Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u een GCP-gegevensconnector (Google Cloud Platform) wilt maken met het Codeless Connector Framework (CCF), gebruikt u deze verwijzing als aanvulling op de documenten Microsoft Sentinel REST API voor gegevensconnectors.
Elk dataConnector vertegenwoordigt een specifieke verbinding van een Microsoft Sentinel-gegevensconnector. Eén gegevensconnector kan meerdere verbindingen hebben, waarmee gegevens van verschillende eindpunten worden opgehaald. De JSON-configuratie die is gebouwd met behulp van dit referentiedocument, wordt gebruikt om de implementatiesjabloon voor de CCF-gegevensconnector te voltooien.
Zie Een connector zonder code maken voor Microsoft Sentinel voor meer informatie.
De GCP CCF-gegevensconnector bouwen
Vereenvoudig de ontwikkeling van het verbinden van uw GCP-gegevensbron met een voorbeeldsjabloon voor de implementatie van de GCP CCF-gegevensconnector.
Nu de meeste secties van de implementatiesjabloon zijn ingevuld, hoeft u alleen de eerste twee onderdelen te bouwen, de uitvoertabel en de DCR. Zie de secties Definitie van uitvoertabel en DCR (Data Collection Rule) voor meer informatie.
Gegevensconnectors - Maken of bijwerken
Raadpleeg de bewerking Maken of Bijwerken in de REST API-documenten om de nieuwste stabiele of preview-API-versie te vinden. Het verschil tussen de bewerking maken en bijwerken is dat de update de etag-waarde vereist.
PUT-methode
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parameters
Zie Gegevensconnectors - URI-parameters maken of bijwerken voor meer informatie over de nieuwste API-versie.
| Naam | Beschrijving |
|---|---|
| dataConnectorId | De gegevensconnector-id moet een unieke naam zijn en moet gelijk zijn aan de name parameter in de aanvraagbody. |
| resourceGroupName | De naam van de resourcegroep, niet hoofdlettergevoelig. |
| subscriptionId | De id van het doelabonnement. |
| workspaceName | De naam van de werkruimte, niet de id. Regex-patroon: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-versie | De API-versie die voor deze bewerking moet worden gebruikt. |
Aanvraagtekst
De aanvraagtekst voor een GCP CCF-gegevensconnector heeft de volgende structuur:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP vertegenwoordigt een CCF-gegevensconnector waarin de nettoladingen voor paging en verwachte antwoorden voor uw GCP-gegevensbron (Google Cloud Platform) al zijn geconfigureerd. Het configureren van uw GCP-service voor het verzenden van gegevens naar een GCP Pub/Sub moet afzonderlijk worden uitgevoerd. Zie Bericht publiceren in pub/suboverzicht voor meer informatie.
| Naam | Vereist | Type | Beschrijving |
|---|---|---|---|
| Naam | Waar | tekenreeks | De unieke naam van de verbinding die overeenkomt met de URI-parameter |
| Soort | Waar | tekenreeks | Moet GCP |
| etag | GUID | Laat leeg voor het maken van nieuwe connectors. Voor updatebewerkingen moet de etag overeenkomen met de etag (GUID) van de bestaande connector. | |
| properties.connectorDefinitionName | tekenreeks | De naam van de DataConnectorDefinition-resource die de ui-configuratie van de gegevensconnector definieert. Zie Definitie van gegevensconnector voor meer informatie. | |
| Eigenschappen. Auth | Waar | Geneste JSON | Beschrijft de referenties voor het pollen van de GCP-gegevens. Zie Verificatieconfiguratie voor meer informatie. |
| Eigenschappen. Verzoek | Waar | Geneste JSON | Beschrijft de GCP-project-id en het GCP-abonnement voor het pollen van de gegevens. Zie Aanvraagconfiguratie voor meer informatie. |
| Eigenschappen. dcrConfig | Geneste JSON | Vereiste parameters wanneer de gegevens worden verzonden naar een regel voor gegevensverzameling (DCR). Zie DCR-configuratie voor meer informatie. |
Verificatieconfiguratie
Verificatie naar GCP van Microsoft Sentinel maakt gebruik van een GCP Pub/Sub. U moet de verificatie afzonderlijk configureren. Gebruik hier de Terraform-scripts. Zie GCP Pub/Sub-verificatie van een andere cloudprovider voor meer informatie.
Als best practice gebruikt u parameters in de verificatiesectie in plaats van referenties vast te coderen. Zie Vertrouwelijke invoer beveiligen voor meer informatie.
Als u de implementatiesjabloon wilt maken die ook parameters gebruikt, moet u de parameters in deze sectie laten ontsnappen met een extra start [. Hierdoor kunnen de parameters een waarde toewijzen op basis van de interactie van de gebruiker met de connector. Zie Escape-tekens voor sjabloonexpressies voor meer informatie.
Als u wilt dat de referenties vanuit de gebruikersinterface worden ingevoerd, vereist instructions de connectorUIConfig sectie met de gewenste parameters. Zie Naslaginformatie over gegevensconnectordefinities voor het Codeless Connector Framework voor meer informatie.
GCP-verificatievoorbeeld:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
Aanvraagconfiguratie
De aanvraagsectie vereist de projectId en subscriptionNames van de GCP Pub/Sub.
Voorbeeld van GCP-aanvraag:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR-configuratie
| Veld | Vereist | Type | Beschrijving |
|---|---|---|---|
| DataCollectionEndpoint | Waar | Tekenreeks | DCE (Eindpunt voor gegevensverzameling) bijvoorbeeld: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Waar | Tekenreeks | De onveranderbare DCR-id. U kunt deze vinden door het DCR-antwoord voor maken weer te geven of de DCR-API te gebruiken |
| StreamName | Waar | tekenreeks | Deze waarde is de streamDeclaration waarde die is gedefinieerd in de DCR (voorvoegsel moet beginnen met Aangepast-) |
Voorbeeld van CCF-gegevensconnector
Hier volgt een voorbeeld van alle onderdelen van de JSON van de GCP CCF-gegevensconnector.
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
Zie Rest API-voorbeeld van GCP-gegevensconnector maken voor meer informatie.