Configurar o conector de Armazenamento do Azure para transmitir registos para Microsoft Sentinel

O conector de Blobs de Armazenamento Azure simplifica a recolha de registos do Armazenamento Azure. Permite que os ISVs e os utilizadores criem conectores dimensionáveis para além das integrações do Armazenamento Azure através do CcF (Codeless Connector Framework) totalmente gerido.

Este artigo resume os recursos do conector e fornece passos para criar e validar o seu primeiro conector de armazenamento Azure.

Pré-requisitos

Antes de começar, certifique-se de que tem:

  • Uma conta de Armazenamento Azure com o espaço de nomes hierárquico ativado (Azure Data Lake Storage Gen2) e um contentor que contém os ficheiros de registo.
  • Uma área de trabalho Microsoft Sentinel com uma função contribuidor Microsoft Sentinel ou superior para criar conectores de dados.
  • Permissões da função Proprietário ou Contribuidor do EventGrid na conta de armazenamento para criar tópicos e subscrições do sistema do Event Grid.

Observação

Confirme que o fornecedor de recursos Microsoft.EventGrid está registado na subscrição que contém a conta de armazenamento.

Descrição geral do recurso do conector

O conector Azure Blob de Armazenamento utiliza um modelo de ponteiro de blobs baseado em filas para subscrever eventos criados por blobs na sua conta de armazenamento. Uma subscrição de tópico de sistema do Event Grid escuta a atividade de criação de blobs e envia eventos, com base em critérios de filtragem configuráveis, para uma fila de Armazenamento Azure. Várias instâncias de conectores podem ingerir a partir do mesmo contentor enquanto âmbito ficheiros por pasta e padrão de ficheiro. Pode controlar a filtragem através do portal ou do modelo arm do conector ao definir padrões de prefixo de blobs e sufixos.

Um diagrama que mostra a arquitetura do conector do Blob de Armazenamento Azure, incluindo eventos criados por blobs, Event Grid, fila de armazenamento e fluxo de ingestão de Microsoft Sentinel.

O conector Microsoft Sentinel:

  • Consulta a fila de Armazenamento do Azure para obter mensagens criadas por blobs.
  • Obtém ficheiros do Azure contentor de Blobs de Armazenamento com base no caminho na mensagem da fila.
  • Elimina a mensagem da fila após o reencaminhamento com êxito.

O conector autentica-se na Conta de Armazenamento através de um principal de serviço acessível à aplicação do conector. Para os IDs da aplicação por cloud e o esquema de modelo completo, veja a referência da API dos conectores de Blobs de Armazenamento Azure. Utilize a automatização de modelos do ARM para verificar se o principal de serviço existe e para aplicar as atribuições de funções necessárias na conta de armazenamento.

Criar um conector de Blobs de Armazenamento Azure

  1. Reveja e adapte o modelo arm de exemplo na referência da API dos conectores de Blobs de Armazenamento Azure. Defina o nome do contentor, o nome da fila (se não for criado automaticamente), os filtros de prefixo/sufixo de blobs e o mapeamento da tabela de destino.
  2. Implemente o modelo ao seguir Criar um conector sem código para Microsoft Sentinel. Certifique-se de que o âmbito de implementação corresponde à conta de armazenamento e Microsoft Sentinel área de trabalho.
  3. Após a implementação, confirme que a instância do conector é criada no Microsoft Sentinel e se a subscrição do Event Grid status está em bom estado de funcionamento.

Validar o conector

  • Carregue um ficheiro de exemplo que corresponda ao filtro de prefixo/sufixo e confirme que as mensagens de fila são criadas e consumidas.
  • Verifique a ingestão na tabela de destino no Microsoft Sentinel e marcar erros no painel de estado de funcionamento do conector.
  • Se utilizar restrições de rede, confirme que os recursos geridos pelo conector podem aceder aos pontos finais de blob e fila.

Solução de problemas

Para obter os passos de resolução de problemas, veja Resolver problemas do conector do Blob de Armazenamento Azure.

Conteúdo relacionado

  • Last updated on