Creare un connettore senza codice per Microsoft Sentinel (anteprima pubblica)
La piattaforma CCP (Codeless Connessione or Platform) offre partner, utenti avanzati e sviluppatori la possibilità di creare connettori personalizzati per l'inserimento di dati in Microsoft Sentinel.
Connessione ors creati con CCP sono completamente SaaS, senza requisiti per le installazioni di servizi. Includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Importante
La piattaforma CCP (Codeless Connessione or Platform) è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Usare la procedura seguente per creare il connettore CCP e connettere l'origine dati a Microsoft Sentinel
- Compilare il connettore dati
- Creare il modello di Resource Manager
- Distribuire il connettore
- Connessione Microsoft Sentinel all'origine dati e iniziare a inserire dati
Questo articolo illustra come completare ogni passaggio e fornire un connettore senza codice di esempio da compilare lungo il percorso.
In che modo questo CCP è diverso dalla versione precedente?
La versione iniziale del CCP è stata annunciata nel gennaio 2022. Da allora, la piattaforma è stata migliorata e la versione legacy non è più consigliata. Questa nuova versione del CCP presenta i seguenti miglioramenti chiave:
Supporto migliore per vari tipi di autenticazione e impaginazione.
Supporta le regole di raccolta dati standard.Supports standard data collection rules (DCR).
Le parti di configurazione dell'interfaccia utente e della connessione del connettore senza codice sono ora separate. Ciò consente la creazione di connettori con più connessioni che non erano possibili in precedenza.
Prerequisiti
Prima di creare un connettore, comprendere l'origine dati e il modo in cui Microsoft Sentinel deve connettersi.
Endpoint raccolta dati (DCE)
Un controller di dominio è un requisito per un record di dominio. Viene creato un solo controller di dominio per ogni distribuzione DCR dell'area di lavoro Log Analytics. Ogni controller di dominio distribuito per un'area di lavoro di Microsoft Sentinel usa lo stesso controller di dominio. Per altre informazioni su come crearne uno o se è necessario uno nuovo, vedere Endpoint di raccolta dati in Monitoraggio di Azure.
Schema delle tabelle di output.
È importante comprendere la forma del flusso di dati e i campi da includere nella tabella di output. Fare riferimento alla documentazione dell'origine dati o analizzare esempi di output sufficienti.
Cercare i componenti seguenti e verificare il supporto per tali componenti nella guida di riferimento all'API Data Connessione or:
Struttura di richiesta e risposta HTTP all'origine dati
Autenticazione richiesta dall'origine dati.
Ad esempio, se l'origine dati richiede un token firmato con un certificato, il riferimento all'API del connettore dati specifica che l'autenticazione del certificato non è supportata.Opzioni di paginazione per l'origine dati
È anche consigliabile uno strumento come Postman per convalidare i componenti del connettore dati. Per altre informazioni, vedere Usare Postman con l'API Microsoft Graph.
Compilare il connettore dati
Per compilare il connettore dati CCP sono necessari 4 componenti.
- Definizione della tabella di output
- Regola di raccolta dati
- Interfaccia utente del connettore dati
- Regole di connessione del connettore dati
Ogni componente include una sezione che descrive in dettaglio il processo di creazione e convalida. Prendere il codice JSON da ogni componente per la creazione finale del pacchetto del modello di Resource Manager.
Definizione della tabella di output
Suggerimento
Ignorare questo passaggio se i dati vengono inseriti solo nelle tabelle di Log Analytics standard. Esempi di tabelle standard includono CommonSecurityLog e ASimDnsActivityLogs. Per altre informazioni sull'elenco completo dei tipi di dati standard supportati, vedere Supporto della trasformazione dei dati per i connettori dati personalizzati.
Se l'origine dati non è conforme allo schema di una tabella standard, sono disponibili due opzioni:
- Creare una tabella personalizzata per tutti i dati
- Creare una tabella personalizzata per alcuni dati e suddividere i dati conformi a una tabella standard
Usare l'interfaccia utente di Log Analytics per un metodo semplice per creare una tabella personalizzata insieme a un DCR. Se si crea la tabella personalizzata usando l'API Tabelle o un altro metodo programmatico, aggiungere manualmente il _CL suffisso al nome della tabella. Per altre informazioni, vedere Creare una tabella personalizzata.
Per altre informazioni sulla suddivisione dei dati in più tabelle, vedere i dati di esempio e la tabella personalizzata di esempio creata per tali dati.
Regola di raccolta dati
Le regole di raccolta dati definiscono il processo di raccolta dati in Monitoraggio di Azure. Le regole di raccolta dati specificano quali dati devono essere raccolti, come trasformarli e dove inviarli.
- È presente un solo record di controllo di dominio che viene distribuito per ogni connettore dati.
- Un controller di dominio deve avere un controller di dominio corrispondente nella stessa area.
- Quando viene distribuito il connettore dati CCP, il record di registrazione dati viene creato se non esiste già.
Fare riferimento alle informazioni più recenti sui controller di dominio di dominio negli articoli seguenti:
Per un'esercitazione che illustra la creazione di un controller di dominio di azure, incluso l'uso di dati di esempio per creare la tabella personalizzata e il DCR, vedere Esercitazione: Inviare dati ai log di Monitoraggio di Azure con l'API di inserimento dei log (portale di Azure). Usare il processo in questa esercitazione per verificare che i dati vengano inseriti correttamente nella tabella con il Registro Azure Container.
Per informazioni su come creare un DCR complesso con più flussi di dati, vedere la sezione dell'esempio DCR.
Interfaccia utente del connettore dati
Questo componente esegue il rendering dell'interfaccia utente per il connettore dati nella raccolta di connettori dati di Microsoft Sentinel. Ogni connettore dati può avere una sola definizione dell'interfaccia utente.
Compilare l'interfaccia utente del connettore dati con l'API Data Connessione or Definition. Usare il riferimento alle definizioni del connettore dati come supplemento per spiegare in modo più dettagliato gli elementi dell'API.
Note:
- La
kindproprietà per il connettore di polling api deve essereCustomizablesempre . - Poiché si tratta di un tipo di connettore di polling api, impostare il
connectivityCriteriatipo suhasDataConnectors - L'esempio
instructionsStepsinclude un pulsante di tipoConnectionToggleButton. Questo pulsante consente di attivare la distribuzione delle regole del connettore dati in base ai parametri di connessione specificati.
Usare Postman per chiamare l'API delle definizioni del connettore dati per creare l'interfaccia utente del connettore dati per convalidarla nella raccolta dei connettori dati.
Per informazioni da un esempio, vedere la sezione esempio di riferimento delle definizioni del connettore dati.
Regole di connessione dati
Questa parte definisce le regole di connessione, tra cui:
- polling
- autenticazione
- Paging
Per altre informazioni sulla compilazione di questa sezione, vedere le informazioni di riferimento sulle regole di connessione del connettore dati.
Per informazioni da un esempio, vedere l'esempio di riferimento delle regole di connessione del connettore dati.
Usare Postman per chiamare l'API del connettore dati per creare il connettore dati che combina le regole di connessione e i componenti precedenti. Verificare che il connettore sia ora connesso nell'interfaccia utente.
Proteggere l'input riservato
Indipendentemente dall'autenticazione USATA dal connettore dati CCP, seguire questa procedura per garantire la sicurezza delle informazioni riservate. L'obiettivo è passare le credenziali dal modello arm al CCP senza lasciare gli oggetti riservati leggibili nella cronologia delle distribuzioni.
Creare un'etichetta
La definizione del connettore dati crea un elemento dell'interfaccia utente per richiedere le credenziali di sicurezza. Ad esempio, se il connettore dati esegue l'autenticazione a un'origine log con OAuth, la sezione relativa alla definizione del connettore dati include il OAuthForm tipo nelle istruzioni. In questo modo viene configurato il modello di Resource Manager per richiedere le credenziali.
"instructions": [
{
"type": "OAuthForm",
"parameters": {
"UsernameLabel": "Username",
"PasswordLabel": "Password",
"connectButtonLabel": "Connect",
"disconnectButtonLabel": "Disconnect"
}
}
],
Archiviare l'input riservato
Una sezione del modello di distribuzione arm fornisce una posizione per l'amministratore che distribuisce il connettore dati per immettere la password. Usare securestring per mantenere protette le informazioni riservate in un oggetto che non è leggibile dopo la distribuzione. Per altre informazioni, vedere Raccomandazioni sulla sicurezza per i parametri.
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorCCPVersion')]",
"parameters": {
"Username": {
"type": "securestring",
"minLength": 1,
"metadata": {
"description": "Enter the username to connect to your data source."
},
"Password": {
"type": "securestring",
"minLength": 1,
"metadata": {
"description": "Enter the API key, client secret or password required to connect."
}
},
// more deployment template information
}
}
Usare gli oggetti securestring
Infine, il CCP usa gli oggetti credenziali nella sezione connettore dati.
"auth": {
"type": "OAuth2",
"ClientSecret": "[[parameters('Password')]",
"ClientId": "[[parameters('Username')]",
"GrantType": "client_credentials",
"TokenEndpoint": "https://api.contoso.com/oauth/token",
"TokenEndpointHeaders": {
"Content-Type": "application/x-www-form-urlencoded"
},
"TokenEndpointQueryParameters": {
"grant_type": "client_credentials"
}
},
Nota
La sintassi strana per l'oggetto "ClientSecret": "[[parameters('Password')]", credenziale non è un errore di digitazione.
Per creare il modello di distribuzione che usa anche i parametri, è necessario eseguire l'escape dei parametri in tale sezione con un'avvio[ aggiuntivo. In questo modo i parametri possono assegnare un valore in base all'interazione dell'utente con il connettore.
Per altre informazioni, vedere Caratteri di escape delle espressioni modello.
Creare il modello di distribuzione
Creare manualmente un pacchetto di un modello di Gestione risorse di Azure usando il modello di esempio come guida.
Oltre al modello di esempio, le soluzioni pubblicate disponibili nell'hub del contenuto di Microsoft Sentinel usano il CCP per il connettore dati. Esaminare le soluzioni seguenti come esempi di come unire i componenti in un modello di Resource Manager.
Distribuire il connettore
Distribuire il connettore senza codice come modello personalizzato.
Suggerimento
Eliminare le risorse create nei passaggi precedenti. Il record di controllo di dominio e la tabella personalizzata viene creata con la distribuzione. Se non si rimuovono tali risorse prima della distribuzione, è più difficile verificare il modello.
- Copiare il contenuto del modello di distribuzione arm.
- Seguire le istruzioni per modificare e distribuire il modello nell'articolo Avvio rapido: Creare e distribuire modelli di Resource Manager usando il portale di Azure.
Mantenere l'isolamento di rete per l'origine di registrazione
Se l'origine di registrazione richiede l'isolamento della rete, configurare un elenco di indirizzi IP pubblici usati dal CCP.
Le reti virtuali di Azure usano tag di servizio per definire i controlli di accesso alla rete. Per il CCP, il tag di servizio è Diving.
Per trovare l'intervallo IP corrente associato al tag di servizio Dive , vedere Usare l'API di individuazione tag del servizio.
Verificare il connettore senza codice
Visualizzare il connettore senza codice nella raccolta di connettori dati. Aprire il connettore dati e completare tutti i parametri di autenticazione necessari per la connessione. Una volta stabilita la connessione, vengono create le tabelle personalizzate e DCR. Visualizzare la risorsa DCR nel gruppo di risorse ed eventuali tabelle personalizzate dell'area di lavoro Log Analytics.
Nota
L'inserimento dei dati può richiedere fino a 30 minuti.
Esempio
Ogni passaggio della compilazione del connettore senza codice è rappresentato nelle sezioni di esempio seguenti.
- Dati di esempio
- Tabella personalizzata di esempio
- Regola di raccolta dati di esempio
- Definizione dell'interfaccia utente del connettore dati di esempio
- Regole di connessione dati di esempio
- Usare dati di esempio con un modello di esempio
Per illustrare un'origine dati complessa con inserimento in più tabelle, questo esempio include uno schema di tabella di output e un DCR con più flussi di output. L'esempio di DCR raggruppa questi elementi insieme alle relative trasformazioni KQL. Gli esempi di definizione dell'interfaccia utente del connettore dati e regole di connessione continuano da questa stessa origine dati di esempio. Infine, il modello di soluzione usa tutti questi componenti di esempio per mostrare end-to-end come creare il connettore dati CCP di esempio.
Dati di esempio
Un'origine dati restituisce il codice JSON seguente durante la connessione al relativo endpoint.
[
{
"ts": "3/6/2023 8:15:15 AM",
"eventType": "Alert",
"deviceMac": "bc:27:c6:21:1c:70",
"clientMac": "",
"srcIp": "10.12.11.106",
"destIp": "121.93.178.13",
"protocol": "tcp/ip",
"priority": "0",
"message": "This is an alert message"
},
{
"ts": "3/6/2023 8:14:54 AM",
"eventType": "File",
"srcIp": "178.175.128.249",
"destIp": "234.113.125.105",
"fileType": "MS_EXE",
"fileSizeBytes": 193688,
"disposition": "Malicious"
}
]
Questa risposta contiene eventType avvisi e file. Gli eventi di file devono essere inseriti nella tabella standard normalizzata, AsimFileEventLogs, mentre gli eventi di avviso devono essere inseriti in una tabella personalizzata.
Tabella personalizzata di esempio
Per altre informazioni sulla struttura di questa tabella, vedere API Tabelle. I nomi personalizzati delle tabelle di log devono avere un _CL suffisso.
{
"properties": {
"schema": {
"name": "ExampleConnectorAlerts_CL",
"columns": [
{
"name": "TimeGenerated",
"type": "datetime"
},
{
"name": "SourceIP",
"type": "string"
},
{
"name": "DestIP",
"type": "string"
},
{
"name": "Message",
"type": "string"
},
{
"name": "Priority",
"type": "int"
}
]
}
}
}
Regola di raccolta dati di esempio
Il DCR seguente definisce un singolo flusso Custom-ExampleConnectorInput usando l'origine dati di esempio e trasforma l'output in due tabelle.
- Il primo flusso di dati indirizza
eventType= l'avviso alla tabella personalizzataExampleConnectorAlerts_CL. - il secondo flusso di dati indirizza
eventType= File alla tabella standard normalizzata.ASimFileEventLogs
Per altre informazioni sulla struttura di questo esempio, vedere Struttura di una regola di raccolta dati.
Per creare questo DCR in un ambiente di test, seguire l'API Regole di raccolta dati. Gli elementi dell'esempio in {{double curly braces}} indicano variabili che richiedono valori con facilità d'uso per Postman. Quando si crea questa risorsa nel modello di Resource Manager, le variabili qui espresse vengono scambiate per i parametri.
{
"location": "{{location}}",
"properties": {
"dataCollectionEndpointId": "/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Insights/dataCollectionEndpoints/{{dataCollectionEndpointName}}",
"streamDeclarations": {
"Custom-ExampleConnectorInput": {
"columns": [
{
"name": "ts",
"type": "datetime"
},
{
"name": "eventType",
"type": "string"
},
{
"name": "deviceMac",
"type": "string"
},
{
"name": "clientMac",
"type": "string"
},
{
"name": "srcIp",
"type": "string"
},
{
"name": "destIp",
"type": "string"
},
{
"name": "protocol",
"type": "string"
},
{
"name": "priority",
"type": "string"
},
{
"name": "message",
"type": "string"
},
{
"name": "fileType",
"type": "string"
},
{
"name": "fileSizeBytes",
"type": "int"
},
{
"name": "disposition",
"type": "string"
}
]
}
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{{subscriptionId}}/resourcegroups/{{resourceGroupName}}/providers/microsoft.operationalinsights/workspaces/{{workspaceName}}",
"name": "{{uniqueFriendlyDestinationName}}"
}
]
},
"dataFlows": [
{
"streams": [
"Custom-ExampleConnectorInput"
],
"destinations": [
"{{uniqueFriendlyDestinationName}}"
],
"transformKql": "source | where eventType == \"Alert\" | project TimeGenerated = ts, SourceIP = srcIp, DestIP = destIp, Message = message, Priority = priority \n",
"outputStream": "Custom-ExampleConnectorAlerts_CL"
},
{
"streams": [
"Custom-ExampleConnectorInput"
],
"destinations": [
"{{uniqueFriendlyDestinationName}}"
],
"transformKql": "source | where eventType == \"File\" | project-rename TimeGenerated = ts, EventOriginalType = eventType, SrcIpAddr = srcIp, DstIpAddr = destIp, FileContentType = fileType, FileSize = fileSizeBytes, EventOriginalSeverity = disposition \n",
"outputStream": "Microsoft-ASimFileEventLogs"
}
]
}
}
Definizione dell'interfaccia utente del connettore dati di esempio
Questo esempio si trova nel riferimento alle definizioni del connettore dati.
Regole di connessione del connettore dati di esempio
Questo esempio si trova nel riferimento ai connettori dati.
Modello di Resource Manager di esempio
Compilare il modello di distribuzione ARM con la struttura seguente, che include le 4 sezioni dei componenti JSON necessari per compilare il connettore dati CCP:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"variables": {},
"resources": [],
}
Unire le sezioni con un editor compatibile con JSON come Visual Code per ridurre al minimo gli errori di sintassi, ad esempio virgole e parentesi chiuse.
Per guidare il processo di compilazione del modello, i commenti vengono visualizzati nei metadatidescription o inline con // la notazione dei commenti. Per altre informazioni, vedere Procedure consigliate per i modelli di Resource Manager - commenti.
Provare a usare il toolkit di test del modello arm (arm-ttk) per convalidare il modello compilato. Per altre informazioni, vedere arm-ttk.
Modello di Resource Manager di esempio - parametri
Per altre informazioni, vedere Parametri nei modelli di Resource Manager.
Avviso
Usare securestring per tutte le password e i segreti negli oggetti leggibili dopo la distribuzione delle risorse.
Per altre informazioni, vedere Proteggere l'input riservato e le raccomandazioni sulla sicurezza per i parametri.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"location": {
"type": "string",
"minLength": 1,
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Not used, but needed to pass the arm-ttk test, 'Location-Should-Not-Be-Hardcoded'. Instead the `workspace-location` derived from the log analytics workspace is used."
}
},
"workspace-location": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "[concat('Region to deploy solution resources -- separate from location selection',parameters('location'))]"
}
},
"subscription": {
"defaultValue": "[last(split(subscription().id, '/'))]",
"type": "string",
"metadata": {
"description": "subscription id where Microsoft Sentinel is configured"
}
},
"resourceGroupName": {
"defaultValue": "[resourceGroup().name]",
"type": "string",
"metadata": {
"description": "resource group name where Microsoft Sentinel is configured"
}
},
"workspace": {
"defaultValue": "",
"type": "string",
"metadata": {
"description": "the log analytics workspace enabled for Microsoft Sentinel"
}
}
},
// Next is the variables section here
}
Modello di Resource Manager di esempio - Variabili
Queste variabili consigliate consentono di semplificare il modello. Usare più o meno in base alle esigenze. Per altre informazioni, vedere Variabili nei modelli di Resource Manager.
"variables": {
"workspaceResourceId": "[resourceId('microsoft.OperationalInsights/Workspaces', parameters('workspace'))]",
"_solutionName": "Solution name", // Enter your solution name
"_solutionVersion": "3.0.0", // must be 3.0.0 or above
"_solutionAuthor": "Contoso", // Enter the name of the author
"_packageIcon": "<img src=\"{LogoLink}\" width=\"75px\" height=\"75px\">", // Enter the http link for the logo. NOTE: This field is only recommended for Azure Global Cloud.
"_solutionId": "azuresentinel.azure-sentinel-solution-azuresentinel.azure-sentinel-MySolution", // Enter a name for your solution with this format but exchange the 'MySolution' portion
"dataConnectorVersionConnectorDefinition": "1.0.0",
"dataConnectorVersionConnections": "1.0.0",
"_solutionTier": "Community", // This designates the appropriate support - all custom data connectors are "Community"
"_dataConnectorContentIdConnectorDefinition": "MySolutionTemplateConnectorDefinition", // Enter a name for the connector
"dataConnectorTemplateNameConnectorDefinition": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnectorDefinition')))]",
"_dataConnectorContentIdConnections": "MySolutionTemplateConnections", // Enter a name for the connections this connector makes
"dataConnectorTemplateNameConnections": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnections')))]",
"_logAnalyticsTableId1": "ExampleConnectorAlerts_CL" // Enter the custom table name - not needed if you are ingesting data into standard tables
// Enter more variables as needed "":""
},
// Next is the resources sections here
Modello di Resource Manager di esempio - risorse
In questa guida di modello sono disponibili 5 risorse di distribuzione ARM che ospitano i componenti di compilazione del connettore dati CCP 4.
- contentTemplates (una risorsa padre)
- metadata
- dataCollectionRules : per altre informazioni, vedere Regola di raccolta dati.
- tables : per altre informazioni, vedere Definizione della tabella di output.
- data Connessione orDefinitions - Per altre informazioni, vedere Interfaccia utente del connettore dati.
- metadata
- contentTemplates
- metadata
- RestApiPoller: per altre informazioni, vedere Regole di connessione dati.
- contentPackages
"resources": [
// resource section 1 - contentTemplates
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
"apiVersion": "2023-04-01-preview",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnectorDefinition'), variables('dataConnectorVersionConnectorDefinition'))]",
"location": "[parameters('workspace-location')]",
"dependsOn": [
"[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
],
"properties": {
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnectorDefinition'))]",
"contentKind": "DataConnector",
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorVersionConnectorDefinition')]",
"parameters": {},
"variables": {},
"resources": [
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"kind": "DataConnector",
"version": "[variables('dataConnectorVersionConnectorDefinition')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
},
"dependencies": {
"criteria": [
{
"version": "[variables('dataConnectorVersionConnections')]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector"
}
]
}
}
},
{
"name": "MyDCRV1", // Enter your DCR name
"apiVersion": "2021-09-01-preview",
"type": "Microsoft.Insights/dataCollectionRules",
"location": "[parameters('workspace-location')]",
"kind": null,
"properties":
{
// Enter your DCR properties here.
// Consider using these variables:
// "dataCollectionEndpointId": "[concat('/subscriptions/',parameters('subscription'),'/resourceGroups/',parameters('resourceGroupName'),'/providers/Microsoft.Insights/dataCollectionEndpoints/',parameters('workspace'))]",
// "workspaceResourceId": "[variables('workspaceResourceId')]",
}
},
{
"name": "[variables('_logAnalyticsTableId1')]",
"apiVersion": "2022-10-01",
"type": "Microsoft.OperationalInsights/workspaces/tables",
"location": "[parameters('workspace-location')]",
"kind": null,
"properties":
{
// Enter your log analytics table schema here.
// Consider using this variable for the name property:
// "name": "[variables('_logAnalyticsTableId1')]",
}
}
// Enter more tables if needed.
]
},
"packageKind": "Solution",
"packageVersion": "[variables('_solutionVersion')]",
"packageName": "[variables('_solutionName')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','dc','-', uniqueString(concat(variables('_solutionId'),'-','DataConnector','-',variables('_dataConnectorContentIdConnectorDefinition'),'-', variables('dataConnectorVersionConnectorDefinition'))))]",
"packageId": "[variables('_solutionId')]",
"contentSchemaVersion": "3.0.0",
"version": "[variables('_solutionVersion')]"
}
},
// resource 2 section here
// resource section 2 - dataConnectorDefinitions
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',variables('_dataConnectorContentIdConnectorDefinition'))]",
"apiVersion": "2022-09-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectorDefinitions",
"location": "[parameters('workspace-location')]",
"kind": "Customizable",
"properties":
{
//Enter your data connector definition properties here
//"connectorUiConfig": {
// "graphQueriesTableName": "[variables('_logAnalyticsTableId1')]",
//},
}
},
// resource 3 section here
// resource section 3 - metadata
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
"contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
"kind": "DataConnector",
"version": "[variables('dataConnectorVersionConnectorDefinition')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
},
"dependencies": {
"criteria": [
{
"version": "[variables('dataConnectorVersionConnections')]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector"
}
]
}
}
},
// resource 4 section here
// resource section 4 - contentTemplates
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
"apiVersion": "2023-04-01-preview",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnections'), variables('dataConnectorVersionConnections'))]",
"location": "[parameters('workspace-location')]",
"dependsOn": [
"[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
],
"properties": {
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnections'))]",
"contentKind": "ResourcesDataConnector",
"mainTemplate": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "[variables('dataConnectorVersionConnections')]",
"parameters":
// These parameters are used by the data connector primarily as properties for the administrator to enter in the UI when configuring the connector
{
"connectorDefinitionName": {
"defaultValue": "connectorDefinitionName",
"type": "string",
"minLength": 1
},
"workspace": {
"defaultValue": "[parameters('workspace')]",
"type": "string"
},
"dcrConfig": {
"defaultValue": {
"dataCollectionEndpoint": "data collection Endpoint",
"dataCollectionRuleImmutableId": "data collection rule immutableId"
},
"type": "object"
}
// Enter additional parameters, for example:
//"domainname": {
// "defaultValue": "domain name",
// "type": "string",
// "minLength": 1
//},
//"apikey": {
// "defaultValue": "",
// "type": "securestring",
// "minLength": 1
//}
},
"variables": {
"_dataConnectorContentIdConnections": "[variables('_dataConnectorContentIdConnections')]"
},
"resources": [
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnections')))]",
"apiVersion": "2022-01-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
"properties": {
"parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectors', variables('_dataConnectorContentIdConnections'))]",
"contentId": "[variables('_dataConnectorContentIdConnections')]",
"kind": "ResourcesDataConnector",
"version": "[variables('dataConnectorVersionConnections')]",
"source": {
"sourceId": "[variables('_solutionId')]",
"name": "[variables('_solutionName')]",
"kind": "Solution"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]",
"tier": "[variables('_solutionTier')]"
}
}
},
{
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', 'MyDataConnector')]", // Replace the last part of the name with your data connector name
// To create several connections using this template, make the name dynamic. For example, use the 'concat' function to add the connector name with a GUID using the 'guid' function.
"apiVersion": "2022-12-01-preview",
"type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectors",
"location": "[parameters('workspace-location')]",
"kind": "RestApiPoller",
"properties":
{
// Enter your data connector properties here. If you want to use UI parameters remember to escape the parameter like this: "[[parameters('paramName')]"
// Use parameters as needed. For example:
// "dataType": "My product security event API",
// "response": {
// "eventsJsonPaths": [
// "$"
// ],
// "format": "json"
// },
// "paging": {
// "pagingType": "LinkHeader"
// },
// "connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
// "auth": {
// "apiKeyName": "Authorization",
// "ApiKey": "[[parameters('apikey')]",
// "apiKeyIdentifier": "SSWS",
// "type": "APIKey"
//} ,
// "request": {
// "apiEndpoint": "[[concat('https://',parameters('domainname'),'/api/v1/logs')]",
// "rateLimitQPS": 10,
// "queryWindowInMin": 5,
// "httpMethod": "GET",
// "retryCount": 3,
// "timeoutInSeconds": 60,
// "headers": {
// "Accept": "application/json",
// "User-Agent": "My-Data-Source"
// },
// "startTimeAttributeName": "since",
// "endTimeAttributeName": "until"
// },
// "dcrConfig": {
// "dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
// "dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]",
// "streamName": "Custom-ExampleConnectorAlerts_CL" //This input stream should be the same as the inputStream property configured for the DataCollectionRule
// },
// "isActive": true
}
}
]
},
"packageKind": "Solution",
"packageVersion": "[variables('_solutionVersion')]",
"packageName": "[variables('_solutionName')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','rdc','-', uniqueString(concat(variables('_solutionId'),'-','ResourcesDataConnector','-',variables('_dataConnectorContentIdConnections'),'-', variables('dataConnectorVersionConnections'))))]",
"packageId": "[variables('_solutionId')]",
"contentSchemaVersion": "3.0.0",
"version": "[variables('_solutionVersion')]"
}
},
// resource 5 section here
// resource section 5 - contentPackages
{
"type": "Microsoft.OperationalInsights/workspaces/providers/contentPackages",
"name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('_solutionId'))]",
"location": "[parameters('workspace-location')]",
"apiVersion": "2023-04-01-preview",
"properties": {
"version": "[variables('_solutionVersion')]",
"kind": "Solution",
"contentSchemaVersion": "3.0.0",
"contentId": "[variables('_solutionId')]",
"source": {
"kind": "Solution",
"name": "[variables('_solutionName')]",
"sourceId": "[variables('_solutionId')]"
},
"author": {
"name": "[variables('_solutionAuthor')]"
},
"support": {
"name": "[variables('_solutionAuthor')]"
},
"dependencies": {
"operator": "AND",
"criteria": [
{
"kind": "DataConnector",
"contentId": "[variables('dataConnectorVersionConnectorDefinition')]",
"version": "[variables('_dataConnectorContentIdConnectorDefinition')]"
}
]
},
"firstPublishDate": "2023-12-05",
"providers": [
"[variables('_solutionAuthor')]"
],
"contentKind": "Solution",
"packageId": "[variables('_solutionId')]",
"contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','sl','-', uniqueString(concat(variables('_solutionId'),'-','Solution','-',variables('_solutionId'),'-', variables('_solutionVersion'))))]",
"displayName": "[variables('_solutionName')]",
"publisherDisplayName": "[variables('_solutionId')]",
"descriptionHtml": "test",
"icon": "[variables('_packageIcon')]"
}
}
// that's the end!
]
}
Passaggi successivi
Per ulteriori informazioni, vedere,
- Informazioni sulle soluzioni di Microsoft Sentinel.
- Informazioni di riferimento sul modello arm del connettore dati