Creación de un conector sin código para Microsoft Sentinel
Codeless Connector Platform (CCP) proporciona a asociados, usuarios avanzados y desarrolladores la capacidad de crear conectores personalizados para ingerir datos en Microsoft Sentinel.
Los conectores creados con la CCP son totalmente SaaS, sin requisitos para las instalaciones de servicio. También incluyen supervisión de estado y soporte técnico completo de Microsoft Sentinel.
Siga los siguientes pasos para crear el conector CCP y conectar el origen de datos a Microsoft Sentinel
- Compilar el conector de datos
- Creación de la plantilla de Resource Manager
- Implementar el conector
- Conecte Microsoft Sentinel al origen de datos y empiece a ingerir datos
En este artículo se muestra cómo completar cada paso y proporcionar un conector sin código de ejemplo para compilar a lo largo del proceso.
La versión inicial de la CCP fue anunciada en enero de 2022. Desde entonces, hemos mejorado en la plataforma y ya no se recomienda la versión heredada. Esta nueva versión de la CCP tiene las siguientes mejoras clave:
Mejor compatibilidad con varios tipos de autenticación y paginación.
Admite reglas de recopilación de datos estándar (DCR).
La interfaz de usuario y las partes de configuración de conexión del conector sin código ahora son independientes. Esto permite la creación de conectores con varias conexiones que no eran posibles anteriormente.
Antes de compilar un conector, comprenda el origen de datos y cómo Microsoft Sentinel debe conectarse.
Punto de conexión de recopilación de datos (DCE)
Un DCE es un requisito para un DCR. Solo se crea un DCE por implementación de DCR del área de trabajo del análisis de registros. Cada DCR implementado para un área de trabajo de Microsoft Sentinel usa el mismo DCE. Para más información sobre cómo crear uno o si necesita uno nuevo, consulte puntos de conexión de recopilación de datos en Azure Monitor.
Esquema de las tablas de salida.
Es importante comprender la forma del flujo de datos y los campos que desea incluir en la tabla de salida. Haga referencia a la documentación del origen de datos o analice ejemplos de salida suficientes.
Investigue los siguientes componentes y compruebe la compatibilidad con ellos en la referencia de API de conector de datos:
Estructura de solicitud y respuesta HTTP al origen de datos
Autenticación requerida por el origen de datos.
Por ejemplo, si el origen de datos requiere un token firmado con un certificado, la referencia de API del conector de datos especifica que no se admite la autenticación de certificado.Opciones de paginación para el origen de datos
Se recomienda probar los componentes con una herramienta de prueba de API como una de las siguientes:
- Visual Studio Code con una extensión de Visual Studio Marketplace
- Invoke-RestMethod de PowerShell
- Microsoft Edge: herramienta de consola de red
- Bruno
- curl
Precaución
En escenarios en los que tiene datos confidenciales, como credenciales, secretos, tokens de acceso, claves de API y otra información similar, asegúrese de usar una herramienta que proteja los datos con las características de seguridad necesarias, funcione sin conexión o localmente, no sincronice los datos en la nube y no requiera que inicie sesión en una cuenta en línea. De este modo, se reduce el riesgo de exponer datos confidenciales al público.
Hay cuatro componentes necesarios para compilar el conector de datos CCP.
- Definición de tabla de salida
- Regla de recopilación de datos (DCR)
- Interfaz de usuario del conector de datos
- Reglas de conexión del conector de datos
Cada componente tiene una sección que detalla el proceso para crear y validar. Tome la JSON de cada componente para el empaquetado final de la plantilla de ARM.
Sugerencia
Omita este paso si los datos solo se ingieren en tablas estándar de Log Analytics. Algunos ejemplos de tablas estándar son CommonSecurityLog y ASimDnsActivityLogs. Para obtener más información sobre la lista completa de los tipos de datos estándar admitidos, consulte compatibilidad de transformación de datos para conectores de datos personalizados.
Si el origen de datos no se ajusta al esquema de una tabla estándar, tiene dos opciones:
- Crear una tabla personalizada para todos los datos
- Crear una tabla personalizada para algunos datos y dividir los datos conformes a una tabla estándar
Use la interfaz de usuario de Log Analytics para un método directo para crear una tabla personalizada junto con un DCR. Si crea la tabla personalizada mediante laAPI de tabla u otro método de programación, agregue el sufijo _CL
manualmente al nombre de la tabla. Para obtener más información, consulte Creación de una tabla personalizada.
Para obtener más información sobre cómo dividir los datos en más de una tabla, consulte los datos de ejemplo y la tabla personalizada de ejemplo creados para esos datos.
Las reglas de recopilación de datos (DCR) definen el proceso de recopilación de datos en Azure Monitor. Las DCR especifican qué datos se deben recopilar, cómo transformar esos datos y dónde enviarlos.
- Solo hay un DCR que se implementa por conector de datos.
- Un DCR debe tener un DCE correspondiente en la misma región.
- Cuando se implementa el conector de datos CCP, se crea el DCR si aún no existe.
Consulte la información más reciente sobre DCR en estos artículos:
- Información general de reglas de recopilación de datos
- Estructura de una regla de recopilaciones de datos
Para ver un tutorial que muestra la creación de un DCE, incluido el uso de datos de ejemplo para crear la tabla personalizada y DCR, consulte Tutorial: Envío de datos a registros de Azure Monitor con la API de ingesta de registros (Azure Portal). Use el proceso de este tutorial para comprobar que los datos se ingieren correctamente en la tabla con el DCR.
Para comprender cómo crear un DCR complejo con varios flujos de datos, consulte la sección ejemplo de DCR.
Este componente representa la interfaz de usuario del conector de datos en la galería de conectores de datos de Microsoft Sentinel. Cada conector de datos puede tener solo una definición de interfaz de usuario.
Compile la interfaz de usuario del conector de datos con la API de definición de conector de datos. Use la referencia de definiciones del conector de datos como complemento para explicar los elementos de la API con mayor detalle.
Notas:
- La propiedad
kind
para el conector de sondeo de API siempre debe serCustomizable
. - Dado que se trata de un tipo de conector de sondeo de API, establezca el tipo de
connectivityCriteria
enhasDataConnectors
- En el ejemplo
instructionSteps
se incluye un botón de tipoConnectionToggleButton
. Este botón ayuda a desencadenar la implementación de reglas del conector de datos en función de los parámetros de conexión especificados.
Use una herramienta de prueba de API para llamar a la API de definiciones del conector de datos para crear la interfaz de usuario del conector de datos para validarla en la galería de conectores de datos.
Para obtener información sobre un ejemplo, consulte la sección ejemplo de referencia de definiciones del conector de datos.
Actualmente hay dos tipos de reglas de conexión de datos posibles para definir el conector de datos CCP.
- La variante
RestApiPoller
permite personalizar la paginación, la autorización y las cargas de solicitud y respuesta esperadas para el origen de datos. Para obtener más información, consulte Referencia de reglas de conexión del conector de datos RestApiPoller. - La variante
GCP
permite reducir el tiempo de desarrollo configurando automáticamente las cargas de datos de paginación y respuesta esperadas para el origen de datos de Google Cloud Platform (GCP). Para obtener más información, consulte Referencia de reglas de conexión del conector de datos de GCP
Use una herramienta de prueba de API para llamar a la API del conector de datos para crear el conector de datos que combina las reglas de conexión y los componentes anteriores. Compruebe que el conector ya está conectado en la interfaz de usuario.
Independientemente de la autenticación que use el conector de datos CCP, siga estos pasos para asegurarse de que la información confidencial se mantiene segura. El objetivo es pasar las credenciales de la plantilla de ARM a la CCP sin dejar objetos confidenciales legibles en el historial de implementaciones.
La definición del conector de datos crea un elemento de interfaz de usuario para solicitar credenciales de seguridad. Por ejemplo, si el conector de datos se autentica en un origen de registro con OAuth, la sección de definición del conector de datos incluye el tipo OAuthForm
en las instrucciones. Esto configura la plantilla de ARM para solicitar las credenciales.
"instructions": [
{
"type": "OAuthForm",
"parameters": {
"UsernameLabel": "Username",
"PasswordLabel": "Password",
"connectButtonLabel": "Connect",
"disconnectButtonLabel": "Disconnect"
}
}
],
Una sección de la plantilla de implementación de ARM proporciona un lugar para que el administrador implemente el conector de datos para escribir la contraseña. Se usa securestring
para mantener protegida la información confidencial en un objeto que no se puede leer después de la implementación. Para obtener más información, consulte Recomendaciones de seguridad de parámetros.
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorCCPVersion')]",
"parameters": {
"Username": {
"type": "securestring",
"minLength": 1,
"metadata": {
"description": "Enter the username to connect to your data source."
},
"Password": {
"type": "securestring",
"minLength": 1,
"metadata": {
"description": "Enter the API key, client secret or password required to connect."
}
},
// more deployment template information
}
}
Por último, la CCP utiliza los objetos de credenciales en la sección de conector de datos.
"auth": {
"type": "OAuth2",
"ClientSecret": "[[parameters('Password')]",
"ClientId": "[[parameters('Username')]",
"GrantType": "client_credentials",
"TokenEndpoint": "https://api.contoso.com/oauth/token",
"TokenEndpointHeaders": {
"Content-Type": "application/x-www-form-urlencoded"
},
"TokenEndpointQueryParameters": {
"grant_type": "client_credentials"
}
},
Nota
La sintaxis extraña para el objeto de credencial, "ClientSecret": "[[parameters('Password')]",
no es un error tipográfico.
Para crear la plantilla de implementación que también usa parámetros, debe escapar los parámetros de esa sección con un [
inicial adicional. Esto permite que los parámetros asignen un valor en función de la interacción del usuario con el conector.
Para obtener más información, consulte Caracteres de escape de expresiones de plantilla.
Empaquete manualmente una plantilla de Administración de recursos de Azure (ARM) mediante las muestras de código de la plantilla de ejemplo como guía. Estos ejemplos de código se dividen en secciones de plantillas de ARM que debe combinar.
Si va a crear un conector de datos CCP de Google Cloud Platform (GCP), empaquete la plantilla de implementación usando la plantilla CCP de GCP de ejemplo. Para obtener información sobre cómo rellenar la plantilla CCP de GCP, consulte Referencia de reglas de conexión del conector de datos de GCP.
Además de las plantillas de ejemplo, las soluciones publicadas disponibles en el centro de contenido de Microsoft Sentinel usan la CCP para sus conectores de datos. Revise las siguientes soluciones como ejemplos de cómo unir los componentes en una plantilla de ARM.
RestApiPoller
Ejemplos de conectores de datos CCP
- Seguridad del explorador Ermes
- CWPP de Palo Alto Prisma Cloud
- Sophos Endpoint Protection
- Workday
- Atlassian Jira
- Inicio de sesión único de Okta
GCP
Ejemplos de conectores de datos CCP
Implemente el conector sin código como una plantilla personalizada.
Sugerencia
Elimine los recursos que creó en los pasos anteriores. El DCR y la tabla personalizada se crean con la implementación. Si no quita esos recursos antes de la implementación, es más difícil comprobar la plantilla.
- Copie el contenido de la plantilla de implementación de ARM.
- Siga las instrucciones de Editar e implementar la plantilla del artículo Inicio rápido: Creación e implementación de plantillas de ARM mediante Azure Portal.
Si el origen de registro requiere aislamiento de red, configure una lista de permitidos de direcciones IP públicas usadas por la CCP.
Las redes virtuales de Azure usan etiquetas de servicio para definir controles de acceso a la red. Para la CCP, esa etiqueta de servicio es Scuba.
Para buscar el intervalo IP actual asociado a la etiqueta de servicio Scuba, consulte Uso de la API de detección de etiquetas de servicio.
Vea el conector sin código en la galería de conectores de datos. Abra el conector de datos y complete los parámetros de autenticación necesarios para conectarse. Una vez conectado correctamente, se crean las tablas y DCR personalizadas. Vea el recurso DCR en el grupo de recursos y las tablas personalizadas del área de trabajo de análisis de registros.
Nota
Puede tardar hasta 30 minutos en ver que los datos comienzan a ingerirse.
Cada paso para compilar el conector sin código se representa en las secciones de ejemplo siguientes.
- Datos de ejemplo
- Tabla personalizada de ejemplo
- Regla de recopilación de datos de ejemplo
- Definición de interfaz de usuario del conector de datos de ejemplo
- Reglas de conexión de datos de ejemplo
- Usar datos de ejemplo con plantilla de ejemplo
Para demostrar un origen de datos complejo con ingesta en más de una tabla, en este ejemplo se incluye un esquema de tabla de salida y un DCR con varios flujos de salida. El ejemplo de DCR los combina junto con sus transformaciones KQL. Los ejemplos de reglas de conexión y definición de interfaz de usuario del conector de datos continúan desde este mismo origen de datos de ejemplo. Por último, la plantilla de solución usa todos estos componentes de ejemplo para mostrar cómo crear el conector de datos CCP de ejemplo.
Un origen de datos devuelve el siguiente JSON al conectarse a su punto de conexión.
[
{
"ts": "3/6/2023 8:15:15 AM",
"eventType": "Alert",
"deviceMac": "bc:27:c6:21:1c:70",
"clientMac": "",
"srcIp": "10.12.11.106",
"destIp": "121.93.178.13",
"protocol": "tcp/ip",
"priority": "0",
"message": "This is an alert message"
},
{
"ts": "3/6/2023 8:14:54 AM",
"eventType": "File",
"srcIp": "178.175.128.249",
"destIp": "234.113.125.105",
"fileType": "MS_EXE",
"fileSizeBytes": 193688,
"disposition": "Malicious"
}
]
Esta respuesta contiene eventType
de Alerta y Archivo. Los eventos de archivo se van a ingerir en la tabla estándar normalizada, AsimFileEventLogs, mientras que los eventos de alerta se van a ingerir en una tabla personalizada.
Para obtener más información sobre la estructura de esta tabla, consulte API de tablas. Los nombres de tabla de registro personalizados deben tener un sufijo _CL
.
{
"properties": {
"schema": {
"name": "ExampleConnectorAlerts_CL",
"columns": [
{
"name": "TimeGenerated",
"type": "datetime"
},
{
"name": "SourceIP",
"type": "string"
},
{
"name": "DestIP",
"type": "string"
},
{
"name": "Message",
"type": "string"
},
{
"name": "Priority",
"type": "int"
}
]
}
}
}
El siguiente DCR define un único flujo Custom-ExampleConnectorInput
mediante el origen de datos de ejemplo y transforma la salida en dos tablas.
- El primer flujo de datos dirige
eventType
= alerta a la tablaExampleConnectorAlerts_CL
personalizada. - el segundo flujo de datos dirige
eventType
= archivo a la tabla estándar normalizada,ASimFileEventLogs
.
Para obtener más información sobre la estructura de este ejemplo, vea Estructura de una regla de recopilación de datos.
Para crear este DCR en un entorno de prueba, siga la API de reglas de recopilación de datos. Los elementos del ejemplo de {{double curly braces}}
indican variables que requieren valores para facilitar su uso con una herramienta de prueba de API. Al crear este recurso en la plantilla de ARM, las variables expresadas aquí se intercambian por parámetros.
{
"location": "{{location}}",
"properties": {
"dataCollectionEndpointId": "/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Insights/dataCollectionEndpoints/{{dataCollectionEndpointName}}",
"streamDeclarations": {
"Custom-ExampleConnectorInput": {
"columns": [
{
"name": "ts",
"type": "datetime"
},
{
"name": "eventType",
"type": "string"
},
{
"name": "deviceMac",
"type": "string"
},
{
"name": "clientMac",
"type": "string"
},
{
"name": "srcIp",
"type": "string"
},
{
"name": "destIp",
"type": "string"
},
{
"name": "protocol",
"type": "string"
},
{
"name": "priority",
"type": "string"
},
{
"name": "message",
"type": "string"
},
{
"name": "fileType",
"type": "string"
},
{
"name": "fileSizeBytes",
"type": "int"
},
{
"name": "disposition",
"type": "string"
}
]
}
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{{subscriptionId}}/resourcegroups/{{resourceGroupName}}/providers/microsoft.operationalinsights/workspaces/{{workspaceName}}",
"name": "{{uniqueFriendlyDestinationName}}"
}
]
},
"dataFlows": [
{
"streams": [
"Custom-ExampleConnectorInput"
],
"destinations": [
"{{uniqueFriendlyDestinationName}}"
],
"transformKql": "source | where eventType == \"Alert\" | project TimeGenerated = ts, SourceIP = srcIp, DestIP = destIp, Message = message, Priority = priority \n",
"outputStream": "Custom-ExampleConnectorAlerts_CL"
},
{
"streams": [
"Custom-ExampleConnectorInput"
],
"destinations": [
"{{uniqueFriendlyDestinationName}}"
],
"transformKql": "source | where eventType == \"File\" | project-rename TimeGenerated = ts, EventOriginalType = eventType, SrcIpAddr = srcIp, DstIpAddr = destIp, FileContentType = fileType, FileSize = fileSizeBytes, EventOriginalSeverity = disposition \n",
"outputStream": "Microsoft-ASimFileEventLogs"
}
]
}
}
Este ejemplo se encuentra en la referencia de definiciones del conector de datos.
Este ejemplo se encuentra en la referencia del conector de datos.
Compile la plantilla de implementación de ARM con la estructura siguiente, que incluye las 4 secciones de los componentes JSON necesarios para compilar el conector de datos CCP:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"variables": {},
"resources": [],
}
Una las secciones junto con un editor compatible con JSON, como Visual Code, para minimizar los errores de sintaxis, como comas y corchetes de cierre y paréntesis.
Para guiar el proceso de creación de plantillas, los comentarios aparecen en los metadatos description
o en línea con notación de comentarios //
. Para obtener más información, consulte los Procedimientos recomendados la plantilla de ARM: comentarios.
Considere la posibilidad de usar el kit de herramientas de pruebas de plantillas de ARM (arm-ttk) para validar la plantilla que compile. Para más información, consulte arm-ttk.
Para más información, consulte Parámetros en plantillas de ARM.
Advertencia
Use securestring
para todas las contraseñas y secretos en objetos legibles después de la implementación de recursos.
Para más información, consulte Protección de la entrada confidencial y Recomendaciones de seguridad de parámetros.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"location": {
"type": "string",
"minLength": 1,
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Not used, but needed to pass the arm-ttk test, 'Location-Should-Not-Be-Hardcoded'. Instead the `workspace-location` derived from the log analytics workspace is used."
}
},
"workspace-location": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "[concat('Region to deploy solution resources -- separate from location selection',parameters('location'))]"
}
},
"subscription": {
"defaultValue": "[last(split(subscription().id, '/'))]",
"type": "string",
"metadata": {
"description": "subscription id where Microsoft Sentinel is configured"
}
},
"resourceGroupName": {
"defaultValue": "[resourceGroup().name]",
"type": "string",
"metadata": {
"description": "resource group name where Microsoft Sentinel is configured"
}
},
"workspace": {
"defaultValue": "",
"type": "string",
"metadata": {
"description": "the log analytics workspace enabled for Microsoft Sentinel"
}
}
},
// Next is the variables section here
}
Estas variables recomendadas ayudan a simplificar la plantilla. Use más o menos según sea necesario. Para más información, consulte Variables en plantillas de ARM.
"variables": {
"workspaceResourceId": "[resourceId('microsoft.OperationalInsights/Workspaces', parameters('workspace'))]",
"_solutionName": "Solution name", // Enter your solution name
"_solutionVersion": "3.0.0", // must be 3.0.0 or above
"_solutionAuthor": "Contoso", // Enter the name of the author
"_packageIcon": "<img src=\"{LogoLink}\" width=\"75px\" height=\"75px\">", // Enter the http link for the logo. NOTE: This field is only recommended for Azure Global Cloud.
"_solutionId": "azuresentinel.azure-sentinel-solution-azuresentinel.azure-sentinel-MySolution", // Enter a name for your solution with this format but exchange the 'MySolution' portion
"dataConnectorVersionConnectorDefinition": "1.0.0",
"dataConnectorVersionConnections": "1.0.0",
"_solutionTier": "Community", // This designates the appropriate support - all custom data connectors are "Community"
"_dataConnectorContentIdConnectorDefinition": "MySolutionTemplateConnectorDefinition", // Enter a name for the connector
"dataConnectorTemplateNameConnectorDefinition": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnectorDefinition')))]",
"_dataConnectorContentIdConnections": "MySolutionTemplateConnections", // Enter a name for the connections this connector makes
"dataConnectorTemplateNameConnections": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnections')))]",
"_logAnalyticsTableId1": "ExampleConnectorAlerts_CL" // Enter the custom table name - not needed if you are ingesting data into standard tables
// Enter more variables as needed "":""
},
// Next is the resources sections here
Hay 5 recursos de implementación de ARM en esta guía de plantilla que hospedan los componentes de compilación del conector de datos CCP 4.
- contentTemplates (un recurso primario)
- metadata
- dataCollectionRules: Para obtener más información, consulte Regla de recolección de datos.
- tablas: Para obtener más información, vea definición de tabla de salida.
- dataConnectorDefinitions: Para obtener más información, consulte interfaz de usuario del conector de datos.
- metadata
- contentTemplates
- metadata
- RestApiPoller: Para obtener más información, consulte Reglas de conexión de datos.
- contentPackages
"resources": [
// resource section 1 - contentTemplates
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
"apiVersion": "2023-04-01-preview",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnectorDefinition'), variables('dataConnectorVersionConnectorDefinition'))]",
"location": "[parameters('workspace-location')]",
"dependsOn": [
"[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
],
"properties": {
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnectorDefinition'))]",
"contentKind": "DataConnector",
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorVersionConnectorDefinition')]",
"parameters": {},
"variables": {},
"resources": [
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"kind": "DataConnector",
"version": "[variables('dataConnectorVersionConnectorDefinition')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
},
"dependencies": {
"criteria": [
{
"version": "[variables('dataConnectorVersionConnections')]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector"
}
]
}
}
},
{
"name": "MyDCRV1", // Enter your DCR name
"apiVersion": "2021-09-01-preview",
"type": "Microsoft.Insights/dataCollectionRules",
"location": "[parameters('workspace-location')]",
"kind": null,
"properties":
{
// Enter your DCR properties here.
// Consider using these variables:
// "dataCollectionEndpointId": "[concat('/subscriptions/',parameters('subscription'),'/resourceGroups/',parameters('resourceGroupName'),'/providers/Microsoft.Insights/dataCollectionEndpoints/',parameters('workspace'))]",
// "workspaceResourceId": "[variables('workspaceResourceId')]",
}
},
{
"name": "[variables('_logAnalyticsTableId1')]",
"apiVersion": "2022-10-01",
"type": "Microsoft.OperationalInsights/workspaces/tables",
"location": "[parameters('workspace-location')]",
"kind": null,
"properties":
{
// Enter your log analytics table schema here.
// Consider using this variable for the name property:
// "name": "[variables('_logAnalyticsTableId1')]",
}
}
// Enter more tables if needed.
]
},
"packageKind": "Solution",
"packageVersion": "[variables('_solutionVersion')]",
"packageName": "[variables('_solutionName')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','dc','-', uniqueString(concat(variables('_solutionId'),'-','DataConnector','-',variables('_dataConnectorContentIdConnectorDefinition'),'-', variables('dataConnectorVersionConnectorDefinition'))))]",
"packageId": "[variables('_solutionId')]",
"contentSchemaVersion": "3.0.0",
"version": "[variables('_solutionVersion')]"
}
},
// resource 2 section here
// resource section 2 - dataConnectorDefinitions
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',variables('_dataConnectorContentIdConnectorDefinition'))]",
"apiVersion": "2022-09-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectorDefinitions",
"location": "[parameters('workspace-location')]",
"kind": "Customizable",
"properties":
{
//Enter your data connector definition properties here
//"connectorUiConfig": {
// "graphQueriesTableName": "[variables('_logAnalyticsTableId1')]",
//},
}
},
// resource 3 section here
// resource section 3 - metadata
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"kind": "DataConnector",
"version": "[variables('dataConnectorVersionConnectorDefinition')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
},
"dependencies": {
"criteria": [
{
"version": "[variables('dataConnectorVersionConnections')]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector"
}
]
}
}
},
// resource 4 section here
// resource section 4 - contentTemplates
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
"apiVersion": "2023-04-01-preview",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnections'), variables('dataConnectorVersionConnections'))]",
"location": "[parameters('workspace-location')]",
"dependsOn": [
"[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
],
"properties": {
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnections'))]",
"contentKind": "ResourcesDataConnector",
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorVersionConnections')]",
"parameters":
// These parameters are used by the data connector primarily as properties for the administrator to enter in the UI when configuring the connector
{
"connectorDefinitionName": {
"defaultValue": "connectorDefinitionName",
"type": "string",
"minLength": 1
},
"workspace": {
"defaultValue": "[parameters('workspace')]",
"type": "string"
},
"dcrConfig": {
"defaultValue": {
"dataCollectionEndpoint": "data collection Endpoint",
"dataCollectionRuleImmutableId": "data collection rule immutableId"
},
"type": "object"
}
// Enter additional parameters, for example:
//"domainname": {
// "defaultValue": "domain name",
// "type": "string",
// "minLength": 1
//},
//"apikey": {
// "defaultValue": "",
// "type": "securestring",
// "minLength": 1
//}
},
"variables": {
"_dataConnectorContentIdConnections": "[variables('_dataConnectorContentIdConnections')]"
},
"resources": [
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnections')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectors', variables('_dataConnectorContentIdConnections'))]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector",
"version": "[variables('dataConnectorVersionConnections')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
}
}
},
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', 'MyDataConnector')]", // Replace the last part of the name with your data connector name
// To create several connections using this template, make the name dynamic. For example, use the 'concat' function to add the connector name with a GUID using the 'guid' function.
"apiVersion": "2022-12-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectors",
"location": "[parameters('workspace-location')]",
"kind": "RestApiPoller",
"properties":
{
// Enter your data connector properties here. If you want to use UI parameters remember to escape the parameter like this: "[[parameters('paramName')]"
// Use parameters as needed. For example:
// "dataType": "My product security event API",
// "response": {
// "eventsJsonPaths": [
// "$"
// ],
// "format": "json"
// },
// "paging": {
// "pagingType": "LinkHeader"
// },
// "connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
// "auth": {
// "apiKeyName": "Authorization",
// "ApiKey": "[[parameters('apikey')]",
// "apiKeyIdentifier": "SSWS",
// "type": "APIKey"
//} ,
// "request": {
// "apiEndpoint": "[[concat('https://',parameters('domainname'),'/api/v1/logs')]",
// "rateLimitQPS": 10,
// "queryWindowInMin": 5,
// "httpMethod": "GET",
// "retryCount": 3,
// "timeoutInSeconds": 60,
// "headers": {
// "Accept": "application/json",
// "User-Agent": "My-Data-Source"
// },
// "startTimeAttributeName": "since",
// "endTimeAttributeName": "until"
// },
// "dcrConfig": {
// "dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
// "dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]",
// "streamName": "Custom-ExampleConnectorAlerts_CL" //This input stream should be the same as the inputStream property configured for the DataCollectionRule
// },
// "isActive": true
}
}
]
},
"packageKind": "Solution",
"packageVersion": "[variables('_solutionVersion')]",
"packageName": "[variables('_solutionName')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','rdc','-', uniqueString(concat(variables('_solutionId'),'-','ResourcesDataConnector','-',variables('_dataConnectorContentIdConnections'),'-', variables('dataConnectorVersionConnections'))))]",
"packageId": "[variables('_solutionId')]",
"contentSchemaVersion": "3.0.0",
"version": "[variables('_solutionVersion')]"
}
},
// resource 5 section here
// resource section 5 - contentPackages
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentPackages",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('_solutionId'))]",
"location": "[parameters('workspace-location')]",
"apiVersion": "2023-04-01-preview",
"properties": {
"version": "[variables('_solutionVersion')]",
"kind": "Solution",
"contentSchemaVersion": "3.0.0",
"contentId": "[variables('_solutionId')]",
"source": {
"kind": "Solution",
"name": "[variables('_solutionName')]",
"sourceId": "[variables('_solutionId')]"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]"
},
"dependencies": {
"operator": "AND",
"criteria": [
{
"kind": "DataConnector",
"contentId": "[variables('dataConnectorVersionConnectorDefinition')]",
"version": "[variables('_dataConnectorContentIdConnectorDefinition')]"
}
]
},
"firstPublishDate": "2023-12-05",
"providers": [
"[variables('_solutionAuthor')]"
],
"contentKind": "Solution",
"packageId": "[variables('_solutionId')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','sl','-', uniqueString(concat(variables('_solutionId'),'-','Solution','-',variables('_solutionId'),'-', variables('_solutionVersion'))))]",
"displayName": "[variables('_solutionName')]",
"publisherDisplayName": "[variables('_solutionId')]",
"descriptionHtml": "test",
"icon": "[variables('_packageIcon')]"
}
}
// that's the end!
]
}
Para obtener más información, vea