Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Hvis du vil oprette en GCP-dataconnector (Google Cloud Platform) med Codeless Connector Framework (CCF), skal du bruge denne reference som et supplement til dokumentation til Microsoft Sentinel REST API til Data Connectors.
Hver dataConnector repræsenterer en bestemt forbindelse for en Microsoft Sentinel dataconnector. En dataconnector kan have flere forbindelser, som henter data fra forskellige slutpunkter. Den JSON-konfiguration, der oprettes ved hjælp af dette referencedokument, bruges til at fuldføre installationsskabelonen for CCF-dataconnectoren.
Du kan få flere oplysninger under Opret en kodeløs connector til Microsoft Sentinel.
Byg GCP CCF-dataconnectoren
Gør det nemmere at oprette forbindelse til din GCP-datakilde med en eksempelskabelon til udrulning af CCF-dataconnector i GCP.
Eksempelskabelon for CCF til GCP
Når de fleste afsnit med udrulningsskabeloner er udfyldt, skal du kun oprette de første to komponenter, outputtabellen og DCR. Du kan få flere oplysninger i afsnittene Definition af outputtabel og DCR (Data Collection Rule).
Dataconnectors – Opret eller opdater
Se opret eller opdater-handlingen i REST API-dokumentation for at finde den nyeste stabile API-version eller prøveversion. Forskellen mellem oprettelses - og opdateringshandlingen er, at opdateringen kræver etag-værdien .
PUT-metode
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-parametre
Du kan få flere oplysninger om den nyeste API-version under DataConnectors – Opret eller opdater URI-parametre.
| Navn | Beskrivelse |
|---|---|
| dataConnectorId | Dataconnector-id'et skal være et entydigt navn og er det samme som name parameteren i anmodningens brødtekst. |
| resourceGroupName | Navnet på ressourcegruppen, hvor der ikke skelnes mellem store og små bogstaver. |
| subscriptionId | Id'et for målabonnementet. |
| workspaceName |
Navnet på arbejdsområdet, ikke id'et. Regex-mønster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-version | Den API-version, der skal bruges til denne handling. |
Brødtekst i anmodning
Anmodningens brødtekst for en GCP CCF-dataconnector har følgende struktur:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP repræsenterer en CCF-dataconnector, hvor sideinddeling og forventede svarnyttedata til din GCP-datakilde (Google Cloud Platform) allerede er konfigureret. Konfiguration af GCP-tjenesten til at sende data til en GCP Pub/Sub skal udføres separat. Du kan få flere oplysninger under Publicer meddelelse i oversigt over pub/under.
| Navn | Påkrævet | Type | Beskrivelse |
|---|---|---|---|
| Navn | Sandt | Streng | Det entydige navn på forbindelsen, der svarer til URI-parameteren |
| Form | Sandt | Streng | Skal være GCP |
| Etag | GUID | Lad argumentet være tomt for at oprette nye connectors. I forbindelse med opdateringshandlinger skal etag'et matche den eksisterende connectors etag (GUID). | |
| properties.connectorDefinitionName | Streng | Navnet på den DataConnectorDefinition-ressource, der definerer konfigurationen af brugergrænsefladen for dataconnectoren. Du kan få flere oplysninger under Definition af dataconnector. | |
| Egenskaber. Auth | Sandt | Indlejret JSON | Beskriver legitimationsoplysningerne for forespørgsler om GCP-dataene. Du kan få flere oplysninger under Konfiguration af godkendelse. |
| Egenskaber. Anmodning | Sandt | Indlejret JSON | Beskriver GCP-projekt-id'et og GCP-abonnementet til forespørgsel af dataene. Du kan få flere oplysninger under Anmodningskonfiguration. |
| Egenskaber. dcrConfig | Indlejret JSON | Påkrævede parametre, når dataene sendes til en DCR (Data Collection Rule). Du kan få flere oplysninger under DCR-konfiguration. |
Godkendelseskonfiguration
Godkendelse til GCP fra Microsoft Sentinel bruger en GCP Pub/Sub. Du skal konfigurere godkendelsen separat. Brug Terraform-scripts her. Du kan få flere oplysninger under GCP Pub/Sub-godkendelse fra en anden cloududbyder.
Som bedste praksis kan du bruge parametre i godkendelsesafsnittet i stedet for hardkodningslegitimationsoplysninger. Du kan få flere oplysninger under Sikker fortroligt input.
Hvis du vil oprette den installationsskabelon, der også bruger parametre, skal du undslippe parametrene i dette afsnit med en ekstra start [. Dette gør det muligt for parametrene at tildele en værdi baseret på brugerens interaktion med connectoren. Du kan få flere oplysninger under Escape-tegn for skabelonudtryk.
Hvis du vil aktivere de legitimationsoplysninger, der skal angives fra brugergrænsefladen, connectorUIConfig kræver instructions sektionen med de ønskede parametre. Du kan få flere oplysninger under Definitioner af dataconnectorer i Codeless Connector Framework.
GCP-godkendelseseksempel:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
Anmodningskonfiguration
Anmodningsafsnittet kræver projectId og subscriptionNames fra GCP Pub/Sub.
Eksempel på GCP-anmodning:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR-konfiguration
| Feltet | Påkrævet | Type | Beskrivelse |
|---|---|---|---|
| DataCollectionEndpoint | Sandt | String | DCE (Data Collection Endpoint) for eksempel: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Sandt | String | Det uforanderlige ID for DCR. Find den ved at få vist DCR-oprettelsessvaret eller ved hjælp af DCR-API'en |
| StreamName | Sandt | Streng | Denne værdi er defineret streamDeclaration i DCR (præfikset skal begynde med Custom-) |
Eksempel på CCF-dataconnector
Her er et eksempel på alle komponenterne i GCP JSON for CCF-dataconnectoren sammen.
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
Du kan få flere oplysninger under Opret GCP-dataconnector REST API-eksempel.