Konfigurera din Azure Storage-anslutningsapp för att strömma loggar till Microsoft Sentinel

Anslutningsappen Azure Storage Blob förenklar insamling av loggar från Azure Storage. Det gör att ISV:er och användare kan skapa skalbara anslutningsappar ovanpå Azure Storage-integreringar via det fullständigt hanterade Codeless Connector Framework (CCF).

Den här artikeln sammanfattar anslutningsresurserna och innehåller steg för att skapa och verifiera din första Azure Storage-anslutningsapp.

Förhandskrav

Kontrollera att du har följande innan du börjar:

  • Ett Azure Storage-konto med hierarkiskt namnområde aktiverat (Azure Data Lake Storage Gen2) och en container som innehåller loggfilerna.
  • En Microsoft Sentinel arbetsyta med en Microsoft Sentinel deltagare eller högre roll för att skapa dataanslutningar.
  • Rollbehörigheter för ägare eller EventGrid-deltagare på lagringskontot för att skapa Event Grid-systemämnen och -prenumerationer.

Obs!

Kontrollera att resursprovidern Microsoft.EventGrid är registrerad i prenumerationen som innehåller lagringskontot.

Översikt över anslutningsresurs

Azure Storage Blob-anslutningsappen använder en köbaserad blobpekarmodell för att prenumerera på blob-skapade händelser i ditt lagringskonto. En Event Grid-systemämnesprenumeration lyssnar efter aktivitet för att skapa blobar och push-överför händelser, baserat på konfigurerbara filtreringsvillkor, till en Azure Storage-kö. Flera anslutningsinstanser kan mata in från samma container samtidigt som filer efter mapp och filmönster omfångssätts. Du kan styra filtreringen via portalen eller ARM-mallen för anslutningsappen genom att ange blobprefix- och suffixmönster.

Ett diagram som visar Azure Storage Blob Connector-arkitekturen, inklusive blob-skapade händelser, Event Grid, lagringskö och Microsoft Sentinel inmatningsflöde.

Anslutningsappen för Microsoft Sentinel:

  • Avsöker Azure Storage-kön efter blob-skapade meddelanden.
  • Hämtar filer från Azure Storage Blob-containern baserat på sökvägen i kömeddelandet.
  • Tar bort kömeddelandet efter vidarebefordran.

Anslutningsappen autentiserar till lagringskontot med hjälp av ett huvudnamn för tjänsten som är tillgängligt för anslutningsprogrammet. Information om program-ID:n per moln och det fullständiga mallschemat finns i API-referensen Azure Storage Blob Connectors. Använd ARM-mallautomatiseringen för att kontrollera att tjänstens huvudnamn finns och tillämpa de rolltilldelningar som krävs på lagringskontot.

Skapa ett Azure Storage Blob-anslutningsprogram

  1. Granska och anpassa ARM-exempelmallen i API-referensen för Azure Storage Blob Connectors. Ange containernamn, könamn (om det inte skapas automatiskt), blobprefix/suffixfilter och måltabellmappning.
  2. Distribuera mallen genom att följa Skapa en kodlös anslutningsapp för Microsoft Sentinel. Se till att distributionsomfånget matchar lagringskontot och Microsoft Sentinel arbetsytan.
  3. Efter distributionen bekräftar du att anslutningsinstansen har skapats i Microsoft Sentinel och att Status för Event Grid-prenumerationen är Felfri.

Verifiera anslutningsappen

  • Ladda upp en exempelfil som matchar ditt prefix/suffixfilter och bekräfta att kömeddelanden skapas och används.
  • Kontrollera inmatningen i måltabellen i Microsoft Sentinel och sök efter fel på bladet för anslutningstjänstens hälsotillstånd.
  • Om du använder nätverksbegränsningar kontrollerar du att de anslutningshanterade resurserna kan nå blob- och köslutpunkterna.

Felsökning

Felsökningssteg finns i Felsöka problem med Azure Storage Blob Connector.

Relaterat innehåll

  • Last updated on