Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Hvis du vil opprette en Google Cloud Platform (GCP)-datakobling med Codeless Connector Framework (CCF), kan du bruke denne referansen som et tillegg til Microsoft Sentinel REST-API for Data Connectors-dokumenter.
Hver dataConnector av dem representerer en bestemt tilkobling til en Microsoft Sentinel datakobling. Én datakobling kan ha flere tilkoblinger, som henter data fra forskjellige endepunkter. JSON-konfigurasjonen som er bygget ved hjelp av dette referansedokumentet, brukes til å fullføre distribusjonsmalen for CCF-datakoblingen.
Hvis du vil ha mer informasjon, kan du se Opprette en kodeløs kobling for Microsoft Sentinel.
Bygg GCP CCF-datakoblingen
Forenkle utviklingen av tilkobling av GCP-datakilden med en eksempelmal for distribusjon av GCP CCF-datakobling.
Med de fleste delene av distribusjonsmalen fylt ut, trenger du bare å bygge de to første komponentene, utdatatabellen og DCR. Hvis du vil ha mer informasjon, kan du se avsnittene Definisjon av utdatatabell og Datainnsamlingsregel (DCR ).
Datakoblinger – Opprett eller oppdater
Referer til opprettings- eller oppdateringsoperasjonen i REST-API-dokumentene for å finne den nyeste stabile API-versjonen eller forhåndsversjonen av API-en. Forskjellen mellom opprettingen og oppdateringsoperasjonen er at oppdateringen krever etag-verdien .
PUT-metode
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametere
Hvis du vil ha mer informasjon om den nyeste API-versjonen, kan du se Datakoblinger – Opprette eller oppdatere URI-parametere.
| Navn | Beskrivelse |
|---|---|
| dataConnectorId | Datakoblings-IDen må være et unikt navn og er den samme som parameteren name i forespørselsteksten. |
| resourceGroupName | Navnet på ressursgruppen skiller ikke mellom store og små bokstaver. |
| subscriptionId | ID-en for målabonnementet. |
| workspaceName |
Navnet på arbeidsområdet, ikke ID-en. Regex-mønster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-versjon | API-versjonen som skal brukes for denne operasjonen. |
Forespørselstekst
Forespørselsteksten for en GCP CCF-datakobling har følgende struktur:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP representerer en CCF-datakobling der sideveksling og forventede nyttelaster for svar for Datakilden for Google Cloud Platform (GCP) allerede er konfigurert. Konfigurering av GCP-tjenesten til å sende data til en GCP Pub/Sub må gjøres separat. Hvis du vil ha mer informasjon, kan du se Pub/Sub-oversikt.
| Navn | Obligatorisk | Type: | Beskrivelse |
|---|---|---|---|
| navn | Sant | Streng | Det unike navnet på tilkoblingen som samsvarer med URI-parameteren |
| Type | Sant | Streng | Må være GCP |
| Etag | GUID | La stå tom for oppretting av nye koblinger. For oppdateringsoperasjoner må etag samsvare med den eksisterende koblingens etag (GUID). | |
| properties.connectorDefinitionName | Streng | Navnet på DataConnectorDefinition-ressursen som definerer grensesnittkonfigurasjonen for datakoblingen. Hvis du vil ha mer informasjon, kan du se Definisjon av datakobling. | |
| Egenskaper. Auth | Sant | Nestet JSON | Beskriver legitimasjonen for avspørring av GCP-dataene. Hvis du vil ha mer informasjon, kan du se godkjenningskonfigurasjon. |
| Egenskaper. Forespørsel | Sant | Nestet JSON | Beskriver GCP-prosjekt-ID- og GCP-abonnementet for avspørring av dataene. Hvis du vil ha mer informasjon, kan du se konfigurasjon av forespørsler. |
| Egenskaper. dcrConfig | Nestet JSON | Nødvendige parametere når dataene sendes til en datainnsamlingsregel (DCR). Hvis du vil ha mer informasjon, kan du se DCR-konfigurasjon. |
Godkjenningskonfigurasjon
Godkjenning til GCP fra Microsoft Sentinel bruker en GCP Pub/Sub. Du må konfigurere godkjenningen separat. Bruk Terraform-skriptene her. Hvis du vil ha mer informasjon, kan du se GCP Pub/Sub-godkjenning fra en annen skyleverandør.
Som en anbefalt fremgangsmåte kan du bruke parametere i godkjenningsdelen i stedet for hardkodingslegitimasjon. Hvis du vil ha mer informasjon, kan du se Sikre konfidensielle inndata.
Hvis du vil opprette distribusjonsmalen som også bruker parametere, må du fjerne parameterne i denne inndelingen med en ekstra start [. Dette gjør at parameterne kan tilordne en verdi basert på brukersamhandlingen med koblingen. Hvis du vil ha mer informasjon, kan du se Escape-tegn for maluttrykk.
Hvis du vil at legitimasjonen skal angis fra brukergrensesnittet, krever instructions inndelingen connectorUIConfig de ønskede parameterne. Hvis du vil ha mer informasjon, kan du se definisjonsreferansen for Data connector for Codeless Connector Framework.
GCP-godkjenningseksempel:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
Be om konfigurasjon
Forespørselsdelen krever projectId og subscriptionNames fra GCP Pub/Sub.
Eksempel på GCP-forespørsel:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR-konfigurasjon
| Felt | Obligatorisk | Type: | Beskrivelse |
|---|---|---|---|
| DataCollectionEndpoint | Sant | Streng | DCE (datainnsamlingsendepunkt) for eksempel: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Sant | Streng | Dcr uforanderlig ID. Finn den ved å vise DCR-opprettingssvaret eller ved hjelp av DCR-API-en |
| StreamName | Sant | Streng | Denne verdien er definert streamDeclaration i DCR (prefikset må begynne med Custom-) |
Eksempel på CCF-datakobling
Her er et eksempel på alle komponentene i CCF-datakoblingen GCP JSON sammen.
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
Hvis du vil ha mer informasjon, kan du se eksemplet opprett GCP-datakobling for REST-API.