabile API-versjonen eller forhåndsversjonen av API-en. Forskjellen mellom opprettingen og oppdateringsoperasjonen er at oppdateringen krever etag-verdien .
PUT-metode
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametere
Hvis du vil ha mer informasjon om den nyeste API-versjonen, kan du se Datakoblinger – Opprette eller oppdatere URI-parametere.
| Navn | Beskrivelse |
|---|---|
| dataConnectorId | Datakoblings-IDen må være et unikt navn og er den samme som parameteren name i forespørselsteksten. |
| resourceGroupName | Navnet på ressursgruppen skiller ikke mellom store og små bokstaver. |
| subscriptionId | ID-en for målabonnementet. |
| workspaceName |
Navnet på arbeidsområdet, ikke ID-en. Regex-mønster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-versjon | API-versjonen som skal brukes for denne operasjonen. |
Forespørselstekst
Forespørselsteksten for en StorageAccountBlobContainer CCF-datakobling har følgende struktur:
{
"name": "{{dataConnectorId}}",
"kind": "StorageAccountBlobContainer",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": {},
"response": {}
}
}
StorageAccountBlobContainer
StorageAccountBlobContainer representerer en CCF-datakobling der de forventede nyttelastene for respons for datakilden for Azure Storage Blob allerede er konfigurert. Konfigurering av produsenten til å sende data til Lagringsblob må gjøres separat.
| Navn | Obligatorisk | Type: | Beskrivelse |
|---|---|---|---|
| navn | Sant | Streng | Det unike navnet på tilkoblingen som samsvarer med URI-parameteren |
| Type | Sant | Streng | Må være StorageAccountBlobContainer |
| Etag | GUID | La stå tom for oppretting av nye koblinger. For oppdateringsoperasjoner må etag samsvare med den eksisterende koblingens etag (GUID). | |
| Egenskaper. connectorDefinitionName | Streng | Navnet på DataConnectorDefinition-ressursen som definerer grensesnittkonfigurasjonen for datakoblingen. Hvis du vil ha mer informasjon, kan du se Definisjon av datakobling. | |
| Egenskaper. Auth | Sant | Nestet JSON | Beskriver legitimasjonen for inntak Azure Storage Blob-data. Hvis du vil ha mer informasjon, kan du se godkjenningskonfigurasjon. |
| Egenskaper. Forespørsel | Sant | Nestet JSON | Beskriver Azure Lagringskøer som mottar blobopprettede hendelser i omfang. Hvis du vil ha mer informasjon, kan du se konfigurasjon av forespørsler. |
| Egenskaper. dcrConfig | Nestet JSON | Nødvendige parametere når dataene sendes til en datainnsamlingsregel (DCR). Hvis du vil ha mer informasjon, kan du se DCR-konfigurasjon. | |
| Egenskaper. Svar | Sant | Nestet JSON | Beskriver svarobjektet og den nestede meldingen som returneres fra API-en når du henter dataene. Hvis du vil ha mer informasjon, kan du se svarkonfigurasjonen. |
Godkjenningskonfigurasjon
Azure Storage Blob-koblingen er avhengig av en tjenestekontohaver som er opprettet i leieren, knyttet til et Microsoft-administrert flertenantprogram (plantegning for tjenestekontohaver). Leieradministratoren må gi samtykke for å opprette denne tjenestekontohaveren. ARM-malen gir mulighet til å bekrefte om tjenestekontohaveren som er knyttet til programmet, allerede finnes i leieren, og hvis ikke, gir du et alternativ for å opprette tjenestekontohaveren med brukerens samtykke.
Arm-maleksemplet inneholder operasjoner for å bruke all nødvendig rollebasert tilgang på lagringskontoen for å lese blober og bidra til køer. Kontroller at malen og tjenestekontohaverne som brukes, er knyttet til programmet for miljøet ditt, og at leieradministratorsamtykke er gitt.
Tabellen nedenfor viser program-ID-ene per Azure miljøet:
| Azure miljø | ApplicationId |
|---|---|
| AzureCloud | 4f05ce56-95b6-4612-9d98-a45c8cc33f9f |
Eksempel på godkjenning av StorageAccountBlobContainer:
"auth": {
"type": "ServicePrincipal"
}
Be om konfigurasjon
Forespørselsdelen beskriver Azure Lagringskøer som mottar blobopprettede hendelsesmeldinger.
| Felt | Obligatorisk | Type: | Beskrivelse |
|---|---|---|---|
| QueueUri | Sant | Streng | URI-en til Azure Storage-køen som mottar blobopprettede hendelser. |
| DlqUri | Sant | Streng | URI-en til den døde bokstavkøen for mislykkede meldinger. |
Eksempel på StorageAccountBlobContainer-forespørsel:
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
Svarkonfigurasjon
Definer svarbehandlingen for datakoblingen med følgende parametere:
| Felt | Obligatorisk | Type: | Beskrivelse |
|---|---|---|---|
| EventsJsonPaths | Sant | Liste over strenger | Definerer banen til meldingen i svaret JSON. Et JSON-baneuttrykk angir en bane til et element, eller et sett med elementer, i en JSON-struktur. |
| IsGzipKomprimert | Boolsk | Bestemmer om svaret er komprimert i en gzip-fil. | |
| Format | Sant | Streng |
json, csv, xmleller parquet |
| CompressionAlgo | Streng | Komprimeringsalgoritmen, enten multi-gzip eller deflate. Konfigurer IsGzipCompressed til i stedet for å True angi en verdi for denne parameteren for gzip-komprimering. |
|
| CsvDelimiter | Streng | Hvis svarformatet er CSV og du vil endre standard CSV-skilletegn for ,. |
|
| HasCsvBoundary | Boolsk | Angir om CSV-dataene har en grense. | |
| HasCsvHeader | Boolsk | Angir om CSV-dataene har en topptekst. Standard er: True. |
|
| CsvEscape | Streng | Escape-tegn for en feltgrense. Standard er: ". En CSV med overskrifter id,name,avg og en rad med data som 1,"my name",5.5 inneholder mellomrom, krever " for eksempel feltgrensen. |
Obs!
CSV-formattypen analyseres etter RFC 4180-spesifikasjonen .
Eksempler på svarkonfigurasjon
Ukomprimert JSON:
"response": {
"EventsJsonPaths": ["$"],
"format": "json"
}
Komprimert CSV:
"response": {
"EventsJsonPaths": ["$"],
"format": "csv",
"IsGzipCompressed": true
}
Parquet (komprimering kan utledes):
"response": {
"EventsJsonPaths": ["$"],
"format": "parquet"
}
DCR-konfigurasjon
| Felt | Obligatorisk | Type: | Beskrivelse |
|---|---|---|---|
| DataCollectionEndpoint | Sant | Streng | DCE (Data Collection Endpoint), for eksempel: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Sant | Streng | Dcr uforanderlig ID. Finn den ved å vise DCR-opprettingssvaret eller ved hjelp av DCR-API-en. |
| StreamName | Sant | Streng | Denne verdien er definert streamDeclaration i DCR (prefikset må begynne med Custom-). |
Eksempel på CCF-datakobling
Her er et eksempel på alle komponentene i CCF-datakoblingen StorageAccountBlobContainer JSON sammen.
{
"kind": "StorageAccountBlobContainer",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"auth": {
"type": "ServicePrincipal"
},
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
}
}
Hvis du vil ha mer informasjon, kan du se Eksempel på OPPRETT REST-API for datakobling.