Microsoft Sentinel için eski bir kodsuz bağlayıcı oluşturma
Önemli
Kodsuz Bağlayıcı Platformu'nun (CCP) daha yeni bir sürümü vardır. Yeni CCP hakkında daha fazla bilgi için bkz. Kodsuz bağlayıcı oluşturma (Önizleme).
CCP'nin bu eski, eski sürümünü temel alan bir veri bağlayıcısını korumanız veya güncelleştirmeniz gerekiyorsa bu belgeye başvurun.
CCP, iş ortaklarına, ileri düzey kullanıcılara ve geliştiricilere özel bağlayıcılar oluşturma, bunları bağlama ve Verileri Microsoft Sentinel'e alma olanağı sağlar. CCP aracılığıyla oluşturulan bağlayıcılar API, ARM şablonu veya Microsoft Sentinel içerik hub'ında çözüm olarak dağıtılabilir.
CCP kullanılarak oluşturulan bağlayıcılar, hizmet yüklemeleri için herhangi bir gereksinim olmadan tamamen SaaS'tir ve microsoft Sentinel'den sistem durumu izleme ve tam destek içerir.
Microsoft Sentinel'deki veri bağlayıcısı sayfasının nasıl görüneceğine ilişkin ayarlarla birlikte bağlantının nasıl çalıştığını tanımlayan yoklama ayarlarıyla birlikte JSON yapılandırmalarını tanımlayarak veri bağlayıcınızı oluşturun.
Önemli
Kodsuz Bağlayıcı Platformu'nun (CCP) bu sürümü ÖNİzLEME aşamasındadır ancak Eski olarak da kabul edilir. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
CCP bağlayıcınızı oluşturmak ve Microsoft Sentinel'den veri kaynağınıza bağlanmak için aşağıdaki adımları kullanın:
- Bağlayıcının kullanıcı arabirimini yapılandırma
- Bağlayıcının yoklama ayarlarını yapılandırma
- Bağlayıcınızı Microsoft Sentinel çalışma alanınıza dağıtma
- Microsoft Sentinel'i veri kaynağınıza bağlama ve veri alımına başlama
Bu makalede, BAĞLAYıCınızı API, ARM şablonu veya Microsoft Sentinel çözümü aracılığıyla dağıtmak için CCP JSON yapılandırmalarında ve yordamlarında kullanılan söz dizimi açıklanmaktadır.
Önkoşullar
Bağlayıcı oluşturmadan önce veri kaynağınızın nasıl davrandığını ve Microsoft Sentinel'in tam olarak nasıl bağlanması gerektiğini anlamanız önerilir.
Örneğin, başarılı bağlantılar için gereken kimlik doğrulaması, sayfalandırma ve API uç noktası türlerini bilmeniz gerekir.
Bağlayıcı JSON yapılandırma dosyası oluşturma
Özel CCP bağlayıcınızın dağıtım için gereken iki birincil JSON bölümü vardır. Bağlayıcınızın Azure portalında nasıl görüntülendiğini ve Microsoft Sentinel'i veri kaynağınıza nasıl bağlayacağını tanımlamak için bu alanları doldurun.
connectorUiConfig. Microsoft Sentinel'de veri bağlayıcısı sayfasında görüntülenen görsel öğeleri ve metni tanımlar. Daha fazla bilgi için bkz . Bağlayıcınızın kullanıcı arabirimini yapılandırma.pollingConfig. Microsoft Sentinel'in veri kaynağınızdan nasıl veri topladığını tanımlar. Daha fazla bilgi için bkz . Bağlayıcınızın yoklama ayarlarını yapılandırma.
Ardından kodsuz bağlayıcınızı ARM aracılığıyla dağıtırsanız, bu bölümleri veri bağlayıcıları için ARM şablonunda sarmalarsınız.
Örnek olarak diğer CCP veri bağlayıcılarını gözden geçirin veya DataConnector_API_CCP_template.json (Önizleme) örnek şablonunu indirin.
Bağlayıcınızın kullanıcı arabirimini yapılandırma
Bu bölümde, veri bağlayıcısı sayfasının kullanıcı arabirimini özelleştirmek için kullanılabilen yapılandırma seçenekleri açıklanmaktadır.
Aşağıdaki görüntüde, kullanıcı arabiriminin önemli alanlarına karşılık gelen sayılarla vurgulanmış örnek bir veri bağlayıcısı sayfası gösterilmektedir:
- Başlık. Veri bağlayıcınız için görüntülenen başlık.
- Logo. Veri bağlayıcınız için görüntülenen simge. Bunu özelleştirmek yalnızca bir çözümün parçası olarak dağıtılırken mümkündür.
- Durum. Veri bağlayıcınızın Microsoft Sentinel'e bağlı olup olmadığını gösterir.
- Veri grafikleri. son iki hafta içindeki ilgili sorguları ve alınan veri miktarını görüntüler.
- Yönergeler sekmesi. Kullanıcının bağlayıcıyı etkinleştirmeden önce en düşük doğrulamaların listesini içeren bir Önkoşullar bölümü ve bağlayıcının kullanıcı etkinleştirmesine yol gösterecek Yönergeler içerir. Bu bölüm, işlemi basitleştirmek için metin, düğme, form, tablo ve diğer yaygın pencere öğelerini içerebilir.
- Sonraki adımlar sekmesi. Örnek sorgular gibi olay günlüklerindeki verileri bulmayı anlamak için yararlı bilgiler içerir.
Kullanıcı arabirimini connectorUiConfig yapılandırmak için gereken bölümler ve söz dizimi aşağıdadır:
| Özellik Adı | Türü | Açıklama |
|---|---|---|
| availability | {"status": 1,"isPreview": Boolean} |
durum: 1 Bağlayıcının müşteriler tarafından genel olarak kullanılabildiğini gösterir. isPreview Bağlayıcı adına (Önizleme) soneki eklenip eklenmeyeceğini gösterir. |
| connectivityCriteria | {"type": SentinelKindsV2,"value": APIPolling} |
Bağlayıcının doğru tanımlandığını doğrulamayı tanımlayan bir nesne. Burada belirtilen değerleri kullanın. |
| dataTypes | dataTypes[] | Bağlayıcınız için tüm veri türlerinin listesi ve her veri türü için son olayın saatini getirmek için bir sorgu. |
| descriptionMarkdown | String | Bağlayıcıyı geliştirmek için markdown dili ekleme özelliğine sahip bir açıklama. |
| graphQueries | graphQueries[] | Veri grafikleri bölmesinde son iki hafta içinde veri alımı sunan sorgular . Veri bağlayıcısının tüm veri türleri için bir sorgu veya her veri türü için farklı bir sorgu sağlayın. |
| graphQueriesTableName | String | Sorgularınızın verilerinin çekildiği Log Analytics tablosunun adını tanımlar. Tablo adı herhangi bir dize olabilir, ancak ile _CLbitmelidir. Örneğin: TableName_CL |
| instructionsSteps | instructionSteps[] | Yönergeler sekmesinde görüntülenen bağlayıcının nasıl yükleneceğini açıklayan pencere öğesi parçaları dizisi. |
| meta veriler | meta veriler | Bağlayıcı açıklaması altında görüntülenen meta veriler. |
| permissions | izinler[] | Kullanıcı arabiriminin Önkoşullar bölümünde görüntülenen ve bağlayıcıyı etkinleştirmek veya devre dışı bırakmak için gereken izinleri listeleyen bilgiler. |
| yayınevi | String | Bu, Sağlayıcı bölümünde gösterilen metindir. |
| sampleQueries | sampleQueries[] | Sonraki adımlar sekmesinde görüntülenecek, olay günlüğündeki verilerin nasıl bulunacağı konusunda müşteri için örnek sorgular. |
| başlık | String | Veri bağlayıcısı sayfasında görüntülenen başlık. |
Bütün bu parçaları bir araya getirmek karmaşıktır. Bir araya getirdiğiniz bileşenleri test etmek için bağlayıcı sayfası kullanıcı deneyimi doğrulama aracını kullanın.
dataTypes
| Dizi Değeri | Type | Açıklama |
|---|---|---|
| ad | String | değişkeni içinlastDataReceivedQuery destek de dahil olmak üzere için anlamlı bir açıklama. Örnek: {{graphQueriesTableName}} |
| lastDataReceivedQuery | String | Bir satır döndüren ve verilerin en son ne zaman alındığını belirten veya ilgili veri yoksa veri içermeyen bir KQL sorgusu. Örnek: {{graphQueriesTableName}}\n | summarize Time = max(TimeGenerated)\n | where isnotempty(Time) |
graphQueries
Veri grafikleri bölmesinde son iki hafta içinde veri alımı sunan bir sorgu tanımlar.
Veri bağlayıcısının tüm veri türleri için bir sorgu veya her veri türü için farklı bir sorgu sağlayın.
| Dizi Değeri | Type | Açıklama |
|---|---|---|
| metricName | String | Grafınız için anlamlı bir ad. Örnek: Total data received |
| efsane | String | Değişken başvurusu dahil olmak üzere grafiğin sağındaki göstergede görünen dize. Örnek: {{graphQueriesTableName}} |
| baseQuery | String | Değişken başvurusu da dahil olmak üzere ilgili olayları filtreleyen sorgu. Örnek: TableName_CL | where ProviderName == "myprovider" veya {{graphQueriesTableName}} |
instructionSteps
Bu bölüm, Microsoft Sentinel'de veri bağlayıcısı sayfanızda görünen yönergeler kümesini tanımlayan parametreler sağlar.
yönergeler
Çeşitli seçenekleri parametre olarak ve daha fazla yönergeyi gruplar halinde iç içe yerleştirme özelliğiyle birlikte bir yönerge grubu görüntüler.
| Parametre | Dizi özelliği | Açıklama |
|---|---|---|
| APIKey | APIKey | Bağlayıcınızın JSON yapılandırma dosyasına yer tutucular ekleyin. |
| CopyableLabel | CopyableLabel | Sonunda kopyala düğmesi bulunan bir metin alanı gösterir. Düğme seçildiğinde, alanın değeri kopyalanır. |
| InfoMessage | InfoMessage | Satır içi bilgi iletisi tanımlar. |
| InstructionStepsGroup | InstructionStepsGroup | İsteğe bağlı olarak genişletilmiş veya daraltılabilir bir yönerge grubunu ayrı bir yönergeler bölümünde görüntüler. |
| InstallAgent | InstallAgent | Çeşitli yükleme gereksinimlerini yerine getirmek için Azure'ın diğer bölümlerine bir bağlantı görüntüler. |
APIKey
Birden çok bağlayıcıda yeniden kullanmak ve hatta şu anda sahip olmadığınız verilerle bir bağlayıcı oluşturmak için yer tutucu parametreleriyle bir JSON yapılandırma dosyası şablonu oluşturmak isteyebilirsiniz.
Yer tutucu parametreleri oluşturmak için, aşağıdaki söz dizimini kullanarak CCP JSON yapılandırma dosyanızın Yönergeler bölümünde adlı userRequestPlaceHoldersInput ek bir dizi tanımlayın:
"instructions": [
{
"parameters": {
"enable": "true",
"userRequestPlaceHoldersInput": [
{
"displayText": "Organization Name",
"requestObjectKey": "apiEndpoint",
"placeHolderName": "{{placeHolder}}"
}
]
},
"type": "APIKey"
}
]
userRequestPlaceHoldersInput parametresi aşağıdaki öznitelikleri içerir:
| Adı | Tür | Açıklama |
|---|---|---|
| DisplayText | String | Bağlanırken kullanıcıya görüntülenen metin kutusu görüntüleme değerini tanımlar. |
| RequestObjectKey | String | Yer tutucu değerini kullanıcı tarafından sağlanan değerle değiştirmek için pollingConfig öğesinin istek bölümündeki kimliği tanımlar. Bu özniteliği kullanmıyorsanız, bunun yerine özniteliğini PollingKeyPaths kullanın. |
| PollingKeyPaths | String | Bir yer tutucu değerini kullanıcı değeriyle değiştirmek için API çağrısını şablonun herhangi bir yerine yönlendiren bir JsonPath nesneleri dizisi tanımlar. Örnek: "pollingKeyPaths":["$.request.queryParameters.test1"] Bu özniteliği kullanmıyorsanız, bunun yerine özniteliğini RequestObjectKey kullanın. |
| PlaceHolderName | String | JSON şablon dosyasında yer tutucu parametresinin adını tanımlar. Bu, gibi {{placeHolder}}herhangi bir benzersiz değer olabilir. |
CopyableLabel
Örnek:
Örnek kod:
{
"parameters": {
"fillWith": [
"WorkspaceId",
"PrimaryKey"
],
"label": "Here are some values you'll need to proceed.",
"value": "Workspace is {0} and PrimaryKey is {1}"
},
"type": "CopyableLabel"
}
| Dizi Değeri | Type | Açıklama |
|---|---|---|
| fillWith | SABIT LISTESI | isteğe bağlı. Yer tutucuyu doldurmak için kullanılan ortam değişkenleri dizisi. Birden çok yer tutucuyu virgülle ayırın. Örneğin: {0},{1} Desteklenen değerler: workspaceId, workspaceName, primaryKey, MicrosoftAwsAccount, subscriptionId |
| etiket | String | Metin kutusunun üzerindeki etiketin metnini tanımlar. |
| value | String | Metin kutusunda görüntülenecek değeri tanımlar, yer tutucuları destekler. |
| Satır | Satırlar | isteğe bağlı. Kullanıcı arabirimi alanındaki satırları tanımlar. Varsayılan olarak 1 olarak ayarlayın. |
| wideLabel | Boolean | isteğe bağlı. Uzun dizeler için geniş bir etiket belirler. Varsayılan olarak olarak olarak falseayarlayın. |
InfoMessage
Satır içi bilgi iletisi örneği aşağıda verilmişti:
Buna karşılık, aşağıdaki görüntüde satır içi olmayan bir bilgi iletisi gösterilir:
| Dizi Değeri | Type | Açıklama |
|---|---|---|
| text | String | İletide görüntülenecek metni tanımlayın. |
| Görünür | Boolean | İletinin görüntülenip görüntülenmeyeceğini belirler. |
| Satır içi | Boolean | Bilgi iletisinin nasıl görüntüleneceğini belirler. - true: (Önerilen) Yönergelere eklenmiş bilgi iletisini gösterir. - false: Mavi arka plan ekler. |
InstructionStepsGroup
Aşağıda genişletilebilir yönerge grubu örneği verilmiştir:
| Dizi Değeri | Type | Açıklama |
|---|---|---|
| başlık | String | Yönerge adımının başlığını tanımlar. |
| canCollapseAllSections | Boolean | isteğe bağlı. Bölümün daraltılabilir bir akordeon olup olmadığını belirler. |
| noFxPadding | Boolean | isteğe bağlı. ise true, alandan tasarruf etmek için yükseklik doldurmasını azaltır. |
| Genişletilmiş | Boolean | isteğe bağlı. ise true, varsayılan olarak genişletilmiş olarak gösterilir. |
Ayrıntılı bir örnek için bkz. Windows DNS bağlayıcısı için yapılandırma JSON'ı.
InstallAgent
Bazı InstallAgent türleri düğme olarak, diğerleri bağlantı olarak görünür. Aşağıda her ikisine de örnek verilmiştir:
| Dizi Değerleri | Type | Açıklama |
|---|---|---|
| linkType | SABIT LISTESI | Bağlantı türünü aşağıdaki değerlerden biri olarak belirler: InstallAgentOnWindowsVirtualMachineInstallAgentOnWindowsNonAzureInstallAgentOnLinuxVirtualMachineInstallAgentOnLinuxNonAzureOpenSyslogSettingsOpenCustomLogsSettingsOpenWafOpenAzureFirewall OpenMicrosoftAzureMonitoring OpenFrontDoors OpenCdnProfile AutomaticDeploymentCEF OpenAzureInformationProtection OpenAzureActivityLog OpenIotPricingModel OpenPolicyAssignment OpenAllAssignmentsBlade OpenCreateDataCollectionRule |
| policyDefinitionGuid | String | OpenPolicyAssignment linkType kullanılırken gereklidir. İlke tabanlı bağlayıcılar için yerleşik ilke tanımının GUID'sini tanımlar. |
| assignMode | SABIT LISTESI | isteğe bağlı. İlke tabanlı bağlayıcılar için, atama modunu aşağıdaki değerlerden biri olarak tanımlar: Initiative, Policy |
| dataCollectionRuleType | SABIT LISTESI | isteğe bağlı. DCR tabanlı bağlayıcılar için, veri toplama kuralı türünün türünü aşağıdakilerden biri olarak tanımlar: SecurityEvent, ForwardEvent |
meta veriler
Bu bölüm, Açıklama alanının altındaki veri bağlayıcısı kullanıcı arabiriminde meta veriler sağlar.
| Koleksiyon Değeri | Type | Açıklama |
|---|---|---|
| tür | String | Oluşturduğunuz ARM şablonunun türünü tanımlar. Her zaman kullanın dataConnector. |
| source | String | Aşağıdaki söz dizimini kullanarak veri kaynağınızı açıklar: {"kind":dizgi"name":dizgi} |
| yaratıcı | String | Aşağıdaki söz dizimini kullanarak veri bağlayıcısı yazarı açıklanır: {"name":dizgi} |
| destek | String | Aşağıdaki söz dizimini kullanarak veri bağlayıcısı için sağlanan desteği açıklayın: {"tier":dizgi"name":dizgi"email":dizgi"link":URL dizesi} |
izinler
| Dizi değeri | Type | Açıklama |
|---|---|---|
| gümrük | String | Veri bağlantınız için gereken tüm özel izinleri aşağıdaki söz diziminde açıklar: {"name":string,"description":dizgi} Örnek: Microsoft Sentinel Önkoşulları bölümünde gümrük değeri mavi bir bilgilendirme simgesiyle görüntülenir. GitHub örneğinde bu, GitHub API kişisel belirteç Anahtarı satırıyla ilişkilendirilir: GitHub kişisel belirtecine erişmeniz gerekir... |
| Lisans | SABIT LISTESI | Gerekli lisansları şu değerlerden biri olarak tanımlar: ,, , , AadP1P2, Mcas, Aatp, Mdatp, MtpOffice365OfficeATPOfficeIRMIoT Örnek: Microsoft Sentinel'de lisans değeri şu şekilde görüntülenir: Lisans: Gerekli Azure AD Premium P2 |
| resourceProvider | resourceProvider | Azure kaynağınız için önkoşulları açıklar. Örnek: resourceProvider değeri Microsoft Sentinel Önkoşulları bölümünde şu şekilde görüntülenir: Çalışma alanı: okuma ve yazma izni gereklidir. Anahtarlar: Çalışma alanı için paylaşılan anahtarlar için okuma izinleri gereklidir. |
| tenant | ENUM değerleri dizisi Örnek: "tenant": ["GlobalADmin","SecurityAdmin"] |
Gerekli izinleri şu değerlerden biri veya daha fazlası olarak tanımlar: "GlobalAdmin", "SecurityAdmin", "SecurityReader", , "InformationProtection" Örnek: Microsoft Sentinel'de kiracı değerini şu şekilde görüntüler: Kiracı İzinleri: Çalışma Global Administrator alanının kiracısında veya Security Administrator gerektirir |
resourceProvider
| alt dizi değeri | Type | Açıklama |
|---|---|---|
| Sağlayıcı | SABIT LISTESI | Kaynak sağlayıcısını aşağıdaki değerlerden biriyle açıklar: - Microsoft.OperationalInsights/workspaces - Microsoft.OperationalInsights/solutions- Microsoft.OperationalInsights/workspaces/datasources- microsoft.aadiam/diagnosticSettings- Microsoft.OperationalInsights/workspaces/sharedKeys- Microsoft.Authorization/policyAssignments |
| providerDisplayName | String | Bağlayıcı sayfasında requiredPermissions doğrulandığında kırmızı bir "x" veya yeşil onay işareti görüntüleyen Önkoşullar altında bir liste öğesi. Örnek "Workspace" |
| permissionsDisplayText | String | RequiredPermissions içinde yapılandırılan değerlere karşılık gelen Okuma, Yazma veya Okuma ve Yazma izinlerinin metnini görüntüleme |
| requiredPermissions | {"action":Boolean,"delete":Boolean,"read":Boolean,"write":Boolean} |
Bağlayıcı için gereken en düşük izinleri açıklar. |
| kapsam | SABIT LISTESI | Veri bağlayıcısının kapsamını şu değerlerden biri olarak açıklar: "Subscription", "ResourceGroup", "Workspace" |
sampleQueries
| dizi değeri | Type | Açıklama |
|---|---|---|
| tarif | String | Örnek sorgu için anlamlı bir açıklama. Örnek: Top 10 vulnerabilities detected |
| query | String | Veri türünün verilerini getirmek için kullanılan örnek sorgu. Örnek: {{graphQueriesTableName}}\n | sort by TimeGenerated\n | take 10 |
Diğer bağlantı seçeneklerini yapılandırma
Markdown kullanarak satır içi bağlantı tanımlamak için aşağıdaki örneği kullanın. Burada yönerge açıklamasında bir bağlantı verilmiştir:
{
"title": "",
"description": "Make sure to configure the machine's security according to your organization's security policy\n\n\n[Learn more >](https://aka.ms/SecureCEF)"
}
Bağlantıyı ARM şablonu olarak tanımlamak için aşağıdaki örneği kılavuz olarak kullanın:
{
"title": "Azure Resource Manager (ARM) template",
"description": "1. Click the **Deploy to Azure** button below.\n\n\t[]({URL to custom ARM template})"
}
Veri bağlayıcısı sayfası kullanıcı deneyimini doğrulama
Bağlayıcı kullanıcı deneyimini işlemek ve doğrulamak için bu adımları izleyin.
- Test yardımcı programı bu URL ile erişilebilir - https://aka.ms/sentineldataconnectorvalidateurl
- Microsoft Sentinel -> Veri Bağlayıcıları'na gidin
- "İçeri aktar" düğmesine tıklayın ve yalnızca veri bağlayıcınızın bölümünü içeren
connectorUiConfigbir json dosyası seçin.
Bu doğrulama aracı hakkında daha fazla bilgi için GitHub derleme kılavuzumuzda Bağlayıcıyı derleme yönergelerine bakın.
Not
APIKey yönerge parametresi kodsuz bağlayıcıya özgü olduğundan, doğrulama aracını kullanmak için bu bölümü geçici olarak kaldırın; aksi takdirde başarısız olur.
Bağlayıcınızın yoklama ayarlarını yapılandırma
Bu bölümde, kodsuz veri bağlayıcısı için veri kaynağınızdan verilerin nasıl yoklandığına ilişkin yapılandırma açıklanmaktadır.
Aşağıdaki kod, CCP yapılandırma dosyasının pollingConfig bölümünün söz dizimini gösterir.
"pollingConfig": {
"auth": {
},
"request": {
},
"response": {
},
"paging": {
}
}
bölümü pollingConfig aşağıdaki özellikleri içerir:
| Adı | Tür | Açıklama |
|---|---|---|
| Auth | String | Verileri yoklama için kimlik doğrulama özelliklerini açıklar. Daha fazla bilgi için bkz . Kimlik doğrulama yapılandırması. |
| auth.authType | String | Zorunlu. Nesnenin içinde auth iç içe yerleştirilmiş kimlik doğrulama türünü şu değerlerden biri olarak tanımlar: Basic, APIKey, OAuth2 |
| istek | İç İçe JSON | Zorunlu. API uç noktası gibi verileri yoklama için istek yükünü açıklar. Daha fazla bilgi için bkz . İstek yapılandırması. |
| yanıt | İç İçe JSON | Zorunlu. Verileri yoklarken API'den döndürülen yanıt nesnesini ve iç içe iletiyi açıklar. Daha fazla bilgi için bkz . yanıt yapılandırması. |
| Sayfalama | İç İçe JSON | isteğe bağlı. Verileri yoklarken sayfalandırma yükünü açıklar. Daha fazla bilgi için bkz . disk belleği yapılandırması. |
Daha fazla bilgi için bkz . Örnek pollingConfig code.
kimlik doğrulama yapılandırması
auth pollingConfig yapılandırmasının bölümü, authType öğesinde tanımlanan türe bağlı olarak aşağıdaki parametreleri içerir:
Temel authType parametreleri
| Adı | Tür | Açıklama |
|---|---|---|
| Kullanıcı adı | String | Zorunlu. Kullanıcı adını tanımlar. |
| Parola | String | Zorunlu. Kullanıcı parolasını tanımlar. |
APIKey authType parametreleri
| Adı | Tür | Açıklama |
|---|---|---|
| APIKeyName | String | isteğe bağlı. API anahtarınızın adını aşağıdaki değerlerden biri olarak tanımlar: - XAuthToken - Authorization |
| IsAPIKeyInPostPayload | Boolean | API anahtarınızın tanımlandığı yeri belirler. Doğru: API anahtarı POST isteği yükünde tanımlanır Yanlış: API anahtarı üst bilgide tanımlanır |
| APIKeyIdentifier | String | isteğe bağlı. API anahtarının tanımlayıcısının adını tanımlar. Örneğin, yetkilendirme olarak tanımlandığı "Authorization": "token <secret>"yerde bu parametre şu şekilde tanımlanır: {APIKeyIdentifier: “token”}) |
OAuth2 authType parametreleri
Kodsuz Bağlayıcı Platformu, OAuth 2.0 yetkilendirme kodu verme işlemini destekler.
Yetkilendirme Kodu verme türü, gizli ve genel istemciler tarafından erişim belirteci için bir yetkilendirme kodu değişimi için kullanılır.
Kullanıcı yeniden yönlendirme URL'si aracılığıyla istemciye döndükten sonra, uygulama URL'den yetkilendirme kodunu alır ve erişim belirteci istemek için bu kodu kullanır.
| Adı | Tür | Açıklama |
|---|---|---|
| FlowName | String | Zorunlu. OAuth2 akışını tanımlar. Desteklenen değer: AuthCode - Yetkilendirme akışı gerektirir |
| AccessToken | String | isteğe bağlı. Erişim belirtecinin süresi dolmadığında ilgili bir OAuth2 erişim belirteci tanımlar. |
| AccessTokenPrepend | String | isteğe bağlı. Önceden eklenen bir OAuth2 erişim belirteci tanımlar. Varsayılan Bearer değeridir. |
| RefreshToken | String | OAuth2 kimlik doğrulama türleri için zorunlu. OAuth2 yenileme belirtecini tanımlar. |
| TokenEndpoint | String | OAuth2 kimlik doğrulama türleri için zorunlu. OAuth2 belirteç hizmeti uç noktasını tanımlar. |
| AuthorizationEndpoint | String | isteğe bağlı. OAuth2 yetkilendirme hizmeti uç noktasını tanımlar. Yalnızca ekleme sırasında veya yenileme belirtecini yenilerken kullanılır. |
| RedirectionEndpoint | String | isteğe bağlı. Ekleme sırasında yeniden yönlendirme uç noktasını tanımlar. |
| AccessTokenExpirationDateTimeInUtc | String | isteğe bağlı. UTC biçiminde bir erişim belirteci süre sonu tarih saatini tanımlar. Erişim belirtecinin süresinin dolmaması ve bu nedenle UTC'de büyük bir tarih saat değeri olması veya erişim belirtecinin büyük bir sona erme tarihi saati olmasıyla ilgilidir. |
| RefreshTokenExpirationDateTimeInUtc | String | OAuth2 kimlik doğrulama türleri için zorunlu. Yenileme belirteci süre sonu tarih saatini UTC biçiminde tanımlar. |
| TokenEndpointHeaders | Sözlük<dizesi, nesne> | isteğe bağlı. OAuth2 belirteç hizmeti uç noktasını çağırırken üst bilgileri tanımlar. Serileştirilmiş dictionary<string, string> biçimde bir dize tanımlayın: {'<attr_name>': '<val>', '<attr_name>': '<val>'... } |
| AuthorizationEndpointHeaders | Sözlük<dizesi, nesne> | isteğe bağlı. OAuth2 yetkilendirme hizmeti uç noktasını çağırırken üst bilgileri tanımlar. Yalnızca ekleme sırasında veya yenileme belirtecini yenilerken kullanılır. Serileştirilmiş dictionary<string, object> biçimde bir dize tanımlayın: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ... } |
| AuthorizationEndpointQueryParameters | Sözlük<dizesi, nesne> | isteğe bağlı. OAuth2 yetkilendirme hizmeti uç noktasını çağırırken sorgu parametrelerini tanımlar. Yalnızca ekleme sırasında veya yenileme belirtecini yenilerken kullanılır. Serileştirilmiş dictionary<string, object> biçimde bir dize tanımlayın: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ... } |
| TokenEndpointQueryParameters | Sözlük<dizesi, nesne> | isteğe bağlı. OAuth2 belirteç hizmeti uç noktasını çağırırken sorgu parametrelerini tanımlayın. Serileştirilmiş dictionary<string, object> biçimde bir dize tanımlayın: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ... } |
| IsTokenEndpointPostPayloadJson | Boolean | İsteğe bağlı, varsayılan değer false'tur. Sorgu parametrelerinin JSON biçiminde olup olmadığını ve ISTEK POST yükünde ayarlanıp ayarlanmadığını belirler. |
| IsClientSecretInHeader | Boolean | İsteğe bağlı, varsayılan değer false'tur. ve client_secret değerlerinin client_id POST yükü yerine Temel kimlik doğrulama şemasında yapıldığı gibi üst bilgide tanımlanıp tanımlanmayacağını belirler. |
| RefreshTokenLifetimeinSecAttributeName | String | isteğe bağlı. Belirteç uç noktası yanıtından öznitelik adını tanımlar ve yenileme belirtecinin ömrünü saniye olarak belirtir. |
| IsJwtBearerFlow | Boolean | İsteğe bağlı, varsayılan değer false'tur. JWT kullanıp kullanmayabileceğinizi belirler. |
| JwtHeaderInJson | Sözlük<dizesi, nesne> | isteğe bağlı. JWT üst bilgilerini JSON biçiminde tanımlayın. Serileştirilmiş dictionary<string, object> biçimde bir dize tanımlayın: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>...} |
| JwtClaimsInJson | Sözlük<dizesi, nesne> | isteğe bağlı. JWT taleplerini JSON biçiminde tanımlar. Serileştirilmiş dictionary<string, object> biçimde bir dize tanımlayın: {'<attr_name>': <serialized val>, '<attr_name>': <serialized val>, ...} |
| JwtPem | String | isteğe bağlı. PEM Pkcs1 biçiminde bir gizli anahtar tanımlar: '-----BEGIN RSA PRIVATE KEY-----\r\n{privatekey}\r\n-----END RSA PRIVATE KEY-----\r\n'Kodun yerinde olduğundan '\r\n' emin olun. |
| RequestTimeoutInSeconds | Tamsayı | isteğe bağlı. Belirteç hizmet uç noktası çağrılırken saniyeler içinde zaman aşımını belirler. Varsayılan değer 180 saniyedir |
OAuth2 yapılandırmasının nasıl görünebileceğine yönelik bir örnek aşağıda verilmişti:
"pollingConfig": {
"auth": {
"authType": "OAuth2",
"authorizationEndpoint": "https://accounts.google.com/o/oauth2/v2/auth?access_type=offline&prompt=consent",
"redirectionEndpoint": "https://portal.azure.com/TokenAuthorize",
"tokenEndpoint": "https://oauth2.googleapis.com/token",
"authorizationEndpointQueryParameters": {},
"tokenEndpointHeaders": {
"Accept": "application/json"
},
"TokenEndpointQueryParameters": {},
"isClientSecretInHeader": false,
"scope": "https://www.googleapis.com/auth/admin.reports.audit.readonly",
"grantType": "authorization_code",
"contentType": "application/x-www-form-urlencoded",
"FlowName": "AuthCode"
},
Session authType parametreleri
| Adı | Tür | Açıklama |
|---|---|---|
| QueryParameters | Sözlük<dizesi, nesne> | isteğe bağlı. Serileştirilmiş dictionary<string, string> biçimde sorgu parametrelerinin listesi: {'<attr_name>': '<val>', '<attr_name>': '<val>'... } |
| IsPostPayloadJson | Boolean | isteğe bağlı. Sorgu parametrelerinin JSON biçiminde olup olmadığını belirler. |
| Üst bilgiler | Sözlük<dizesi, nesne> | isteğe bağlı. Oturum kimliğini almak için uç noktayı çağırırken ve uç nokta API'sini çağırırken kullanılan üst bilgiyi tanımlar. Dizeyi serileştirilmiş dictionary<string, string> biçimde tanımlayın: {'<attr_name>': '<val>', '<attr_name>': '<val>'... } |
| SessionTimeoutInMinutes | String | isteğe bağlı. Dakika cinsinden bir oturum zaman aşımı tanımlar. |
| SessionIdName | String | isteğe bağlı. Oturum için bir kimlik adı tanımlar. |
| SessionLoginRequestUri | String | isteğe bağlı. Oturum açma isteği URI'lerini tanımlar. |
yapılandırma isteme
request pollingConfig yapılandırmasının bölümü aşağıdaki parametreleri içerir:
| Adı | Tür | Açıklama |
|---|---|---|
| apiEndpoint | String | Zorunlu. Verileri çekmek için uç noktayı tanımlar. |
| httpMethod | String | Zorunlu. API yöntemini tanımlar: GET veya POST |
| queryTimeFormat | Dize veya UnixTimestamp veya UnixTimestampInMills | Zorunlu. Sorgu zamanını tanımlamak için kullanılan biçimi tanımlar. Bu değer bir dize veya UnixTimestamp ya da UnixTimestampInMills biçiminde olup UnixTimestamp'ta sorgunun başlangıç ve bitiş saatini gösterebilir. |
| startTimeAttributeName | String | isteğe bağlı. Sorgu başlangıç saatini tanımlayan özniteliğin adını tanımlar. |
| endTimeAttributeName | String | isteğe bağlı. Sorgu bitiş saatini tanımlayan özniteliğin adını tanımlar. |
| queryTimeIntervalAttributeName | String | isteğe bağlı. Sorgu zaman aralığını tanımlayan özniteliğin adını tanımlar. |
| queryTimeIntervalDelimiter | String | isteğe bağlı. Sorgu zaman aralığı sınırlayıcısını tanımlar. |
| queryWindowInMin | Tamsayı | isteğe bağlı. Kullanılabilir sorgu penceresini dakika cinsinden tanımlar. En düşük değer: 5 |
| queryParameters | Sözlük<dizesi, nesne> | isteğe bağlı. Yoldaki sorguda eventsJsonPaths geçirilen parametreleri tanımlar. Dizeyi serileştirilmiş dictionary<string, string> biçimde tanımlayın: {'<attr_name>': '<val>', '<attr_name>': '<val>'... }. |
| queryParametersTemplate | String | isteğe bağlı. Gelişmiş senaryolarda sorgu parametreleri geçirildiğinde kullanılacak sorgu parametreleri şablonunu tanımlar. Örneğin: "queryParametersTemplate": "{'cid': 1234567, 'cmd': 'reporting', 'format': 'siem', 'data': { 'from': '{_QueryWindowStartTime}', 'to': '{_QueryWindowEndTime}'}, '{_APIKeyName}': '{_APIKey}'}" {_QueryWindowStartTime}ve {_QueryWindowEndTime} yalnızca ve queryParametersTemplate istek parametrelerinde queryParameters desteklenir. {_APIKeyName} ve {_APIKey} yalnızca istek parametresinde queryParametersTemplate desteklenir. |
| isPostPayloadJson | Boolean | isteğe bağlı. POST yükünün JSON biçiminde olup olmadığını belirler. |
| rateLimitQPS | Çift | isteğe bağlı. Saniye içinde izin verilen çağrı veya sorgu sayısını tanımlar. |
| timeoutInSeconds | Tamsayı | isteğe bağlı. İstek zaman aşımını saniye olarak tanımlar. |
| retryCount | Tamsayı | isteğe bağlı. Gerekirse deneyebileceğiniz istek yeniden denemelerinin sayısını tanımlar. |
| Üstbilgi | Sözlük<dizesi, nesne> | isteğe bağlı. İstek üst bilgisi değerini serileştirilmiş dictionary<string, object> biçimde tanımlar: {'<attr_name>': '<serialized val>', '<attr_name>': '<serialized val>'... } |
Yanıt yapılandırması
response pollingConfig yapılandırmasının bölümü aşağıdaki parametreleri içerir:
Aşağıdaki kod, en üst düzey ileti için eventsJsonPaths değerinin bir örneğini gösterir:
"eventsJsonPaths": [
"$"
]
Disk belleği yapılandırması
paging pollingConfig yapılandırmasının bölümü aşağıdaki parametreleri içerir:
| Adı | Tür | Açıklama |
|---|---|---|
| pagingType | String | Zorunlu. Sonuçlarda kullanılacak disk belleği türünü aşağıdaki değerlerden biri olarak belirler: None, LinkHeader, NextPageToken, NextPageUrl, , Offset |
| linkHeaderTokenJsonPath | String | isteğe bağlı. yanıt üst bilgisinde tanımlanmamışsa LinkHeader , yanıt JSON'unda üst bilgiyi bağlamak için JSON yolunu tanımlar. |
| nextPageTokenJsonPath | String | isteğe bağlı. Sonraki sayfa belirtecinin JSON yolunu tanımlar. |
| hasNextFlagJsonPath | String | isteğe bağlı. flag özniteliğinin HasNextPage yolunu tanımlar. |
| nextPageTokenResponseHeader | String | isteğe bağlı. Yanıttaki sonraki sayfa belirteci üst bilgisi adını tanımlar. |
| nextPageParaName | String | isteğe bağlı. İstekteki sonraki sayfa adını belirler. |
| nextPageRequestHeader | String | isteğe bağlı. İstekteki bir sonraki sayfa üst bilgisi adını belirler. |
| nextPageUrl | String | isteğe bağlı. İlk istek URL'sinden farklıysa sonraki sayfa URL'sini belirler. |
| nextPageUrlQueryParameters | String | isteğe bağlı. İlk isteğin URL'sinden farklıysa sonraki sayfa URL'sinin sorgu parametrelerini belirler. Dizeyi serileştirilmiş dictionary<string, object> biçimde tanımlayın: {'<attr_name>': <val>, '<attr_name>': <val>... } |
| offsetParaName | String | isteğe bağlı. offset parametresinin adını tanımlar. |
| pageSizeParaName | String | isteğe bağlı. Sayfa boyutu parametresinin adını tanımlar. |
| Pagesize | Tam sayı | Disk belleği boyutunu tanımlar. |
Örnek pollingConfig kodu
Aşağıdaki kod, CCP yapılandırma dosyasının pollingConfig bölümünün bir örneğini gösterir:
"pollingConfig": {
"auth": {
"authType": "APIKey",
"APIKeyIdentifier": "token",
"APIKeyName": "Authorization"
},
"request": {
"apiEndpoint": "https://api.github.com/../{{placeHolder1}}/audit-log",
"rateLimitQPS": 50,
"queryWindowInMin": 15,
"httpMethod": "Get",
"queryTimeFormat": "yyyy-MM-ddTHH:mm:ssZ",
"retryCount": 2,
"timeoutInSeconds": 60,
"headers": {
"Accept": "application/json",
"User-Agent": "Scuba"
},
"queryParameters": {
"phrase": "created:{_QueryWindowStartTime}..{_QueryWindowEndTime}"
}
},
"paging": {
"pagingType": "LinkHeader",
"pageSizeParaName": "per_page"
},
"response": {
"eventsJsonPaths": [
"$"
]
}
}
Bağlayıcınızı Microsoft Sentinel'de dağıtma ve veri alımına başlama
Hem kullanıcı arabirimi hem de yoklama yapılandırması dahil olmak üzere JSON yapılandırma dosyanızı oluşturduktan sonra bağlayıcınızı Microsoft Sentinel çalışma alanınıza dağıtın.
Veri bağlayıcınızı dağıtmak için aşağıdaki seçeneklerden birini kullanın.
İpucu
Azure Resource Manager (ARM) şablonu aracılığıyla dağıtmanın avantajı, şablonda birkaç değerin yerleşik olması ve bunları bir API çağrısında el ile tanımlamanız gerekmeyecek olmasıdır.
Bağlayıcınızı dağıtmak için JSON yapılandırma koleksiyonlarınızı bir ARM şablonuna sarmalama. Veri bağlayıcınızın doğru çalışma alanına dağıtıldığından emin olmak için çalışma alanını ARM şablonunda tanımladığınızdan veya ARM şablonunu dağıtırken çalışma alanını seçtiğinizden emin olun.
Bağlayıcınız için bir ARM şablonu JSON dosyası hazırlayın. Örneğin, aşağıdaki ARM şablonu JSON dosyalarına bakın:
- Slack çözümünde veri bağlayıcısı
- GitHub çözümündeki veri bağlayıcısı
Azure portalında Özel şablon dağıtma araması yapın.
Özel dağıtım sayfasında, Dosya yükle düzenleyicisinde>Kendi şablonunuzu derleyin'i seçin. Yerel ARM şablonunuzu bulun ve seçin ve değişikliklerinizi kaydedin.
Aboneliğinizi ve kaynak grubunuzu seçin ve ardından özel bağlayıcınızı dağıtmak istediğiniz Log Analytics çalışma alanını girin.
Özel bağlayıcınızı Microsoft Sentinel'e dağıtmak için Gözden geçir + oluştur'u seçin.
Microsoft Sentinel'de Veri bağlayıcıları sayfasına gidin ve yeni bağlayıcınızı arayın. Verileri alma işlemini başlatmak için yapılandırın.
Daha fazla bilgi için Azure Resource Manager belgelerinde Yerel şablon dağıtma bölümüne bakın.
Veri kaynağınızı bağlamak ve Microsoft Sentinel'e veri almak için veri bağlayıcınızı yapılandırın. Veri kaynağınıza, kullanıma sunuldu veri bağlayıcılarında olduğu gibi portal üzerinden veya API aracılığıyla bağlanabilirsiniz.
Bağlanmak için Azure portalını kullandığınızda, kullanıcı verileri otomatik olarak gönderilir. API aracılığıyla bağlandığınızda, API çağrısında ilgili kimlik doğrulama parametrelerini göndermeniz gerekir.
Microsoft Sentinel veri bağlayıcısı sayfanızda, veri bağlayıcınıza bağlanmak için sağladığınız yönergeleri izleyin.
Microsoft Sentinel'deki veri bağlayıcısı sayfası, CCP JSON yapılandırma dosyasının
connectorUiConfigöğesindeki InstructionSteps yapılandırması tarafından denetlenmektedir. Kullanıcı arabirimi bağlantısıyla ilgili sorunlarınız varsa, kimlik doğrulama türünüz için doğru yapılandırmaya sahip olduğunuzdan emin olun.Microsoft Sentinel'de Günlükler sayfasına gidin ve veri kaynağınızdaki günlüklerin çalışma alanınıza aktığını gördüğünüzden emin olun.
Microsoft Sentinel'e veri akışı görmüyorsanız veri kaynağı belgelerinize ve sorun giderme kaynaklarınıza bakın, yapılandırma ayrıntılarını denetleyin ve bağlantıyı denetleyin. Daha fazla bilgi için bkz . Veri bağlayıcılarınızın durumunu izleme.
Bağlayıcınızın bağlantısını kesme
Bağlayıcınızın verilerine artık ihtiyacınız yoksa, veri akışını durdurmak için bağlayıcının bağlantısını kesin.
Aşağıdaki yöntemlerden birini kullanın:
Azure portalı: Microsoft Sentinel veri bağlayıcısı sayfanızda Bağlantıyı Kes'i seçin.
API: Aşağıdaki URL'ye boş gövdeli bir PUT çağrısı göndermek için DISCONNECT API'sini kullanın:
https://management.azure.com /subscriptions/{{SUB}}/resourceGroups/{{RG}}/providers/Microsoft.OperationalInsights/workspaces/{{WS-NAME}}/providers/Microsoft.SecurityInsights/dataConnectors/{{Connector_Id}}/disconnect?api-version=2021-03-01-preview
Sonraki adımlar
Henüz yapmadıysanız yeni kodsuz veri bağlayıcınızı Microsoft Sentinel topluluğuyla paylaşın! Veri bağlayıcınız için bir çözüm oluşturun ve bunu Microsoft Sentinel Market'te paylaşın.
Daha fazla bilgi için bkz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin