Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Om du vill skapa en Azure Storage Blob-dataanslutning med Codeless Connector Framework (CCF) använder du den här referensen utöver artikeln Microsoft Sentinel REST API for Data Connectors.
Var dataConnector och en representerar en specifik anslutning för en Microsoft Sentinel dataanslutning. En dataanslutning kan ha flera anslutningar som hämtar data från olika slutpunkter. JSON-konfigurationen som skapats med det här referensdokumentet används för att slutföra distributionsmallen för CCF-dataanslutningen.
Mer information finns i Skapa en kodlös anslutningsapp för Microsoft Sentinel.
Skapa Azure Storage Blob CCF-dataanslutningsappen
Förenkla utvecklingen av att ansluta din Azure Storage Blob-datakälla med en exempeldistributionsmall för Storage Blob CCF-dataanslutningsappen. Mer information finns i mallen StorageBlob CCF för anslutningsprogram.
När de flesta avsnitten för distributionsmallen är ifyllda behöver du bara skapa de två första komponenterna, utdatatabellen och DCR. Mer information finns i avsnitten Definition av utdatatabell och Datainsamlingsregel (DCR).
Dataanslutningsprogram – Skapa eller uppdatera
Referera till åtgärden Skapa eller uppdatera i REST API-dokumenten för att hitta den senaste stabila api-versionen eller förhandsversionen av API:et. Skillnaden mellan åtgärden skapa och uppdatera är att uppdateringen kräver etag-värdet .
PUT-metod
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametrar
Mer information om den senaste API-versionen finns i Dataanslutningsprogram – Skapa eller uppdatera URI-parametrar.
| Namn | Beskrivning |
|---|---|
| dataConnectorId | ID:t för dataanslutningsappen måste vara ett unikt namn och är samma som parametern name i begärandetexten. |
| resourceGroupName | Namnet på resursgruppen, inte skiftlägeskänsligt. |
| subscriptionId | ID för målprenumerationen. |
| workspaceName |
Namnet på arbetsytan, inte ID:t. Regex-mönster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-version | DEN API-version som ska användas för den här åtgärden. |
Frågebrödtext
Begärandetexten för en StorageAccountBlobContainer CCF-dataanslutning har följande struktur:
{
"name": "{{dataConnectorId}}",
"kind": "StorageAccountBlobContainer",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": {},
"response": {}
}
}
StorageAccountBlobContainer
StorageAccountBlobContainer representerar en CCF-dataanslutning där de förväntade svarsnyttolasterna för din Azure Storage Blob-datakälla redan har konfigurerats. Du måste konfigurera din producent för att skicka data till Storage Blob separat.
| Namn | Obligatoriskt | Typ | Beskrivning |
|---|---|---|---|
| Namn | Sant | sträng | Det unika namnet på anslutningen som matchar URI-parametern |
| Typ | Sant | sträng | Måste vara StorageAccountBlobContainer |
| Etag | GUID | Lämna tomt för att skapa nya anslutningsappar. För uppdateringsåtgärder måste etag matcha den befintliga anslutningsappens etag (GUID). | |
| Egenskaper. connectorDefinitionName | sträng | Namnet på den DataConnectorDefinition-resurs som definierar UI-konfigurationen för dataanslutningen. Mer information finns i Definition av dataanslutningsapp. | |
| Egenskaper. Auth | Sant | Kapslad JSON | Beskriver autentiseringsuppgifterna för att mata in Azure Storage Blob-data. Mer information finns i autentiseringskonfiguration. |
| Egenskaper. Begäran | Sant | Kapslad JSON | Beskriver Azure Storage-köer som tar emot blob-skapade händelser i omfånget. Mer information finns i Konfiguration av begäranden. |
| Egenskaper. dcrConfig | Kapslad JSON | Obligatoriska parametrar när data skickas till en datainsamlingsregel (DCR). Mer information finns i DCR-konfiguration. | |
| Egenskaper. Svar | Sant | Kapslad JSON | Beskriver svarsobjektet och det kapslade meddelandet som returneras från API:et när data hämtas. Mer information finns i svarskonfiguration. |
Autentiseringskonfiguration
Azure Storage Blob-anslutningsprogrammet förlitar sig på ett huvudnamn för tjänsten som skapats i din klientorganisation som är associerad med ett Microsoft-hanterat program för flera klienter (skiss för tjänstens huvudnamn). Innehavaradministratören måste bevilja medgivande för att skapa tjänstens huvudnamn. ARM-mallen ger möjlighet att bekräfta om tjänstens huvudnamn som är associerat med programmet redan finns i din klientorganisation, och om inte, ger det ett alternativ för att skapa tjänstens huvudnamn med användarens medgivande.
ARM-mallexemplet innehåller åtgärder för att tillämpa all nödvändig rollbaserad åtkomst på lagringskontot för att läsa blobar och bidra till köer. Se till att mallen och de tjänsthuvudnamn som används är associerade med programmet för din miljö och att administratörsmedgivande för klientorganisationen har beviljats.
I följande tabell visas program-ID:t per Azure miljö:
| Azure-miljö | ApplicationId |
|---|---|
| AzureCloud | 4f05ce56-95b6-4612-9d98-a45c8cc33f9f |
StorageAccountBlobContainer-autentiseringsexempel:
"auth": {
"type": "ServicePrincipal"
}
Konfiguration av begäranden
I begärandeavsnittet beskrivs de Azure Storage-köer som tar emot händelsemeddelanden som skapats av blobar.
| Fält | Obligatoriskt | Typ | Beskrivning |
|---|---|---|---|
| QueueUri | Sant | Sträng | URI:n för Azure Storage-kön som tar emot blob-skapade händelser. |
| DlqUri | Sant | Sträng | URI:n för kön med obeställbara meddelanden för misslyckade meddelanden. |
Exempel på StorageAccountBlobContainer-begäran:
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
Svarskonfiguration
Definiera svarshanteringen för din dataanslutning med följande parametrar:
| Fält | Obligatoriskt | Typ | Beskrivning |
|---|---|---|---|
| EventsJsonPaths | Sant | Lista över strängar | Definierar sökvägen till meddelandet i svars-JSON. Ett JSON-sökvägsuttryck anger en sökväg till ett element, eller en uppsättning element, i en JSON-struktur. |
| IsGzipCompressed | Boolesk | Avgör om svaret komprimeras i en gzip-fil. | |
| Format | Sant | Sträng |
json, csv, xmleller parquet |
| CompressionAlgo | Sträng | Komprimeringsalgoritmen, antingen multi-gzip eller deflate. För gzip-komprimering konfigurerar du IsGzipCompressed till i stället för att True ange ett värde för den här parametern. |
|
| CsvDelimiter | Sträng | Om svarsformatet är CSV och du vill ändra CSV-standardgränsaren ,för . |
|
| HasCsvBoundary | Boolesk | Anger om CSV-data har en gräns. | |
| HasCsvHeader | Boolesk | Anger om CSV-data har ett huvud. Standardvärdet är: True. |
|
| CsvEscape | Sträng | Escape-tecken för en fältgräns. Standardvärdet är: ". En CSV med rubriker id,name,avg och en rad med data som 1,"my name",5.5 innehåller blanksteg kräver " till exempel fältgränsen. |
Obs!
CSV-formattypen tolkas av RFC 4180-specifikationen .
Exempel på svarskonfiguration
Okomprimerad JSON:
"response": {
"EventsJsonPaths": ["$"],
"format": "json"
}
Komprimerad CSV:
"response": {
"EventsJsonPaths": ["$"],
"format": "csv",
"IsGzipCompressed": true
}
Parquet (komprimering kan härledas):
"response": {
"EventsJsonPaths": ["$"],
"format": "parquet"
}
DCR-konfiguration
| Fält | Obligatoriskt | Typ | Beskrivning |
|---|---|---|---|
| DataCollectionEndpoint | Sant | Sträng | DCE (datainsamlingsslutpunkt), till exempel: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Sant | Sträng | DCR oföränderligt ID. Hitta det genom att visa dcr-skapandesvaret eller med hjälp av DCR-API:et. |
| StreamName | Sant | sträng | Det här värdet är det streamDeclaration som definieras i DCR (prefixet måste börja med Custom-). |
Exempel på CCF-dataanslutning
Här är ett exempel på alla komponenter i StorageAccountBlobContainer CCF-dataanslutningens JSON tillsammans.
{
"kind": "StorageAccountBlobContainer",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"auth": {
"type": "ServicePrincipal"
},
"request": {
"QueueUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('queueName'))]",
"DlqUri": "[[concat('https://', variables('storageAccountName'), '.queue.core.windows.net/', variables('dlqName'))]"
}
}
}
Mer information finns i Skapa rest-API-exempel för dataanslutningsappen.