Adatösszekötő-definíciók referenciája a Kód nélküli összekötő platformhoz
Ha a Kód nélküli összekötő platformmal (CCP) szeretne adatösszekötőt létrehozni, használja ezt a dokumentumot a Microsoft Sentinel REST API for Data Connector Definitions referenciadokumentumainak kiegészítéseként. Ez a referenciadokumentum a következő szakaszra bővül:
connectorUiConfig
- meghatározza a Microsoft Sentinel adatösszekötő oldalán megjelenő vizuális elemeket és szöveget.
További információ: Kód nélküli összekötő létrehozása.
Adatösszekötő-definíciók – Létrehozás vagy frissítés
A REST API-dokumentumok létrehozási vagy frissítési műveletére hivatkozva keresse meg a legújabb stabil vagy előzetes API-verziót. Csak a update
művelethez van szükség az értékre etag
.
PUT metódus
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectorDefinitions/{{dataConnectorDefinitionName}}?api-version={{apiVersion}}
URI-paraméterek
További információ a legújabb API-verzióról: Adatösszekötő-definíciók – URI-paraméterek létrehozása vagy frissítése
Név | Leírás |
---|---|
dataConnectorDefinitionName | Az adatösszekötő definíciójának egyedi névnek kell lennie, és megegyezik a name kérelem törzsének paraméterével. |
resourceGroupName | Az erőforráscsoport neve, nem pedig a kis- és nagybetűk megkülönböztetése. |
subscriptionId | A cél-előfizetés azonosítója. |
workspaceName | A munkaterület neve , nem az azonosító. Regex minta: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
api-verzió | A művelethez használandó API-verzió. |
Kérés törzse
A CCP-adatösszekötő API-val való létrehozásához szükséges kérelemtörzs a következő struktúrával rendelkezik:
{
"kind": "Customizable",
"properties": {
"connectorUIConfig": {}
}
}
A dataConnectorDefinition a következő tulajdonságokkal rendelkezik:
Név | Kötelező | Típus | Leírás |
---|---|---|---|
Fajta | Igaz | Sztring | Customizable API-lekérdezési adatösszekötőhöz vagy Static más módon |
kellékek.connectorUiConfig | Igaz | Beágyazott JSON connectorUiConfig |
Az adatösszekötő felhasználói felületének konfigurációs tulajdonságai |
Az összekötő felhasználói felületének konfigurálása
Ez a szakasz az adatösszekötő oldal felhasználói felületének testreszabásához elérhető konfigurációs beállításokat ismerteti.
Az alábbi képernyőképen egy adatösszekötő-mintalap látható, amely a felhasználói felület jelentős területeinek megfelelő számokkal van kiemelve.
A felhasználói felület konfigurálásához szükséges szakasz alábbi elemei connectorUiConfig
az API TestreszabásiconnectorUiConfig részének felelnek meg.
Mező | Kötelező | Típus | Leírás | Képernyőkép: # |
---|---|---|---|---|
cím | Igaz | húr | Az adatösszekötő oldalán megjelenített cím | 0 |
id | húr | Egyéni összekötő-azonosító beállítása belső használatra | ||
embléma | húr | A képfájl elérési útja SVG formátumban. Ha nincs érték konfigurálva, a rendszer egy alapértelmezett emblémát használ. | 2 | |
kiadó | Igaz | húr | Az összekötő szolgáltatója | 3 |
descriptionMarkdown | Igaz | sztring a Markdownban | Az összekötő leírása, amely lehetővé teszi markdown nyelv hozzáadását annak továbbfejlesztéséhez. | 4 |
sampleQueries | Igaz | Beágyazott JSON sampleQueries |
Lekérdezi az ügyfelet, hogy miként keresheti meg az adatokat az eseménynaplóban. | |
graphQueries | Igaz | Beágyazott JSON graphQueries |
Az adatbetöltést az elmúlt két hétben bemutató lekérdezések. Adjon meg egy lekérdezést az adatösszekötő összes adattípusához, vagy adjon meg egy másik lekérdezést minden adattípushoz. |
5 |
graphQueriesTableName | Annak a táblának a nevét adja meg, amelybe az összekötő adatokat szúr be. Ez a név más lekérdezésekben is használható helyőrzők graphQueries és lastDataReceivedQuery értékek megadásával{{graphQueriesTableName}} . |
|||
dataTypes | Igaz | Beágyazott JSON dataTypes |
Az összekötő összes adattípusának listája, valamint egy lekérdezés, amely lekéri az egyes adattípusok utolsó eseményének időpontját. | 6 |
connectivityCriteria | Igaz | Beágyazott JSON connectivityCriteria |
Egy objektum, amely meghatározza, hogyan ellenőrizheti, hogy az összekötő csatlakoztatva van-e. | 7 |
permissions | Igaz | Beágyazott JSON permissions |
A felhasználói felület Előfeltételek szakaszában megjelenő információk, amelyek felsorolják az összekötő engedélyezéséhez vagy letiltásához szükséges engedélyeket. | 8 |
instructionSteps | Igaz | Beágyazott JSON előírás |
Vezérlőrészek tömbje, amely ismerteti az összekötő telepítését, valamint az Utasítások lapon megjelenő végrehajtható vezérlőket. | 9 |
connectivityCriteria
Mező | Kötelező | Típus | Leírás |
---|---|---|---|
Típus | Igaz | Sztring | Az alábbi két lehetőség egyike: HasDataConnectors – ez az érték a legjobb az olyan API-lekérdezési adatösszekötők esetében, mint a CCP. Az összekötőt legalább egy aktív kapcsolattal összekapcsoltnak tekintjük.isConnectedQuery – ez az érték más típusú adatösszekötők esetében a legjobb. Az összekötő akkor tekinthető összekapcsoltnak, ha a megadott lekérdezés adatokat ad vissza. |
Érték | Igaz, ha a típus isConnectedQuery |
Sztring | Lekérdezés annak megállapítására, hogy az adatok egy adott időszakon belül érkeznek-e. Például: CommonSecurityLog | where DeviceVendor == \"Vectra Networks\"\n| where DeviceProduct == \"X Series\"\n | summarize LastLogReceived = max(TimeGenerated)\n | project IsConnected = LastLogReceived > ago(7d)" |
dataTypes
Tömbérték | Típus | Leírás |
---|---|---|
név | Sztring | A változó érthető leírásalastDataReceivedQuery , beleértve a graphQueriesTableName változó támogatását is. Példa: {{graphQueriesTableName}} |
lastDataReceivedQuery | Sztring | Egy KQL-lekérdezés, amely egy sort ad vissza, és jelzi az adatok legutóbbi fogadásának időpontját, vagy ha nincsenek eredmények, nincsenek adatok. Példa: {{graphQueriesTableName}}\n | summarize Time = max(TimeGenerated)\n | where isnotempty(Time) |
graphQueries
Olyan lekérdezést határoz meg, amely az elmúlt két hét adatbetöltését mutatja be.
Adjon meg egy lekérdezést az adatösszekötő összes adattípusához, vagy adjon meg egy másik lekérdezést minden adattípushoz.
Tömbérték | Típus | Leírás |
---|---|---|
metricName | Sztring | A gráf értelmes neve. Példa: Total data received |
legenda | Sztring | A diagram jobb oldalán lévő jelmagyarázatban megjelenő sztring, beleértve egy változóhivatkozást is. Példa: {{graphQueriesTableName}} |
baseQuery | Sztring | A releváns eseményeket szűrő lekérdezés, beleértve egy változóhivatkozást is. Példa: TableName_CL | where ProviderName == "myprovider" vagy {{graphQueriesTableName}} |
engedélyek
Tömbérték | Típus | Leírás |
---|---|---|
vám | Sztring | Az adatkapcsolathoz szükséges egyéni engedélyeket az alábbi szintaxisban ismerteti: { "name": húr, "description": húr} Példa: A vámérték kék információs ikonnal jelenik meg a Microsoft Sentinel Előfeltételek szakaszában. A GitHub-példában ez az érték korrelál a GitHub API személyes jogkivonat kulcsával: Hozzá kell férnie a GitHub személyes jogkivonatához... |
Licencek | ENUM | A szükséges licenceket a következő értékek egyikeként határozza meg: OfficeIRM ,OfficeATP , Office365 , AadP1P2 , Mcas , Aatp , Mdatp , Mtp IoT Példa: A licencek értéke a Microsoft Sentinelben a következőként jelenik meg: Licenc: Szükséges prémium szintű Azure AD P2 |
resourceProvider | resourceProvider | Az Azure-erőforrás előfeltételeit ismerteti. Példa: A resourceProvider érték a Microsoft Sentinel Előfeltételek szakaszában a következőképpen jelenik meg: Munkaterület: olvasási és írási engedély szükséges. Kulcsok: olvasási engedélyek szükségesek a munkaterület megosztott kulcsaihoz. |
bérlő | ENUM-értékek tömbje Példa: "tenant": [ "GlobalADmin", "SecurityAdmin" ] |
A szükséges engedélyeket a következő értékek közül egy vagy többként határozza meg: "GlobalAdmin" , "SecurityAdmin" , , "SecurityReader" "InformationProtection" Példa: a Microsoft Sentinel bérlői értékét a következőképpen jeleníti meg: Bérlői engedélyek: Szükséges Global Administrator vagy Security Administrator a munkaterület bérlőjén |
resourceProvider
altömbérték | Típus | Leírás |
---|---|---|
szolgáltató | ENUM | Az erőforrás-szolgáltatót az alábbi értékek egyikével írja le: - Microsoft.OperationalInsights/workspaces - Microsoft.OperationalInsights/solutions - Microsoft.OperationalInsights/workspaces/datasources - microsoft.aadiam/diagnosticSettings - Microsoft.OperationalInsights/workspaces/sharedKeys - Microsoft.Authorization/policyAssignments |
providerDisplayName | Sztring | Az Előfeltételek csoportban található listaelem, amely piros "x" vagy zöld pipát jelenít meg, amikor a szükségesPermissions értékeket érvényesíti az összekötő oldalán. Példa "Workspace" |
permissionsDisplayText | Sztring | Szöveg megjelenítése olvasási, írási vagy olvasási és írási engedélyekhez, amelyeknek meg kell felelnie a kötelező időszakokban konfigurált értékeknek |
requiredPermissions | { "action": Logikai, "delete": Logikai, "read": Logikai, "write": Logikai} |
Az összekötőhöz szükséges minimális engedélyeket ismerteti. |
kiterjedés | ENUM | Az adatösszekötő hatókörét az alábbi értékek egyikeként írja le: "Subscription" , , "ResourceGroup" "Workspace" |
sampleQueries
tömbérték | Típus | Leírás |
---|---|---|
leírás | Sztring | A minta lekérdezés érthető leírása. Példa: Top 10 vulnerabilities detected |
lekérdezés | Sztring | Mintalekérdezés az adattípus adatainak lekéréséhez. Példa: {{graphQueriesTableName}}\n | sort by TimeGenerated\n | take 10 |
Egyéb hivatkozásbeállítások konfigurálása
Ha a markdown használatával szeretne beágyazott hivatkozást definiálni, használja az alábbi példát.
{
"title": "",
"description": "Make sure to configure the machine's security according to your organization's security policy\n\n\n[Learn more >](https://aka.ms/SecureCEF)"
}
A hivatkozás ARM-sablonként való definiálásához használja az alábbi példát útmutatóként:
{
"title": "Azure Resource Manager (ARM) template",
"description": "1. Click the **Deploy to Azure** button below.\n\n\t[![Deploy To Azure](https://aka.ms/deploytoazurebutton)]({URL to custom ARM template})"
}
instructionSteps
Ez a szakasz olyan paramétereket tartalmaz, amelyek meghatározzák a Microsoft Sentinel adatösszekötő oldalán megjelenő utasításokat, és a következő struktúrával rendelkezik:
"instructionSteps": [
{
"title": "",
"description": "",
"instructions": [
{
"type": "",
"parameters": {}
}
],
"innerSteps": {}
}
]
útmutató
Utasítások egy csoportját jeleníti meg, különböző paraméterekkel, valamint további utasítások csoportokba való beágyazásának lehetőségével. Az itt definiált paraméterek megfelelnek
Típus | Tömbtulajdonság | Leírás |
---|---|---|
OAuthForm | OAuthForm | Csatlakozás az OAuthtal |
Szövegmező | Szövegmező | Ez a pár a ConnectionToggleButton . 4 elérhető típus létezik:password text number email |
ConnectionToggleButton | ConnectionToggleButton | Aktiválja a DCR üzembe helyezését a helyőrző paramétereken keresztül megadott kapcsolati információk alapján. A következő paraméterek támogatottak:name :köteleződisabled isPrimary connectLabel disconnectLabel |
CopyableLabel | CopyableLabel | Egy szövegmezőt jelenít meg, amelynek végén egy másolási gomb látható. Ha a gomb ki van jelölve, a mező értéke ki lesz másolva. |
InfoMessage | InfoMessage | Beágyazott információs üzenetet definiál. |
InstructionStepsGroup | InstructionStepsGroup | Az utasítások egy csoportját jeleníti meg, amely opcionálisan kibontható vagy összecsukható, külön utasítások szakaszában. |
InstallAgent | InstallAgent | Az Azure más részeire mutató hivatkozást jelenít meg a különböző telepítési követelmények teljesítéséhez. |
OAuthForm
Ez az összetevő megköveteli, hogy a OAuth2
típus szerepel az auth
adatösszekötő-sablon tulajdonságában.
"instructions": [
{
"type": "OAuthForm",
"parameters": {
"clientIdLabel": "Client ID",
"clientSecretLabel": "Client Secret",
"connectButtonLabel": "Connect",
"disconnectButtonLabel": "Disconnect"
}
}
]
Szövegmező
Íme néhány példa a típusra Textbox
. Ezek a példák megfelelnek a Kód nélküli összekötő platform Adatösszekötők hivatkozása című példaszakaszában auth
használt paramétereknek. A 4 típus mindegyikéhez tartozik label
, placeholder
és name
.
"instructions": [
{
"type": "Textbox",
"parameters": {
{
"label": "User name",
"placeholder": "User name",
"type": "text",
"name": "username"
}
}
},
{
"type": "Textbox",
"parameters": {
"label": "Secret",
"placeholder": "Secret",
"type": "password",
"name": "password"
}
}
]
ConnectionToggleButton
"instructions": [
{
"type": "ConnectionToggleButton",
"parameters": {
"connectLabel": "toggle",
"name": "toggle"
}
}
]
CopyableLabel
Példa:
Mintakód:
{
"parameters": {
"fillWith": [
"WorkspaceId",
"PrimaryKey"
],
"label": "Here are some values you'll need to proceed.",
"value": "Workspace is {0} and PrimaryKey is {1}"
},
"type": "CopyableLabel"
}
Tömbérték | Kötelező | Típus | Leírás |
---|---|---|---|
fillWith | ENUM | A helyőrzők kitöltéséhez használt környezeti változók tömbje. Több helyőrző elválasztása vesszővel. Például: {0},{1} Támogatott értékek: workspaceId , workspaceName , primaryKey , MicrosoftAwsAccount subscriptionId |
|
címke | Igaz | Sztring | Meghatározza a címke szövegét egy szövegdoboz fölött. |
value | Igaz | Sztring | Meghatározza a szövegmezőben megjelenítendő értéket, támogatja a helyőrzőket. |
Sorok | Rows (Sorok) | Meghatározza a felhasználói felület területén lévő sorokat. Alapértelmezés szerint állítsa be az 1 értéket. | |
wideLabel | Logikai | Meghatározza a hosszú sztringek széles címkéjét. Alapértelmezés szerint a következőre van állítva: false . |
InfoMessage
Íme egy példa egy beágyazott információs üzenetre:
Ezzel szemben az alábbi képen egy nem beágyazott információs üzenet látható:
Tömbérték | Típus | Leírás |
---|---|---|
text | Sztring | Adja meg az üzenetben megjelenítendő szöveget. |
látható | Logikai | Meghatározza, hogy megjelenik-e az üzenet. |
Inline | Logikai | Meghatározza, hogyan jelenik meg az információs üzenet. - true : (Ajánlott) Az utasításokba ágyazott információs üzenetet jeleníti meg. - false : Kék hátteret ad hozzá. |
InstructionStepsGroup
Íme egy példa egy bővíthető utasításcsoportra:
Tömbérték | Kötelező | Típus | Leírás |
---|---|---|---|
cím | Igaz | Sztring | Meghatározza az utasítási lépés címét. |
leírás | Sztring | Nem kötelező leíró szöveg. | |
canCollapseAllSections | Logikai | Meghatározza, hogy a szakasz összecsukható harmonika-e vagy sem. | |
noFxPadding | Logikai | Ha true , csökkenti a magasság párnázást, hogy helyet takarítson meg. |
|
Bővített | Logikai | Ha true , alapértelmezés szerint kibontottként jelenik meg. |
Részletes példa: A Windows DNS-összekötő konfigurációs JSON-ja.
InstallAgent
Egyes InstallAgent-típusok gombként, mások hivatkozásként jelennek meg. Íme néhány példa mindkettőre:
Tömbértékek | Kötelező | Típus | Leírás |
---|---|---|---|
linkType | Igaz | ENUM | A hivatkozás típusát a következő értékek egyikeként határozza meg: InstallAgentOnWindowsVirtualMachine InstallAgentOnWindowsNonAzure InstallAgentOnLinuxVirtualMachine InstallAgentOnLinuxNonAzure OpenSyslogSettings OpenCustomLogsSettings OpenWaf OpenAzureFirewall OpenMicrosoftAzureMonitoring OpenFrontDoors OpenCdnProfile AutomaticDeploymentCEF OpenAzureInformationProtection OpenAzureActivityLog OpenIotPricingModel OpenPolicyAssignment OpenAllAssignmentsBlade OpenCreateDataCollectionRule |
policyDefinitionGuid | Igaz a linkType használatakor OpenPolicyAssignment . |
Sztring | Szabályzatalapú összekötők esetén a beépített szabályzatdefiníció GUID-azonosítója lesz meghatározva. |
assignMode | ENUM | Szabályzatalapú összekötők esetén a hozzárendelési módot a következő értékek egyikeként határozza meg: Initiative , Policy |
|
dataCollectionRuleType | ENUM | A DCR-alapú összekötők esetében az adatgyűjtési szabály típusát SecurityEvent vagy .ForwardEvent |
Példa adatösszekötő definícióra
Az alábbi példa az ebben a cikkben JSON-törzsformátumként definiált összetevők egy részét egyesíti az adatösszekötő-definíciós API-val való használathoz.
További példák a connectorUiConfig
többi CCP-adatösszekötő áttekintésére. Még az örökölt CCP-t használó összekötők is rendelkeznek érvényes példával a felhasználói felület létrehozására.
{
"kind": "Customizable",
"properties": {
"connectorUiConfig": {
"title": "Example CCP Data Connector",
"publisher": "My Company",
"descriptionMarkdown": "This is an example of data connector",
"graphQueriesTableName": "ExampleConnectorAlerts_CL",
"graphQueries": [
{
"metricName": "Alerts received",
"legend": "My data connector alerts",
"baseQuery": "{{graphQueriesTableName}}"
},
{
"metricName": "Events received",
"legend": "My data connector events",
"baseQuery": "ASIMFileEventLogs"
}
],
"sampleQueries": [
{
"description": "All alert logs",
"query": "{{graphQueriesTableName}} \n | take 10"
}
],
"dataTypes": [
{
"name": "{{graphQueriesTableName}}",
"lastDataReceivedQuery": "{{graphQueriesTableName}} \n | summarize Time = max(TimeGenerated)\n | where isnotempty(Time)"
},
{
"name": "ASIMFileEventLogs",
"lastDataReceivedQuery": "ASIMFileEventLogs \n | summarize Time = max(TimeGenerated)\n | where isnotempty(Time)"
}
],
"connectivityCriteria": [
{
"type": "HasDataConnectors"
}
],
"permissions": {
"resourceProvider": [
{
"provider": "Microsoft.OperationalInsights/workspaces",
"permissionsDisplayText": "Read and Write permissions are required.",
"providerDisplayName": "Workspace",
"scope": "Workspace",
"requiredPermissions": {
"write": true,
"read": true,
"delete": true
}
},
],
"customs": [
{
"name": "Example Connector API Key",
"description": "The connector API key username and password is required"
}
]
},
"instructionSteps": [
{
"title": "Connect My Connector to Microsoft Sentinel",
"description": "To enable the connector provide the required information below and click on Connect.\n>",
"instructions": [
{
"type": "Textbox",
"parameters": {
"label": "User name",
"placeholder": "User name",
"type": "text",
"name": "username"
}
},
{
"type": "Textbox",
"parameters": {
"label": "Secret",
"placeholder": "Secret",
"type": "password",
"name": "password"
}
},
{
"type": "ConnectionToggleButton",
"parameters": {
"connectLabel": "toggle",
"name": "toggle"
}
}
]
}
]
}
}
}
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: