[Elavult] Régi kód nélküli összekötő létrehozása a Microsoft Sentinelhez
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
Fontos
A Codeless Connector Platform (CCP) újabb verziója is elérhető. Az új központi szerződő félről további információt a Kód nélküli összekötő létrehozása (előzetes verzió) című témakörben talál.
Erre a dokumentumra akkor hivatkozhat, ha egy adatösszekötőt kell karbantartania vagy frissítenie a központi szerződő fél régebbi, régi verziója alapján.
A központi szerződő fél lehetővé teszi a partnerek, a fejlett felhasználók és a fejlesztők számára, hogy egyéni összekötőket hozzanak létre, csatlakoztatják őket, és adatokat vegyenek fel a Microsoft Sentinelbe. A CCP-n keresztül létrehozott összekötők üzembe helyezhetők API-n, ARM-sablonon vagy megoldásként a Microsoft Sentinel tartalomközpontban.
A CCP használatával létrehozott összekötők teljes mértékben SaaS-nek számítanak, a szolgáltatástelepítésekre vonatkozó követelmények nélkül, valamint az állapotfigyelést és a Microsoft Sentinel teljes támogatását is magukban foglalják.
Hozza létre az adatösszekötőt JSON-konfigurációk definiálásával, a Microsoft Sentinel adatösszekötő lapjának beállításaival, valamint a kapcsolat működését meghatározó lekérdezési beállításokkal.
Fontos
A Kód nélküli összekötő platform (CCP) ezen verziója előzetes verzióban érhető el, de örököltnek is tekinthető. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A következő lépésekkel hozza létre a CCP-összekötőt, és csatlakozzon az adatforráshoz a Microsoft Sentinelből:
- Az összekötő felhasználói felületének konfigurálása
- Az összekötő lekérdezési beállításainak konfigurálása
- Az összekötő üzembe helyezése a Microsoft Sentinel-munkaterületen
- A Microsoft Sentinel csatlakoztatása az adatforráshoz és az adatok betöltése
Ez a cikk a CCP JSON-konfigurációkban és az összekötő API-n, ARM-sablonon vagy Microsoft Sentinel-megoldáson keresztüli üzembe helyezésének eljárásaiban használt szintaxist ismerteti.
Előfeltételek
Az összekötő létrehozása előtt azt javasoljuk, hogy tisztában legyen az adatforrás viselkedésével és a Microsoft Sentinel kapcsolódási módjával.
Ismernie kell például a sikeres kapcsolatokhoz szükséges hitelesítési, lapozási és API-végpontokat.
Összekötő JSON-konfigurációs fájljának létrehozása
Az egyéni CCP-összekötő két elsődleges JSON-szakaszt tartalmaz az üzembe helyezéshez. Ezeket a területeket kitöltve meghatározhatja, hogyan jelenik meg az összekötő az Azure Portalon, és hogyan csatlakoztatja a Microsoft Sentinelt az adatforráshoz.
connectorUiConfig. Meghatározza a Microsoft Sentinel adatösszekötő oldalán megjelenő vizuális elemeket és szöveget. További információ: Az összekötő felhasználói felületének konfigurálása.pollingConfig. Meghatározza, hogy a Microsoft Sentinel hogyan gyűjt adatokat az adatforrásból. További információ: Az összekötő lekérdezési beállításainak konfigurálása.
Ezután, ha a kód nélküli összekötőt ARM-en keresztül helyezi üzembe, ezeket a szakaszokat az adatösszekötők ARM-sablonjában fogja becsomagolni.
Tekintse át példaként a többi CCP-adatösszekötőt , vagy töltse le a példasablont, DataConnector_API_CCP_template.json (előzetes verzió).
Az összekötő felhasználói felületének konfigurálása
Ez a szakasz az adatösszekötő oldal felhasználói felületének testreszabásához elérhető konfigurációs beállításokat ismerteti.
Az alábbi képen egy adatösszekötő-mintalap látható, amely a felhasználói felület jelentős területeinek megfelelő számokkal van kiemelve:
- Cím. Az adatösszekötőhöz megjelenített cím.
- Embléma. Az adatösszekötő ikonja. Ennek testreszabása csak a megoldás részeként történő üzembe helyezéskor lehetséges.
- Állapot. Azt jelzi, hogy az adatösszekötő csatlakozik-e a Microsoft Sentinelhez.
- Adatdiagramok. Megjeleníti a releváns lekérdezéseket és az elmúlt két hétben betöltött adatok mennyiségét.
- Utasítások lap. Tartalmaz egy Előfeltételek szakaszt, amely tartalmazza a minimális érvényesítések listáját, mielőtt a felhasználó engedélyezheti az összekötőt, és útmutatást ad az összekötő felhasználói engedélyezéséhez. Ez a szakasz tartalmazhat szöveget, gombokat, űrlapokat, táblázatokat és egyéb gyakori widgeteket a folyamat egyszerűsítése érdekében.
- Következő lépések lap. Hasznos információkat tartalmaz az eseménynaplókban található adatok, például a minta lekérdezések megismeréséhez.
A connectorUiConfig felhasználói felület konfigurálásához szükséges szakaszok és szintaxis:
| Tulajdonság neve | Típus | Leírás |
|---|---|---|
| rendelkezésre állás | {"status": 1,"isPreview": Logikai} |
állapot: 1 Azt jelzi, hogy az összekötő általánosan elérhető az ügyfelek számára. isPreview Azt jelzi, hogy az összekötő nevéhez (előzetes verzió) utótagot kell-e felvenni. |
| connectivityCriteria | {"type": SentinelKindsV2,"value": APIPolling} |
Egy objektum, amely meghatározza, hogyan ellenőrizheti, hogy az összekötő helyesen van-e definiálva. Használja az itt megadott értékeket. |
| dataTypes | dataTypes[] | Az összekötő összes adattípusának listája, valamint egy lekérdezés, amely lekéri az egyes adattípusok utolsó eseményének időpontját. |
| descriptionMarkdown | Sztring | Az összekötő leírása, amely lehetővé teszi markdown nyelv hozzáadását annak továbbfejlesztéséhez. |
| graphQueries | graphQueries[] | Az Adatdiagramok panelen az elmúlt két hétben adatbetöltést bemutató lekérdezések . Adjon meg egy lekérdezést az adatösszekötő összes adattípusához, vagy adjon meg egy másik lekérdezést minden adattípushoz. |
| graphQueriesTableName | Sztring | Meghatározza annak a Log Analytics-táblának a nevét, amelyből lekérte a lekérdezések adatait. A táblanév bármilyen sztring lehet, de végződnie kell a következővel _CL: . Például: TableName_CL |
| instructionsSteps | instructionSteps[] | Az Összekötő telepítésének módját bemutató vezérlőrészek tömbje, amely az Utasítások lapon jelenik meg. |
| metaadatok | metaadatok | Az összekötő leírása alatt megjelenített metaadatok. |
| permissions | engedélyek[] | A felhasználói felület Előfeltételek szakaszában megjelenő információk, amelyek felsorolják az összekötő engedélyezéséhez vagy letiltásához szükséges engedélyeket. |
| kiadó | Sztring | Ez a Szolgáltató szakaszban látható szöveg. |
| sampleQueries | sampleQueries[] | Minta lekérdezések az ügyfél számára, hogy megismerje, hogyan keresheti meg az adatokat az eseménynaplóban, és hogyan jeleníthető meg a Következő lépések lapon. |
| cím | Sztring | Az adatösszekötő oldalán megjelenő cím. |
Bonyolult összehozni ezeket a darabokat. Az összekötőoldal felhasználói élményének érvényesítő eszközével tesztelheti az ön által összeállított összetevőket.
dataTypes
| Tömbérték | Típus | Leírás |
|---|---|---|
| név | Sztring | A változóklastDataReceivedQuery tartalmas leírása, beleértve a változók támogatását is. Példa: {{graphQueriesTableName}} |
| lastDataReceivedQuery | Sztring | Egy KQL-lekérdezés, amely egy sort ad vissza, és jelzi, hogy mikor érkeztek utoljára adatok, vagy ha nincsenek releváns adatok. Példa: {{graphQueriesTableName}}\n | summarize Time = max(TimeGenerated)\n | where isnotempty(Time) |
graphQueries
Olyan lekérdezést határoz meg, amely az adatbetöltést mutatja be az Adatdiagramok panelen az elmúlt két hétben.
Adjon meg egy lekérdezést az adatösszekötő összes adattípusához, vagy adjon meg egy másik lekérdezést minden adattípushoz.
| Tömbérték | Típus | Leírás |
|---|---|---|
| metricName | Sztring | A gráf értelmes neve. Példa: Total data received |
| legenda | Sztring | A diagram jobb oldalán lévő jelmagyarázatban megjelenő sztring, beleértve egy változóhivatkozást is. Példa: {{graphQueriesTableName}} |
| baseQuery | Sztring | A releváns eseményeket szűrő lekérdezés, beleértve egy változóhivatkozást is. Példa: TableName_CL | where ProviderName == "myprovider" vagy {{graphQueriesTableName}} |
instructionSteps
Ez a szakasz olyan paramétereket tartalmaz, amelyek meghatározzák a Microsoft Sentinel adatösszekötő oldalán megjelenő utasításokat.
útmutató
Utasítások egy csoportját jeleníti meg paraméterekként különböző beállításokkal, valamint további utasítások csoportokba való beágyazásának lehetőségével.
| Paraméter | Tömbtulajdonság | Leírás |
|---|---|---|
| APIKey | APIKey | Adjon helyőrzőket az összekötő JSON-konfigurációs fájljához. |
| CopyableLabel | CopyableLabel | Egy szövegmezőt jelenít meg, amelynek végén egy másolási gomb látható. Ha a gomb ki van jelölve, a mező értéke ki lesz másolva. |
| InfoMessage | InfoMessage | Beágyazott információs üzenetet definiál. |
| InstructionStepsGroup | InstructionStepsGroup | Az utasítások egy csoportját jeleníti meg, amely opcionálisan kibontható vagy összecsukható, külön utasítások szakaszában. |
| InstallAgent | InstallAgent | Az Azure más részeire mutató hivatkozást jelenít meg a különböző telepítési követelmények teljesítéséhez. |
APIKey
Érdemes lehet létrehozni egy JSON-konfigurációs fájlsablont helyőrző paraméterekkel, hogy több összekötő között is újra felhasználható legyen, vagy akár olyan összekötőt is létrehozhat, amely jelenleg nem rendelkezik adatokkal.
Helyőrző paraméterek létrehozásához adjon meg egy további tömböt userRequestPlaceHoldersInput a CCP JSON-konfigurációs fájl Utasítások szakaszában a következő szintaxis használatával:
"instructions": [
{
"parameters": {
"enable": "true",
"userRequestPlaceHoldersInput": [
{
"displayText": "Organization Name",
"requestObjectKey": "apiEndpoint",
"placeHolderName": "{{placeHolder}}"
}
]
},
"type": "APIKey"
}
]
A userRequestPlaceHoldersInput paraméter a következő attribútumokat tartalmazza:
| Név | Típus | Leírás |
|---|---|---|
| Megjelenítési szöveg | Sztring | Meghatározza a szövegdoboz megjelenítési értékét, amely a felhasználó számára a csatlakozáskor jelenik meg. |
| RequestObjectKey | Sztring | A pollingConfig kérés szakaszában megadott azonosítót határozza meg a helyőrző értéknek a felhasználó által megadott értékkel való helyettesítéséhez. Ha nem használja ezt az attribútumot, használja inkább az PollingKeyPaths attribútumot. |
| PollingKeyPaths | Sztring | Olyan JsonPath-objektumok tömbjének definiálása, amelyek az API-hívást a sablon bármely pontjára irányítják, hogy egy helyőrző értéket lecseréljenek egy felhasználói értékre. Példa: "pollingKeyPaths":["$.request.queryParameters.test1"] Ha nem használja ezt az attribútumot, használja inkább az RequestObjectKey attribútumot. |
| Helyőrző neve | Sztring | Meghatározza a helyőrző paraméter nevét a JSON-sablonfájlban. Ez bármilyen egyedi érték lehet, például {{placeHolder}}. |
CopyableLabel
Példa:
Mintakód:
{
"parameters": {
"fillWith": [
"WorkspaceId",
"PrimaryKey"
],
"label": "Here are some values you'll need to proceed.",
"value": "Workspace is {0} and PrimaryKey is {1}"
},
"type": "CopyableLabel"
}
| Tömbérték | Típus | Leírás |
|---|---|---|
| fillWith | ENUM | Opcionális. A helyőrzők kitöltéséhez használt környezeti változók tömbje. Több helyőrző elválasztása vesszővel. Például: {0},{1} Támogatott értékek: workspaceId, workspaceName, primaryKey, MicrosoftAwsAccountsubscriptionId |
| címke | Sztring | Meghatározza a címke szövegét egy szövegdoboz fölött. |
| value | Sztring | Meghatározza a szövegmezőben megjelenítendő értéket, támogatja a helyőrzőket. |
| Sorok | Rows (Sorok) | Opcionális. Meghatározza a felhasználói felület területén lévő sorokat. Alapértelmezés szerint állítsa be az 1 értéket. |
| wideLabel | Logikai | Opcionális. Meghatározza a hosszú sztringek széles címkéjét. Alapértelmezés szerint a következőre van állítva: false. |
InfoMessage
Íme egy példa egy beágyazott információs üzenetre:
Ezzel szemben az alábbi képen egy nem beágyazott információs üzenet látható:
| Tömbérték | Típus | Leírás |
|---|---|---|
| text | Sztring | Adja meg az üzenetben megjelenítendő szöveget. |
| látható | Logikai | Meghatározza, hogy megjelenik-e az üzenet. |
| Inline | Logikai | Meghatározza, hogyan jelenik meg az információs üzenet. - true: (Ajánlott) Az utasításokba ágyazott információs üzenetet jeleníti meg. - false: Kék hátteret ad hozzá. |
InstructionStepsGroup
Íme egy példa egy bővíthető utasításcsoportra:
| Tömbérték | Típus | Leírás |
|---|---|---|
| cím | Sztring | Meghatározza az utasítási lépés címét. |
| canCollapseAllSections | Logikai | Opcionális. Meghatározza, hogy a szakasz összecsukható harmonika-e vagy sem. |
| noFxPadding | Logikai | Opcionális. Ha true, csökkenti a magasság párnázást, hogy helyet takarítson meg. |
| Bővített | Logikai | Opcionális. Ha true, alapértelmezés szerint kibontottként jelenik meg. |
Részletes példa: A Windows DNS-összekötő konfigurációs JSON-ja.
InstallAgent
Egyes InstallAgent-típusok gombként jelennek meg, mások hivatkozásként jelennek meg. Íme néhány példa mindkettőre:
| Tömbértékek | Típus | Leírás |
|---|---|---|
| linkType | ENUM | A hivatkozás típusát a következő értékek egyikeként határozza meg: InstallAgentOnWindowsVirtualMachineInstallAgentOnWindowsNonAzureInstallAgentOnLinuxVirtualMachineInstallAgentOnLinuxNonAzureOpenSyslogSettingsOpenCustomLogsSettingsOpenWafOpenAzureFirewall OpenMicrosoftAzureMonitoring OpenFrontDoors OpenCdnProfile AutomaticDeploymentCEF OpenAzureInformationProtection OpenAzureActivityLog OpenIotPricingModel OpenPolicyAssignment OpenAllAssignmentsBlade OpenCreateDataCollectionRule |
| policyDefinitionGuid | Sztring | Az OpenPolicyAssignment linkType használatakor kötelező. Szabályzatalapú összekötők esetén a beépített szabályzatdefiníció GUID-azonosítója lesz meghatározva. |
| assignMode | ENUM | Opcionális. Szabályzatalapú összekötők esetén a hozzárendelési módot a következő értékek egyikeként határozza meg: Initiative, Policy |
| dataCollectionRuleType | ENUM | Opcionális. A DCR-alapú összekötők esetében az adatgyűjtési szabály típusát az alábbiak egyikeként határozza meg: SecurityEvent, ForwardEvent |
metaadatok
Ez a szakasz metaadatokat biztosít az adatösszekötő felhasználói felületén a Leírás területen.
| Gyűjtemény értéke | Típus | Leírás |
|---|---|---|
| fajta | Sztring | Meghatározza, hogy milyen TÍPUSÚ ARM-sablont hoz létre. Mindig használja dataConnector. |
| forrás | Sztring | Az adatforrást az alábbi szintaxissal írja le: {"kind":húr"name":húr} |
| szerző | Sztring | Az adatösszekötő szerzőjének leírása az alábbi szintaxissal: {"name":húr} |
| támogat | Sztring | Írja le az adatösszekötőhöz biztosított támogatást az alábbi szintaxissal: {"tier":húr"name":húr"email":húr"link":URL-sztring} |
engedélyek
| Tömbérték | Típus | Leírás |
|---|---|---|
| vám | Sztring | Az adatkapcsolathoz szükséges egyéni engedélyeket az alábbi szintaxisban ismerteti: {"name":húr,"description":húr} Példa: A vámérték kék információs ikonnal jelenik meg a Microsoft Sentinel Előfeltételek szakaszában. A GitHub-példában ez korrelál a GitHub API személyes jogkivonat kulcsával: Hozzá kell férnie a GitHub személyes jogkivonatához... |
| Licencek | ENUM | A szükséges licenceket a következő értékek egyikeként határozza meg: OfficeIRM,OfficeATP, Office365, AadP1P2, Mcas, Aatp, Mdatp, MtpIoT Példa: A licencek értéke a Microsoft Sentinelben a következőként jelenik meg: Licenc: Szükséges prémium szintű Azure AD P2 |
| resourceProvider | resourceProvider | Az Azure-erőforrás előfeltételeit ismerteti. Példa: A resourceProvider érték a Microsoft Sentinel Előfeltételek szakaszában a következőképpen jelenik meg: Munkaterület: olvasási és írási engedély szükséges. Kulcsok: olvasási engedélyek szükségesek a munkaterület megosztott kulcsaihoz. |
| bérlő | ENUM-értékek tömbje Példa: "tenant": ["GlobalADmin","SecurityAdmin"] |
A szükséges engedélyeket a következő értékek közül egy vagy többként határozza meg: "GlobalAdmin", "SecurityAdmin", , "SecurityReader""InformationProtection" Példa: a Microsoft Sentinel bérlői értékét a következőképpen jeleníti meg: Bérlői engedélyek: Szükséges Global Administrator vagy Security Administrator a munkaterület bérlőjén |
resourceProvider
| altömbérték | Típus | Leírás |
|---|---|---|
| szolgáltató | ENUM | Az erőforrás-szolgáltatót az alábbi értékek egyikével írja le: - Microsoft.OperationalInsights/workspaces - Microsoft.OperationalInsights/solutions- Microsoft.OperationalInsights/workspaces/datasources- microsoft.aadiam/diagnosticSettings- Microsoft.OperationalInsights/workspaces/sharedKeys- Microsoft.Authorization/policyAssignments |
| providerDisplayName | Sztring | Az Előfeltételek csoportban található listaelem, amely piros "x" vagy zöld pipát jelenít meg, amikor a szükségespermissionek érvényesítve vannak az összekötő oldalán. Példa "Workspace" |
| permissionsDisplayText | Sztring | Szöveg megjelenítése olvasási, írási vagy olvasási és írási engedélyekhez, amelyeknek meg kell felelnie a kötelező időszakokban konfigurált értékeknek |
| requiredPermissions | {"action":Logikai,"delete":Logikai,"read":Logikai,"write":Logikai} |
Az összekötőhöz szükséges minimális engedélyeket ismerteti. |
| kiterjedés | ENUM | Az adatösszekötő hatókörét az alábbi értékek egyikeként írja le: "Subscription", , "ResourceGroup""Workspace" |
sampleQueries
| tömbérték | Típus | Leírás |
|---|---|---|
| leírás | Sztring | A minta lekérdezés érthető leírása. Példa: Top 10 vulnerabilities detected |
| lekérdezés | Sztring | Mintalekérdezés az adattípus adatainak lekéréséhez. Példa: {{graphQueriesTableName}}\n | sort by TimeGenerated\n | take 10 |
Egyéb hivatkozásbeállítások konfigurálása
Ha a markdown használatával szeretne beágyazott hivatkozást definiálni, használja az alábbi példát. Itt egy hivatkozás található egy utasítás leírásában:
{
"title": "",
"description": "Make sure to configure the machine's security according to your organization's security policy\n\n\n[Learn more >](https://aka.ms/SecureCEF)"
}
A hivatkozás ARM-sablonként való definiálásához használja az alábbi példát útmutatóként:
{
"title": "Azure Resource Manager (ARM) template",
"description": "1. Click the **Deploy to Azure** button below.\n\n\t[]({URL to custom ARM template})"
}
Az adatösszekötő lap felhasználói élményének ellenőrzése
Kövesse az alábbi lépéseket az összekötő felhasználói élményének megjelenítéséhez és ellenőrzéséhez.
- A teszt segédprogram ezen AZ URL-címen érhető el : https://aka.ms/sentineldataconnectorvalidateurl
- Ugrás a Microsoft Sentinel –> Adatösszekötők szolgáltatásra
- Kattintson az "importálás" gombra, és válasszon ki egy json-fájlt, amely csak az
connectorUiConfigadatösszekötő szakaszát tartalmazza.
Az érvényesítési eszközről további információt a GitHub buildelési útmutatójában, az összekötők összeállítására vonatkozó útmutatóban talál.
Feljegyzés
Mivel az APIKey utasításparamétere a kód nélküli összekötőre vonatkozik, ideiglenesen távolítsa el ezt a szakaszt az érvényesítési eszköz használatához, vagy sikertelen lesz.
Az összekötő lekérdezési beállításainak konfigurálása
Ez a szakasz azt ismerteti, hogyan történik az adatok lekérdezése az adatforrásból egy kód nélküli adatösszekötőhöz.
Az alábbi kód a CCP konfigurációs fájl szakaszának szintaxisát pollingConfig mutatja be.
"pollingConfig": {
"auth": {
},
"request": {
},
"response": {
},
"paging": {
}
}
A pollingConfig szakasz a következő tulajdonságokat tartalmazza:
| Név | Típus | Leírás |
|---|---|---|
| Auth | Sztring | Az adatok lekérdezésének hitelesítési tulajdonságait ismerteti. További információ: hitelesítési konfiguráció. |
| auth.authType | Sztring | Kötelező. Az objektumba auth ágyazott hitelesítés típusát az alábbi értékek egyikeként határozza meg: Basic, , APIKeyOAuth2 |
| kérés | Beágyazott JSON | Kötelező. Az adatok lekérdezéséhez szükséges hasznos adatokat ismerteti, például az API-végpontot. További információ: kéréskonfiguráció. |
| válasz | Beágyazott JSON | Kötelező. Az API-ból az adatok lekérdezésekor visszaadott válaszobjektumot és beágyazott üzenetet ismerteti. További információ: válaszkonfiguráció. |
| lapozás | Beágyazott JSON | Opcionális. A lapozás hasznos adatait ismerteti az adatok lekérdezése során. További információ: lapozási konfiguráció. |
További információ: PollingConfig-mintakód.
hitelesítés konfigurálása
A auth pollingConfig konfiguráció szakasza az authType elemben definiált típustól függően a következő paramétereket tartalmazza:
Alapszintű authType-paraméterek
| Név | Típus | Leírás |
|---|---|---|
| Felhasználónév | Sztring | Kötelező. Meghatározza a felhasználónevet. |
| Jelszó | Sztring | Kötelező. A felhasználói jelszót határozza meg. |
APIKey authType paraméterek
| Név | Típus | Leírás |
|---|---|---|
| APIKeyName | Sztring | Opcionális. Az API-kulcs nevét a következő értékek egyikeként határozza meg: - XAuthToken - Authorization |
| IsAPIKeyInPostPayload | Logikai | Meghatározza, hogy hol van definiálva az API-kulcs. Igaz: Az API-kulcs a POST-kérelem hasznos adatai között van definiálva Hamis: Az API-kulcs a fejlécben van definiálva |
| APIKeyIdentifier | Sztring | Opcionális. Meghatározza az API-kulcs azonosítójának nevét. Ha például az engedélyezés a következőképpen van definiálva "Authorization": "token <secret>", ez a paraméter a következőképpen van definiálva: {APIKeyIdentifier: “token”}) |
OAuth2 authType paraméterek
A Kód nélküli összekötő platform támogatja az OAuth 2.0 engedélyezési kód megadását.
Az engedélyezési kód megadásának típusát a bizalmas és nyilvános ügyfelek használják egy hozzáférési jogkivonat engedélyezési kódjának cseréjére.
Miután a felhasználó az átirányítási URL-címen keresztül visszatér az ügyfélhez, az alkalmazás lekéri az engedélyezési kódot az URL-címről, és ezzel hozzáférési jogkivonatot kér.
| Név | Típus | Leírás |
|---|---|---|
| FlowName | Sztring | Kötelező. OAuth2-folyamatot definiál. Támogatott érték: AuthCode – engedélyezési folyamatot igényel |
| AccessToken | Sztring | Opcionális. OAuth2 hozzáférési jogkivonatot határoz meg, amely akkor releváns, ha a hozzáférési jogkivonat nem jár le. |
| AccessTokenPrepend | Sztring | Opcionális. Előre definiál egy OAuth2 hozzáférési jogkivonatot. Az alapértelmezett szint a Bearer. |
| RefreshToken | Sztring | OAuth2 hitelesítési típusok esetén kötelező. Az OAuth2 frissítési jogkivonatát határozza meg. |
| TokenEndpoint | Sztring | OAuth2 hitelesítési típusok esetén kötelező. Az OAuth2 tokenszolgáltatás végpontjának meghatározása. |
| AuthorizationEndpoint | Sztring | Opcionális. Az OAuth2 engedélyezési szolgáltatás végpontjának meghatározása. Csak előkészítéskor vagy frissítési jogkivonat megújításakor használható. |
| RedirectionEndpoint | Sztring | Opcionális. Átirányítási végpontot határoz meg az előkészítés során. |
| AccessTokenExpirationDateTimeInUtc | Sztring | Opcionális. A hozzáférési jogkivonat lejárati dátumidejét határozza meg UTC formátumban. Akkor releváns, ha a hozzáférési jogkivonat nem jár le, és ezért nagy dátumidővel rendelkezik UTC-ben, vagy ha a hozzáférési jogkivonat nagy lejárati dátummal rendelkezik. |
| RefreshTokenExpirationDateTimeInUtc | Sztring | OAuth2 hitelesítési típusok esetén kötelező. A frissítési jogkivonat lejárati dátumát határozza meg UTC formátumban. |
| TokenEndpointHeaders | Szótári sztring<, objektum> | Opcionális. OAuth2-jogkivonat-szolgáltatásvégpont meghívásakor határozza meg a fejléceket. Sztring definiálása szerializált dictionary<string, string> formátumban: {'<attr_name>': '<val>', '<attr_name>': '<val>'... } |
| AuthorizationEndpointHeaders | Szótári sztring<, objektum> | Opcionális. OAuth2 engedélyezési szolgáltatásvégpont meghívásakor határozza meg a fejléceket. Csak előkészítéskor vagy frissítési jogkivonat megújításakor használható. Sztring definiálása szerializált dictionary<string, object> formátumban: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ... } |
| AuthorizationEndpointQueryParameters | Szótári sztring<, objektum> | Opcionális. Lekérdezési paramétereket határoz meg egy OAuth2 engedélyezési szolgáltatásvégpont meghívásakor. Csak előkészítéskor vagy frissítési jogkivonat megújításakor használható. Sztring definiálása szerializált dictionary<string, object> formátumban: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ... } |
| TokenEndpointQueryParameters | Szótári sztring<, objektum> | Opcionális. Lekérdezési paraméterek definiálása az OAuth2 tokenszolgáltatás-végpont meghívásakor. Sztring definiálása szerializált dictionary<string, object> formátumban: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ... } |
| IsTokenEndpointPostPayloadJson | Logikai | Nem kötelező, az alapértelmezett érték hamis. Meghatározza, hogy a lekérdezési paraméterek JSON formátumban vannak-e, és a kérelem POST hasznos adataiban vannak-e beállítva. |
| IsClientSecretInHeader | Logikai | Nem kötelező, az alapértelmezett érték hamis. Meghatározza, hogy az értékek és client_secret az client_id értékek a fejlécben vannak-e definiálva, ahogyan az alapszintű hitelesítési sémában történik, és nem a POST hasznos adatban. |
| RefreshTokenLifetimeinSecAttributeName | Sztring | Opcionális. A jogkivonat végpontjának válaszából adja meg az attribútum nevét, másodpercben megadva a frissítési jogkivonat élettartamát. |
| IsJwtBearerFlow | Logikai | Nem kötelező, az alapértelmezett érték hamis. Meghatározza, hogy JWT-t használ-e. |
| JwtHeaderInJson | Szótári sztring<, objektum> | Opcionális. A JWT-fejlécek definiálása JSON formátumban. Sztring definiálása szerializált dictionary<string, object> formátumban: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>...} |
| JwtClaimsInJson | Szótári sztring<, objektum> | Opcionális. JWT-jogcímeket definiál JSON formátumban. Sztring definiálása szerializált dictionary<string, object> formátumban: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ...} |
| JwtPem | Sztring | Opcionális. Titkos kulcsot definiál PEM Pkcs1 formátumban: '-----BEGIN RSA PRIVATE KEY-----\r\n{privatekey}\r\n-----END RSA PRIVATE KEY-----\r\n'Ügyeljen arra, hogy a '\r\n' kód a helyén maradjon. |
| RequestTimeoutInSeconds | Egész | Opcionális. Másodpercben határozza meg az időtúllépést a jogkivonat-szolgáltatásvégpont meghívásakor. Az alapértelmezett érték 180 másodperc |
Íme egy példa egy OAuth2-konfiguráció megjelenésére:
"pollingConfig": {
"auth": {
"authType": "OAuth2",
"authorizationEndpoint": "https://accounts.google.com/o/oauth2/v2/auth?access_type=offline&prompt=consent",
"redirectionEndpoint": "https://portal.azure.com/TokenAuthorize",
"tokenEndpoint": "https://oauth2.googleapis.com/token",
"authorizationEndpointQueryParameters": {},
"tokenEndpointHeaders": {
"Accept": "application/json"
},
"TokenEndpointQueryParameters": {},
"isClientSecretInHeader": false,
"scope": "https://www.googleapis.com/auth/admin.reports.audit.readonly",
"grantType": "authorization_code",
"contentType": "application/x-www-form-urlencoded",
"FlowName": "AuthCode"
},
Munkamenet-authType paraméterek
| Név | Típus | Leírás |
|---|---|---|
| Lekérdezésparaméterek | Szótári sztring<, objektum> | Opcionális. A lekérdezési paraméterek listája szerializált dictionary<string, string> formátumban: {'<attr_name>': '<val>', '<attr_name>': '<val>'... } |
| IsPostPayloadJson | Logikai | Opcionális. Meghatározza, hogy a lekérdezési paraméterek JSON formátumban vannak-e. |
| Fejlécek | Szótári sztring<, objektum> | Opcionális. Meghatározza a végpont a munkamenet-azonosító lekéréséhez és a végponti API meghívásához használt fejlécet. Adja meg a sztringet szerializált dictionary<string, string> formátumban: {'<attr_name>': '<val>', '<attr_name>': '<val>'... } |
| SessionTimeoutInMinutes | Sztring | Opcionális. Percekben megadott munkamenet-időtúllépést határoz meg. |
| SessionIdName | Sztring | Opcionális. A munkamenet azonosítójának nevét határozza meg. |
| SessionLoginRequestUri | Sztring | Opcionális. A munkamenet-bejelentkezési kérelem URI-nak definiálása. |
Konfiguráció kérése
A request pollingConfig konfiguráció szakasza a következő paramétereket tartalmazza:
| Név | Típus | Leírás |
|---|---|---|
| apiEndpoint | Sztring | Kötelező. Meghatározza az adatokat lekérni kívánt végpontot. |
| httpMethod | Sztring | Kötelező. Meghatározza az API-metódust: GET vagy POST |
| queryTimeFormat | Sztring vagy UnixTimestamp vagy UnixTimestampInMills | Kötelező. Meghatározza a lekérdezési idő meghatározásához használt formátumot. Ez az érték lehet sztring, vagy UnixTimestamp vagy UnixTimestampInMills formátumban, hogy jelezze a lekérdezés kezdő és befejező időpontját a UnixTimestampban. |
| startTimeAttributeName | Sztring | Opcionális. Meghatározza annak az attribútumnak a nevét, amely meghatározza a lekérdezés kezdési idejét. |
| endTimeAttributeName | Sztring | Opcionális. Meghatározza annak az attribútumnak a nevét, amely meghatározza a lekérdezés befejezési idejét. |
| queryTimeIntervalAttributeName | Sztring | Opcionális. A lekérdezési időintervallumot meghatározó attribútum nevét határozza meg. |
| queryTimeIntervalDelimiter | Sztring | Opcionális. Meghatározza a lekérdezési időintervallum elválasztó értékét. |
| queryWindowInMin | Egész | Opcionális. Percekben definiálja az elérhető lekérdezési ablakot. Minimális érték: 5 |
| queryParameters | Szótári sztring<, objektum> | Opcionális. Meghatározza a lekérdezésben átadott paramétereket az eventsJsonPaths elérési úton. Adja meg a sztringet szerializált dictionary<string, string> formátumban: {'<attr_name>': '<val>', '<attr_name>': '<val>'... }. |
| queryParametersTemplate | Sztring | Opcionális. Meghatározza a lekérdezési paraméterek speciális forgatókönyvekben való átadásához használandó lekérdezési paraméterek sablont. Például: "queryParametersTemplate": "{'cid': 1234567, 'cmd': 'reporting', 'format': 'siem', 'data': { 'from': '{_QueryWindowStartTime}', 'to': '{_QueryWindowEndTime}'}, '{_APIKeyName}': '{_APIKey}'}" {_QueryWindowStartTime} és {_QueryWindowEndTime} csak a queryParameters queryParametersTemplate paraméterek támogatottak. {_APIKeyName} és {_APIKey} csak a queryParametersTemplate kérelemparaméter támogatja. |
| isPostPayloadJson | Logikai | Opcionális. Meghatározza, hogy a POST hasznos adat JSON formátumban van-e. |
| rateLimitQPS | Kétszeres | Opcionális. Meghatározza a másodpercben engedélyezett hívások vagy lekérdezések számát. |
| timeoutInSeconds | Egész | Opcionális. Másodpercben határozza meg a kérés időtúllépését. |
| retryCount | Egész | Opcionális. Meghatározza az újrapróbálkozások számát, ha szükséges. |
| Fejlécek | Szótári sztring<, objektum> | Opcionális. A kérelem fejlécének értékét szerializált dictionary<string, object> formátumban határozza meg: {'<attr_name>': '<serialized val>', '<attr_name>': '<serialized val>'... } |
Válaszkonfiguráció
A response pollingConfig konfiguráció szakasza a következő paramétereket tartalmazza:
Az alábbi kód egy felső szintű üzenet eventsJsonPaths értékére mutat példát:
"eventsJsonPaths": [
"$"
]
Lapozási konfiguráció
A paging pollingConfig konfiguráció szakasza a következő paramétereket tartalmazza:
| Név | Típus | Leírás |
|---|---|---|
| pagingType | Sztring | Kötelező. Az eredményekben használandó lapozási típust határozza meg a következő értékek egyikeként: None, LinkHeader, , NextPageToken, NextPageUrlOffset |
| linkHeaderTokenJsonPath | Sztring | Opcionális. Meghatározza a válasz JSON-fejlécében a hivatkozás fejlécének JSON-elérési útját, ha az LinkHeader nincs definiálva a válaszfejlécben. |
| nextPageTokenJsonPath | Sztring | Opcionális. Meghatározza a következő lap jogkivonatának JSON-elérési útját. |
| hasNextFlagJsonPath | Sztring | Opcionális. Meghatározza a jelzőattribútum elérési útját HasNextPage . |
| nextPageTokenResponseHeader | Sztring | Opcionális. Meghatározza a következő lap jogkivonatfejlécének nevét a válaszban. |
| nextPageParaName | Sztring | Opcionális. Meghatározza a következő lap nevét a kérelemben. |
| nextPageRequestHeader | Sztring | Opcionális. Meghatározza a kérelem következő oldalfejlécének nevét. |
| nextPageUrl | Sztring | Opcionális. Meghatározza a következő oldal URL-címét, ha az eltér a kezdeti kérés URL-címétől. |
| nextPageUrlQueryParameters | Sztring | Opcionális. Meghatározza a következő oldal URL-címének lekérdezési paramétereit, ha az eltér a kezdeti kérés URL-címétől. Adja meg a sztringet szerializált dictionary<string, object> formátumban: {'<attr_name>': <val>, '<attr_name>': <val>... } |
| offsetParaName | Sztring | Opcionális. Meghatározza az eltolási paraméter nevét. |
| pageSizeParaName | Sztring | Opcionális. Meghatározza az oldalméret paraméter nevét. |
| PageSize | Egész | Meghatározza a lapozás méretét. |
Minta pollingConfig-kód
Az alábbi kód a központi szerződő fél konfigurációs fájljának egy szakaszát pollingConfig mutatja be:
"pollingConfig": {
"auth": {
"authType": "APIKey",
"APIKeyIdentifier": "token",
"APIKeyName": "Authorization"
},
"request": {
"apiEndpoint": "https://api.github.com/../{{placeHolder1}}/audit-log",
"rateLimitQPS": 50,
"queryWindowInMin": 15,
"httpMethod": "Get",
"queryTimeFormat": "yyyy-MM-ddTHH:mm:ssZ",
"retryCount": 2,
"timeoutInSeconds": 60,
"headers": {
"Accept": "application/json",
"User-Agent": "Scuba"
},
"queryParameters": {
"phrase": "created:{_QueryWindowStartTime}..{_QueryWindowEndTime}"
}
},
"paging": {
"pagingType": "LinkHeader",
"pageSizeParaName": "per_page"
},
"response": {
"eventsJsonPaths": [
"$"
]
}
}
Az összekötő üzembe helyezése a Microsoft Sentinelben és az adatok betöltése
Miután létrehozta a JSON-konfigurációs fájlt, beleértve a felhasználói felületet és a lekérdezési konfigurációt is, helyezze üzembe az összekötőt a Microsoft Sentinel-munkaterületen.
Az adatösszekötő üzembe helyezéséhez használja az alábbi lehetőségek egyikét.
Tipp.
Az Azure Resource Manager-sablonon (ARM) keresztül történő üzembe helyezés előnye, hogy több érték is beépített a sablonba, és nem kell manuálisan definiálnia őket egy API-hívásban.
Csomagolja be a JSON-konfigurációs gyűjteményeket egy ARM-sablonba az összekötő üzembe helyezéséhez. Annak biztosításához, hogy az adatösszekötő a megfelelő munkaterületre legyen üzembe helyezve, adja meg a munkaterületet az ARM-sablonban, vagy válassza ki a munkaterületet az ARM-sablon üzembe helyezésekor.
Készítse elő az ARM-sablon JSON-fájlját az összekötőhöz. Lásd például a következő ARM-sablon JSON-fájljait:
- Adatösszekötő a Slack-megoldásban
- Adatösszekötő a GitHub-megoldásban
Az Azure Portalon keressen egy egyéni sablon üzembe helyezésére.
Az Egyéni üzembe helyezés lapon válassza a Saját sablon létrehozása a szerkesztőBetöltés>fájlban lehetőséget. Keresse meg és jelölje ki a helyi ARM-sablont, majd mentse a módosításokat.
Válassza ki az előfizetést és az erőforráscsoportot, majd adja meg azt a Log Analytics-munkaterületet, ahol üzembe szeretné helyezni az egyéni összekötőt.
Válassza a Véleményezés + létrehozás lehetőséget az egyéni összekötő Microsoft Sentinelben való üzembe helyezéséhez.
A Microsoft Sentinelben nyissa meg az Adatösszekötők lapot, és keresse meg az új összekötőt. Konfigurálja az adatok betöltésének megkezdéséhez.
További információ: Helyi sablon üzembe helyezése az Azure Resource Manager dokumentációjában.
Konfigurálja az adatösszekötőt az adatforrás csatlakoztatásához és az adatok Microsoft Sentinelbe való betöltéséhez. Az adatforráshoz a portálon, a beépített adatösszekötőkhöz hasonlóan, vagy az API-val is csatlakozhat.
Amikor az Azure Portalon csatlakozik, a rendszer automatikusan elküldi a felhasználói adatokat. Amikor API-val csatlakozik, el kell küldenie a megfelelő hitelesítési paramétereket az API-hívásban.
A Microsoft Sentinel adatösszekötő oldalán kövesse az adatösszekötőhöz való csatlakozáshoz megadott utasításokat.
A Microsoft Sentinel adatösszekötő lapját a CCP JSON-konfigurációs fájl elemében található
connectorUiConfigInstructionSteps-konfiguráció vezérli. Ha problémákat tapasztal a felhasználói felület kapcsolatával kapcsolatban, győződjön meg arról, hogy a hitelesítési típushoz megfelelő konfigurációval rendelkezik.A Microsoft Sentinelben lépjen a Naplók lapra, és ellenőrizze, hogy látja-e a naplókat az adatforrásból a munkaterületre.
Ha nem látja a Microsoft Sentinelbe áramló adatokat, ellenőrizze az adatforrás dokumentációját és az erőforrások hibaelhárítását, ellenőrizze a konfiguráció részleteit, és ellenőrizze a kapcsolatot. További információ: Az adatösszekötők állapotának figyelése.
Az összekötő leválasztása
Ha már nincs szüksége az összekötő adataira, bontsa le az összekötőt az adatfolyam leállításához.
Kövesse az alábbi módszerek egyikét:
Azure Portal: A Microsoft Sentinel adatösszekötő lapján válassza a Leválasztás lehetőséget.
API: A DISCONNECT API használatával put hívást küldhet üres törzstel a következő URL-címre:
https://management.azure.com /subscriptions/{{SUB}}/resourceGroups/{{RG}}/providers/Microsoft.OperationalInsights/workspaces/{{WS-NAME}}/providers/Microsoft.SecurityInsights/dataConnectors/{{Connector_Id}}/disconnect?api-version=2021-03-01-preview
Következő lépések
Ha még nem tette meg, ossza meg az új kód nélküli adatösszekötőt a Microsoft Sentinel közösségével! Hozzon létre egy megoldást az adatösszekötőhöz, és ossza meg a Microsoft Sentinel Marketplace-en.
További információk: