Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Om du vill skapa en Data Connector för Google Cloud Platform (GCP) med Codeless Connector Framework (CCF) använder du den här referensen som ett komplement till dokumenten om Microsoft Sentinel REST API för dataanslutningsprogram.
Var dataConnector och en representerar en specifik anslutning för en Microsoft Sentinel dataanslutning. En dataanslutning kan ha flera anslutningar som hämtar data från olika slutpunkter. JSON-konfigurationen som skapats med det här referensdokumentet används för att slutföra distributionsmallen för CCF-dataanslutningen.
Mer information finns i Skapa en kodlös anslutningsapp för Microsoft Sentinel.
Skapa GCP CCF-dataanslutningsappen
Förenkla utvecklingen av att ansluta din GCP-datakälla med en exempeldistributionsmall för GCP CCF-dataanslutning.
När de flesta avsnitten för distributionsmallen är ifyllda behöver du bara skapa de två första komponenterna, utdatatabellen och DCR. Mer information finns i avsnitten Definition av utdatatabell och Datainsamlingsregel (DCR).
Dataanslutningsprogram – Skapa eller uppdatera
Referera till åtgärden Skapa eller uppdatera i REST API-dokumenten för att hitta den senaste stabila api-versionen eller förhandsversionen av API:et. Skillnaden mellan åtgärden skapa och uppdatera är att uppdateringen kräver etag-värdet .
PUT-metod
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametrar
Mer information om den senaste API-versionen finns i Dataanslutningsprogram – Skapa eller uppdatera URI-parametrar.
| Namn | Beskrivning |
|---|---|
| dataConnectorId | ID:t för dataanslutningsappen måste vara ett unikt namn och är samma som parametern name i begärandetexten. |
| resourceGroupName | Namnet på resursgruppen, inte skiftlägeskänsligt. |
| subscriptionId | ID för målprenumerationen. |
| workspaceName |
Namnet på arbetsytan, inte ID:t. Regex-mönster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-version | DEN API-version som ska användas för den här åtgärden. |
Frågebrödtext
Begärandetexten för en GCP CCF-dataanslutning har följande struktur:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP representerar en CCF-dataanslutning där växlings- och förväntade svarsnyttolaster för din Google Cloud Platform-datakälla (GCP) redan har konfigurerats. Konfigurationen av GCP-tjänsten för att skicka data till en GCP Pub/Sub måste göras separat. Mer information finns i Publicera meddelande i Pub/Sub-översikt.
| Namn | Obligatoriskt | Typ | Beskrivning |
|---|---|---|---|
| Namn | Sant | sträng | Det unika namnet på anslutningen som matchar URI-parametern |
| Typ | Sant | sträng | Måste vara GCP |
| Etag | GUID | Lämna tomt för att skapa nya anslutningsappar. För uppdateringsåtgärder måste etag matcha den befintliga anslutningsappens etag (GUID). | |
| properties.connectorDefinitionName | sträng | Namnet på den DataConnectorDefinition-resurs som definierar UI-konfigurationen för dataanslutningen. Mer information finns i Definition av dataanslutningsapp. | |
| Egenskaper. Auth | Sant | Kapslad JSON | Beskriver autentiseringsuppgifterna för avsökning av GCP-data. Mer information finns i autentiseringskonfiguration. |
| Egenskaper. Begäran | Sant | Kapslad JSON | Beskriver GCP-projekt-ID:t och GCP-prenumerationen för avsökning av data. Mer information finns i Konfiguration av begäranden. |
| Egenskaper. dcrConfig | Kapslad JSON | Obligatoriska parametrar när data skickas till en datainsamlingsregel (DCR). Mer information finns i DCR-konfiguration. |
Autentiseringskonfiguration
Autentisering till GCP från Microsoft Sentinel använder en GCP Pub/Sub. Du måste konfigurera autentiseringen separat. Använd Terraform-skripten här. Mer information finns i GCP Pub/Sub-autentisering från en annan molnleverantör.
Vi rekommenderar att du använder parametrar i autentiseringsavsnittet i stället för hårdkodade autentiseringsuppgifter. Mer information finns i Skydda konfidentiella indata.
För att kunna skapa distributionsmallen som även använder parametrar måste du undvika parametrarna i det här avsnittet med en extra start [. På så sätt kan parametrarna tilldela ett värde baserat på användarinteraktionen med anslutningsappen. Mer information finns i Escape-tecken för malluttryck.
För att aktivera autentiseringsuppgifterna som ska anges från användargränssnittet connectorUIConfig kräver instructions avsnittet med önskade parametrar. Mer information finns i Referens för definitioner för dataanslutningsprogram för Codeless Connector Framework.
GCP-autentiseringsexempel:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
Konfiguration av begäranden
Begärandeavsnittet projectId kräver och subscriptionNames från GCP Pub/Sub.
Exempel på GCP-begäran:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR-konfiguration
| Fält | Obligatoriskt | Typ | Beskrivning |
|---|---|---|---|
| DataCollectionEndpoint | Sant | Sträng | DCE (datainsamlingsslutpunkt) till exempel: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Sant | Sträng | DCR oföränderligt ID. Hitta det genom att visa dcr-skapandesvaret eller använda DCR-API:et |
| StreamName | Sant | sträng | Det här värdet är definierat streamDeclaration i DCR (prefixet måste börja med Custom-) |
Exempel på CCF-dataanslutning
Här är ett exempel på alla komponenter i GCP CCF-dataanslutningens JSON tillsammans.
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
Mer information finns i Skapa REST API-exempel för GCP-dataanslutningsappen.