Data Connectors - Create Or Update
创建或更新数据连接器。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/dataConnectors/{dataConnectorId}?api-version=2025-06-01URI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
data
|
path | True |
string |
连接器标识 |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
资源组的名称。 此名称不区分大小写。 |
|
subscription
|
path | True |
string (uuid) |
目标订阅的 ID。 该值必须是 UUID。 |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
工作区的名称。 |
|
api-version
|
query | True |
string minLength: 1 |
用于此操作的 API 版本。 |
请求正文
请求正文可以为下列任一内容:
| 名称 | 说明 |
|---|---|
|
AADData |
表示 AAD (Azure Active Directory) 数据连接器。 |
|
AATPData |
表示 AATP(Azure 高级威胁防护)数据连接器。 |
|
ASCData |
表示 ASC(Azure 安全中心)数据连接器。 |
|
Aws |
表示 Amazon Web Services CloudTrail 数据连接器。 |
|
MCASData |
表示 MCAS (Microsoft Cloud App Security) 数据连接器。 |
|
MDATPData |
表示 MDATP(Microsoft Defender 高级威胁防护)数据连接器。 |
|
MSTIData |
表示Microsoft威胁情报数据连接器。 |
|
Office |
表示 Office 数据连接器。 |
|
Premium |
表示 Premium Microsoft Defender for Threat Intelligence 数据连接器。 |
|
Rest |
表示 Rest Api Poller 数据连接器。 |
|
TIData |
表示威胁情报数据连接器。 |
AADDataConnector
表示 AAD (Azure Active Directory) 数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Azure |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.dataTypes |
连接器的可用数据类型。 |
||
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
AATPDataConnector
表示 AATP(Azure 高级威胁防护)数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Azure |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.dataTypes |
连接器的可用数据类型。 |
||
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
ASCDataConnector
表示 ASC(Azure 安全中心)数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Azure |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.dataTypes |
连接器的可用数据类型。 |
||
| properties.subscriptionId |
string |
要连接到的订阅 ID,并从中获取数据。 |
AwsCloudTrailDataConnector
表示 Amazon Web Services CloudTrail 数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Amazon |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.awsRoleArn |
string |
用于访问 Aws 帐户的 Aws Role Arn(使用 CloudTrailReadOnly 策略)。 |
|
| properties.dataTypes |
连接器的可用数据类型。 |
MCASDataConnector
表示 MCAS (Microsoft Cloud App Security) 数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Microsoft |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.dataTypes |
连接器的可用数据类型。 |
||
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
MDATPDataConnector
表示 MDATP(Microsoft Defender 高级威胁防护)数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Microsoft |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.dataTypes |
连接器的可用数据类型。 |
||
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
MSTIDataConnector
表示Microsoft威胁情报数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Microsoft |
数据连接器类型 |
| properties.dataTypes | True |
连接器的可用数据类型。 |
|
| etag |
string |
Azure 资源的 Etag |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
OfficeDataConnector
表示 Office 数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Office365 |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.dataTypes |
连接器的可用数据类型。 |
||
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
PremiumMicrosoftDefenderForThreatIntelligence
表示 Premium Microsoft Defender for Threat Intelligence 数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True | string: |
数据连接器类型 |
| properties.dataTypes | True |
连接器的可用数据类型。 |
|
| properties.lookbackPeriod | True |
string (date-time) |
要导入的源的回溯期。 开始从中导入源的日期时间,例如:2024-01-01T00:00:00.000Z。 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.requiredSKUsPresent |
boolean |
用于指示租户是否具有访问此连接器所需的高级 SKU 的标志。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
RestApiPollerDataConnector
表示 Rest Api Poller 数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Rest |
数据连接器类型 |
| properties.auth | True | CcpAuthConfig: |
身份验证模型。 |
| properties.connectorDefinitionName | True |
string |
连接器定义名称(dataConnectorDefinition 资源 ID)。 |
| properties.request | True |
请求配置。 |
|
| etag |
string |
Azure 资源的 Etag |
|
| properties.addOnAttributes |
object |
属性上的添加。 键名称将成为属性名称(列),值将成为有效负载中的属性值。 |
|
| properties.dataType |
string |
Log Analytics 表目标。 |
|
| properties.dcrConfig |
DCR 相关属性。 |
||
| properties.isActive |
boolean |
指示连接器是否处于活动状态。 |
|
| properties.paging |
分页配置。 |
||
| properties.response |
响应配置。 |
TIDataConnector
表示威胁情报数据连接器。
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| kind | True |
string:
Threat |
数据连接器类型 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.dataTypes |
连接器的可用数据类型。 |
||
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
|
| properties.tipLookbackPeriod |
string (date-time) |
要导入的源的回溯期。 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK | DataConnector: |
正常,作已成功完成 |
| 201 Created | DataConnector: |
已创建 |
| Other Status Codes |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
类型:
oauth2
流向:
implicit
授权 URL:
https://login.microsoftonline.com/common/oauth2/authorize
作用域
| 名称 | 说明 |
|---|---|
| user_impersonation | 模拟用户帐户 |
示例
Creates or updates a MicrosoftThreatIntelligence data connector.
示例请求
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/c345bf40-8509-4ed2-b947-50cb773aaf04?api-version=2025-06-01
{
"kind": "MicrosoftThreatIntelligence",
"properties": {
"tenantId": "06b3ccb8-1384-4bcc-aec7-852f6d57161b",
"dataTypes": {
"microsoftEmergingThreatFeed": {
"state": "Enabled",
"lookbackPeriod": "2024-11-01T00:00:00Z"
}
}
}
}
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/c345bf40-8509-4ed2-b947-50cb773aaf04",
"name": "c345bf40-8509-4ed2-b947-50cb773aaf04",
"type": "Microsoft.SecurityInsights/dataConnectors",
"etag": "d12423f6-a60b-4ca5-88c0-feb1a182d0f0",
"kind": "MicrosoftThreatIntelligence",
"properties": {
"tenantId": "06b3ccb8-1384-4bcc-aec7-852f6d57161b",
"dataTypes": {
"microsoftEmergingThreatFeed": {
"state": "Enabled",
"lookbackPeriod": "2024-11-01T00:00:00Z"
}
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/c345bf40-8509-4ed2-b947-50cb773aaf04",
"name": "c345bf40-8509-4ed2-b947-50cb773aaf04",
"type": "Microsoft.SecurityInsights/dataConnectors",
"etag": "d12423f6-a60b-4ca5-88c0-feb1a182d0f0",
"kind": "MicrosoftThreatIntelligence",
"properties": {
"tenantId": "06b3ccb8-1384-4bcc-aec7-852f6d57161b",
"dataTypes": {
"microsoftEmergingThreatFeed": {
"state": "Enabled",
"lookbackPeriod": "2024-11-01T00:00:00Z"
}
}
}
}Creates or updates a PremiumMicrosoftDefenderForThreatIntelligence data connector.
示例请求
PUT https://management.azure.com/subscriptions/b66e5c69-e2eb-422a-81c3-002de57059f3/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/8c569548-a86c-4fb4-8ae4-d1e35a6146f8?api-version=2025-06-01
{
"kind": "PremiumMicrosoftDefenderForThreatIntelligence",
"properties": {
"tenantId": "e4afb3c4-813b-4e68-b6de-e5360866e798",
"lookbackPeriod": "1970-01-01T00:00:00.000Z",
"dataTypes": {
"connector": {
"state": "Enabled"
}
}
}
}
示例响应
{
"id": "/subscriptions/b66e5c69-e2eb-422a-81c3-002de57059f3/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/3deede2e-c6d1-4ee6-afc8-e0190ac34200",
"name": "3deede2e-c6d1-4ee6-afc8-e0190ac34200",
"etag": "56003401-0000-0100-0000-67314b0b0000",
"type": "Microsoft.SecurityInsights/dataConnectors",
"kind": "PremiumMicrosoftDefenderForThreatIntelligence",
"properties": {
"lookbackPeriod": "2024-11-01T00:00:00Z",
"requiredSKUsPresent": true,
"dataTypes": {
"connector": {
"state": "Enabled"
}
},
"tenantId": "e4afb3c4-813b-4e68-b6de-e5360866e798"
}
}{
"id": "/subscriptions/b66e5c69-e2eb-422a-81c3-002de57059f3/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/3deede2e-c6d1-4ee6-afc8-e0190ac34200",
"name": "3deede2e-c6d1-4ee6-afc8-e0190ac34200",
"etag": "56003401-0000-0100-0000-67314b0b0000",
"type": "Microsoft.SecurityInsights/dataConnectors",
"kind": "PremiumMicrosoftDefenderForThreatIntelligence",
"properties": {
"lookbackPeriod": "2024-11-01T00:00:00Z",
"requiredSKUsPresent": true,
"dataTypes": {
"connector": {
"state": "Enabled"
}
},
"tenantId": "e4afb3c4-813b-4e68-b6de-e5360866e798"
}
}Creates or updates an Office365 data connector.
示例请求
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-06-01
{
"kind": "Office365",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"tenantId": "2070ecc9-b4d5-4ae4-adaa-936fa1954fa8",
"dataTypes": {
"sharePoint": {
"state": "Enabled"
},
"exchange": {
"state": "Enabled"
},
"teams": {
"state": "Enabled"
}
}
}
}
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/dataConnectors",
"kind": "Office365",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"tenantId": "2070ecc9-b4d5-4ae4-adaa-936fa1954fa8",
"dataTypes": {
"sharePoint": {
"state": "Enabled"
},
"exchange": {
"state": "Enabled"
},
"teams": {
"state": "Enabled"
}
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/dataConnectors",
"kind": "Office365",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"tenantId": "2070ecc9-b4d5-4ae4-adaa-936fa1954fa8",
"dataTypes": {
"sharePoint": {
"state": "Enabled"
},
"exchange": {
"state": "Enabled"
},
"teams": {
"state": "Enabled"
}
}
}
}Creates or updates an Threat Intelligence Platform data connector.
示例请求
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-06-01
{
"kind": "ThreatIntelligence",
"properties": {
"tenantId": "06b3ccb8-1384-4bcc-aec7-852f6d57161b",
"tipLookbackPeriod": "2020-01-01T13:00:30.123Z",
"dataTypes": {
"indicators": {
"state": "Enabled"
}
}
}
}
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/dataConnectors",
"kind": "ThreatIntelligence",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"tenantId": "06b3ccb8-1384-4bcc-aec7-852f6d57161b",
"tipLookbackPeriod": "2020-01-01T13:00:30.123Z",
"dataTypes": {
"indicators": {
"state": "Enabled"
}
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/dataConnectors/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/dataConnectors",
"kind": "ThreatIntelligence",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"tenantId": "06b3ccb8-1384-4bcc-aec7-852f6d57161b",
"tipLookbackPeriod": "2020-01-01T13:00:30.123Z",
"dataTypes": {
"indicators": {
"state": "Enabled"
}
}
}
}定义
| 名称 | 说明 |
|---|---|
|
AADData |
表示 AAD (Azure Active Directory) 数据连接器。 |
|
AATPData |
表示 AATP(Azure 高级威胁防护)数据连接器。 |
|
Alerts |
警报数据连接器的数据类型。 |
|
Api |
使用 API 密钥进行身份验证的模型。 将导致对远程服务器的请求(默认行为)产生其他标头:“ApiKeyName: ApiKeyIdentifier ApiKey”。 如果“IsApiKeyInPostPayload”为 true,它将在请求正文而不是标头中发送它。 |
|
ASCData |
表示 ASC(Azure 安全中心)数据连接器。 |
|
AWSAuth |
使用 AWS 进行 API 身份验证的模型。 |
|
Aws |
表示 Amazon Web Services CloudTrail 数据连接器。 |
|
Aws |
Amazon Web Services CloudTrail 数据连接器的可用数据类型。 |
|
Basic |
使用基本流进行 API 身份验证的模型 - 用户名 + 密码。 |
|
Ccp |
分页类型 |
|
Ccp |
规则的自定义响应配置。 |
|
Cloud |
错误响应结构。 |
|
Cloud |
错误详细信息。 |
| Connector |
Premium Microsoft Defender for Threat Intelligence 数据连接器的数据类型。 |
|
created |
创建资源的标识的类型。 |
|
Data |
数据连接器中数据类型的常见字段。 |
|
Data |
数据连接器的类型 |
|
Data |
描述是否启用此数据类型连接。 |
| DCRConfiguration |
数据的目标的配置。 |
| Exchange |
Exchange 数据类型连接。 |
|
GCPAuth |
所有 GCP 类型连接器的 API 身份验证模型。 |
|
Generic |
用于处理服务总线或存储帐户的 API 身份验证模型。 |
|
Git |
GitHub 的 API 身份验证模型。 对于此身份验证,首先需要批准路由器应用(Microsoft安全 DevOps)以访问 GitHub 帐户,然后我们只需要 InstallationId 才能从 https://api.github.com/app/installations/{installId}/access_tokens获取访问令牌。 |
|
http |
HTTP 方法,默认值 GET。 |
| Indicators |
指示器连接的数据类型。 |
|
Jwt |
使用 JWT 进行 API 身份验证的模型。 用于访问令牌的用户名 + 密码之间的简单交换。 |
| Logs |
记录数据类型。 |
|
MCASData |
表示 MCAS (Microsoft Cloud App Security) 数据连接器。 |
|
MCASData |
MCAS(Microsoft Cloud App Security)数据连接器的可用数据类型。 |
|
MDATPData |
表示 MDATP(Microsoft Defender 高级威胁防护)数据连接器。 |
|
Microsoft |
Microsoft Threat Intelligence 数据连接器的数据类型。 |
|
MSTIData |
表示Microsoft威胁情报数据连接器。 |
|
MSTIData |
Microsoft威胁情报数据连接器的可用数据类型。 |
|
None |
没有身份验证方法的 API 身份验证模型 - 公共 API。 |
|
OAuth |
使用 OAuth2 进行 API 身份验证的模型。 |
|
Office |
表示 Office 数据连接器。 |
|
Office |
Office 数据连接器的可用数据类型。 |
|
Oracle |
Oracle API 身份验证模型。 |
|
Premium |
Premium Microsoft Defender for Threat Intelligence 数据连接器的可用数据类型。 |
|
Premium |
表示 Premium Microsoft Defender for Threat Intelligence 数据连接器。 |
|
Rest |
表示 Rest Api Poller 数据连接器。 |
|
Rest |
请求配置。 |
|
Rest |
请求分页配置。 |
|
Rest |
分页类型 |
|
Session |
使用会话 Cookie 进行 API 身份验证的模型。 |
|
Share |
SharePoint 数据类型连接。 |
|
system |
与创建和上次修改资源相关的元数据。 |
| Teams |
Teams 数据类型连接。 |
|
TIData |
表示威胁情报数据连接器。 |
|
TIData |
TI(威胁智能)数据连接器的可用数据类型。 |
AADDataConnector
表示 AAD (Azure Active Directory) 数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Azure |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
AATPDataConnector
表示 AATP(Azure 高级威胁防护)数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Azure |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
AlertsDataTypeOfDataConnector
警报数据连接器的数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| alerts |
警报数据类型连接。 |
ApiKeyAuthModel
使用 API 密钥进行身份验证的模型。 将导致对远程服务器的请求(默认行为)产生其他标头:“ApiKeyName: ApiKeyIdentifier ApiKey”。 如果“IsApiKeyInPostPayload”为 true,它将在请求正文而不是标头中发送它。
| 名称 | 类型 | 说明 |
|---|---|---|
| apiKey |
string |
用户密钥凭据的 API 密钥 |
| apiKeyIdentifier |
string |
API 密钥标识符 |
| apiKeyName |
string |
API 密钥名称 |
| isApiKeyInPostPayload |
boolean |
用于指示 API 密钥是否在 HTTP POST 有效负载中设置的标志 |
| type |
string:
APIKey |
身份验证类型 |
ASCDataConnector
表示 ASC(Azure 安全中心)数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Azure |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.subscriptionId |
string |
要连接到的订阅 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
AWSAuthModel
使用 AWS 进行 API 身份验证的模型。
| 名称 | 类型 | 说明 |
|---|---|---|
| externalId |
string |
AWS STS 承担角色外部 ID。 这用于防止混淆的副问题:“https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html” |
| roleArn |
string |
AWS STS 承担角色 ARN |
| type |
string:
AWS |
身份验证类型 |
AwsCloudTrailDataConnector
表示 Amazon Web Services CloudTrail 数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Amazon |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.awsRoleArn |
string |
用于访问 Aws 帐户的 Aws Role Arn(使用 CloudTrailReadOnly 策略)。 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
AwsCloudTrailDataConnectorDataTypes
Amazon Web Services CloudTrail 数据连接器的可用数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| logs |
记录数据类型。 |
BasicAuthModel
使用基本流进行 API 身份验证的模型 - 用户名 + 密码。
| 名称 | 类型 | 说明 |
|---|---|---|
| password |
string |
密码 |
| type |
string:
Basic |
身份验证类型 |
| userName |
string |
用户名。 |
CcpAuthType
分页类型
| 值 | 说明 |
|---|---|
| APIKey | |
| AWS | |
| Basic | |
| GCP | |
| GitHub | |
| JwtToken | |
| None | |
| OAuth2 | |
| Oracle | |
| ServiceBus | |
| Session |
CcpResponseConfig
规则的自定义响应配置。
| 名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| compressionAlgo |
string |
gzip |
压缩算法。 例如:“gzip”、“multi-gzip”、“deflate”。 |
| convertChildPropertiesToArray |
boolean |
指示响应是否不是事件/日志数组的值。 通过将此标志设置为 true,这意味着远程服务器将使用每个属性作为事件/日志数组的值的对象进行响应。 |
|
| csvDelimiter |
string |
如果响应格式为 CSV,则 csv 分隔符为 CSV。 |
|
| csvEscape |
string minLength: 1maxLength: 1 |
" |
用于在 CSV 中转义字符的字符。 |
| eventsJsonPaths |
string[] |
json 路径“$”字符是 json 根。 |
|
| format |
string |
json |
响应格式。 可能的值为 json、csv、xml |
| hasCsvBoundary |
boolean |
指示响应是否具有 CSV 边界的值,以防响应采用 CSV 格式。 |
|
| hasCsvHeader |
boolean |
指示响应是否具有标头的值,以防响应采用 CSV 格式。 |
|
| isGzipCompressed |
boolean |
该值指示远程服务器是否支持 Gzip,我们应期望 Gzip 响应。 |
|
| successStatusJsonPath |
string |
状态消息/代码应出现在响应中的值。 |
|
| successStatusValue |
string |
状态值。 |
CloudError
错误响应结构。
| 名称 | 类型 | 说明 |
|---|---|---|
| error |
错误数据 |
CloudErrorBody
错误详细信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
| message |
string |
描述错误的消息,旨在适合在用户界面中显示。 |
Connector
Premium Microsoft Defender for Threat Intelligence 数据连接器的数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| state |
描述是否启用此数据类型连接。 |
createdByType
创建资源的标识的类型。
| 值 | 说明 |
|---|---|
| Application | |
| Key | |
| ManagedIdentity | |
| User |
DataConnectorDataTypeCommon
数据连接器中数据类型的常见字段。
| 名称 | 类型 | 说明 |
|---|---|---|
| state |
描述是否启用此数据类型连接。 |
DataConnectorKind
数据连接器的类型
| 值 | 说明 |
|---|---|
| AmazonWebServicesCloudTrail | |
| AzureActiveDirectory | |
| AzureAdvancedThreatProtection | |
| AzureSecurityCenter | |
| MicrosoftCloudAppSecurity | |
| MicrosoftDefenderAdvancedThreatProtection | |
| MicrosoftThreatIntelligence | |
| Office365 | |
| PremiumMicrosoftDefenderForThreatIntelligence | |
| RestApiPoller | |
| ThreatIntelligence |
DataTypeState
描述是否启用此数据类型连接。
| 值 | 说明 |
|---|---|
| Disabled | |
| Enabled |
DCRConfiguration
数据的目标的配置。
| 名称 | 类型 | 说明 |
|---|---|---|
| dataCollectionEndpoint |
string |
表示 Log Analytics 中的数据收集引入终结点。 |
| dataCollectionRuleImmutableId |
string |
数据收集规则不可变 ID,规则定义转换和数据目标。 |
| streamName |
string |
要向其发送数据的流。 |
Exchange
Exchange 数据类型连接。
| 名称 | 类型 | 说明 |
|---|---|---|
| state |
描述是否启用此数据类型连接。 |
GCPAuthModel
所有 GCP 类型连接器的 API 身份验证模型。
| 名称 | 类型 | 说明 |
|---|---|---|
| projectNumber |
string |
GCP 项目编号 |
| serviceAccountEmail |
string |
GCP 服务帐户电子邮件 |
| type |
string:
GCP |
身份验证类型 |
| workloadIdentityProviderId |
string |
GCP 工作负荷标识提供者 ID |
GenericBlobSbsAuthModel
用于处理服务总线或存储帐户的 API 身份验证模型。
| 名称 | 类型 | 说明 |
|---|---|---|
| credentialsConfig |
object |
服务总线命名空间的凭据、用于访问密钥的 keyvault URI |
| storageAccountCredentialsConfig |
object |
存储帐户的凭据、用于访问密钥的 keyvault URI |
| type |
string:
Service |
身份验证类型 |
GitHubAuthModel
GitHub 的 API 身份验证模型。 对于此身份验证,首先需要批准路由器应用(Microsoft安全 DevOps)以访问 GitHub 帐户,然后我们只需要 InstallationId 才能从 https://api.github.com/app/installations/{installId}/access_tokens获取访问令牌。
| 名称 | 类型 | 说明 |
|---|---|---|
| installationId |
string |
GitHubApp 身份验证安装 ID。 |
| type |
string:
Git |
身份验证类型 |
httpMethodVerb
HTTP 方法,默认值 GET。
| 值 | 说明 |
|---|---|
| DELETE | |
| GET | |
| POST | |
| PUT |
Indicators
指示器连接的数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| state |
描述是否启用此数据类型连接。 |
JwtAuthModel
使用 JWT 进行 API 身份验证的模型。 用于访问令牌的用户名 + 密码之间的简单交换。
| 名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| headers |
object |
向令牌终结点发送请求后,我们要添加的自定义标头。 |
|
| isCredentialsInHeaders |
boolean |
指示是否要将用户名和密码发送到标头中的令牌终结点的标志。 |
|
| isJsonRequest |
boolean |
False |
指示正文请求是否为 JSON(标头 Content-Type = application/json)的标志,这意味着它是表单 URL 编码请求(标头 Content-Type = application/x-www-form-urlencoded)。 |
| password |
object |
密码 |
|
| queryParameters |
object |
向令牌终结点发送请求后,我们要添加的自定义查询参数。 |
|
| requestTimeoutInSeconds |
integer (int32) maximum: 180 |
100 |
请求超时(以秒为单位)。 |
| tokenEndpoint |
string |
用于请求 JWT 的令牌终结点 |
|
| type |
string:
Jwt |
身份验证类型 |
|
| userName |
object |
用户名。 如果在标头请求中发送的用户名和密码,则只需使用用户名填充 |
Logs
记录数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| state |
描述是否启用此数据类型连接。 |
MCASDataConnector
表示 MCAS (Microsoft Cloud App Security) 数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Microsoft |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MCASDataConnectorDataTypes
MCAS(Microsoft Cloud App Security)数据连接器的可用数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| alerts |
警报数据类型连接。 |
|
| discoveryLogs |
发现日志数据类型连接。 |
MDATPDataConnector
表示 MDATP(Microsoft Defender 高级威胁防护)数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Microsoft |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MicrosoftEmergingThreatFeed
Microsoft Threat Intelligence 数据连接器的数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| lookbackPeriod |
string (date-time) |
要导入的源的回溯期。 开始从中导入源的日期时间,例如:2024-01-01T00:00:00.000Z。 |
| state |
描述是否启用此数据类型连接。 |
MSTIDataConnector
表示Microsoft威胁情报数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Microsoft |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MSTIDataConnectorDataTypes
Microsoft威胁情报数据连接器的可用数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| microsoftEmergingThreatFeed |
Microsoft Threat Intelligence 数据连接器的数据类型。 |
NoneAuthModel
没有身份验证方法的 API 身份验证模型 - 公共 API。
| 名称 | 类型 | 说明 |
|---|---|---|
| type |
string:
None |
身份验证类型 |
OAuthModel
使用 OAuth2 进行 API 身份验证的模型。
| 名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| accessTokenPrepend |
string |
访问令牌前面。 默认值为“Bearer”。 |
|
| authorizationCode |
string |
用户的授权代码。 |
|
| authorizationEndpoint |
string |
授权终结点。 |
|
| authorizationEndpointHeaders |
object |
授权终结点标头。 |
|
| authorizationEndpointQueryParameters |
object |
授权终结点查询参数。 |
|
| clientId |
string |
OAuth 提供程序分配给你的应用的应用程序(客户端)ID。 |
|
| clientSecret |
string |
OAuth 提供程序分配给应用的应用程序(客户端)机密。 |
|
| grantType |
string |
授权类型通常为“授权代码”。 |
|
| isCredentialsInHeaders |
boolean |
False |
指示是否要将 clientId 和 clientSecret 发送到标头中的令牌终结点。 |
| isJwtBearerFlow |
boolean |
一个值,该值指示它是否为 JWT 流。 |
|
| redirectUri |
string (uri) |
用户在 OAuth 提供程序中配置的应用程序重定向 URL。 |
|
| scope |
string |
OAuth 提供程序分配给应用的应用程序(客户端)范围。 |
|
| tokenEndpoint |
string |
令牌终结点。 定义 OAuth2 刷新令牌。 |
|
| tokenEndpointHeaders |
object |
令牌终结点标头。 |
|
| tokenEndpointQueryParameters |
object |
令牌终结点查询参数。 |
|
| type |
string:
OAuth2 |
身份验证类型 |
OfficeDataConnector
表示 Office 数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Office365 |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
OfficeDataConnectorDataTypes
Office 数据连接器的可用数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| exchange |
Exchange 数据类型连接。 |
|
| sharePoint |
SharePoint 数据类型连接。 |
|
| teams |
Teams 数据类型连接。 |
OracleAuthModel
Oracle API 身份验证模型。
| 名称 | 类型 | 说明 |
|---|---|---|
| pemFile |
string |
PRM 文件的内容 |
| publicFingerprint |
string |
公共指纹 |
| tenantId |
string |
Oracle 租户 ID |
| type |
string:
Oracle |
身份验证类型 |
| userId |
string |
Oracle 用户 ID |
PremiumMdtiDataConnectorDataTypes
Premium Microsoft Defender for Threat Intelligence 数据连接器的可用数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| connector |
Premium Microsoft Defender for Threat Intelligence 数据连接器的数据类型。 |
PremiumMicrosoftDefenderForThreatIntelligence
表示 Premium Microsoft Defender for Threat Intelligence 数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind | string: |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.lookbackPeriod |
string (date-time) |
要导入的源的回溯期。 开始从中导入源的日期时间,例如:2024-01-01T00:00:00.000Z。 |
| properties.requiredSKUsPresent |
boolean |
用于指示租户是否具有访问此连接器所需的高级 SKU 的标志。 |
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
RestApiPollerDataConnector
表示 Rest Api Poller 数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Rest |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.addOnAttributes |
object |
属性上的添加。 键名称将成为属性名称(列),值将成为有效负载中的属性值。 |
| properties.auth | CcpAuthConfig: |
身份验证模型。 |
| properties.connectorDefinitionName |
string |
连接器定义名称(dataConnectorDefinition 资源 ID)。 |
| properties.dataType |
string |
Log Analytics 表目标。 |
| properties.dcrConfig |
DCR 相关属性。 |
|
| properties.isActive |
boolean |
指示连接器是否处于活动状态。 |
| properties.paging |
分页配置。 |
|
| properties.request |
请求配置。 |
|
| properties.response |
响应配置。 |
|
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
RestApiPollerRequestConfig
请求配置。
| 名称 | 类型 | 说明 |
|---|---|---|
| apiEndpoint |
string |
API 终结点。 |
| endTimeAttributeName |
string |
远程服务器期望结束查询的查询参数名称。 此属性与 |
| headers |
object |
远程服务器请求的标头。 |
| httpMethod |
HTTP 方法,默认值 GET。 |
|
| isPostPayloadJson |
boolean |
指示 HTTP POST 有效负载是否采用 JSON 格式(与 form-urlencoded)的标志。 |
| queryParameters |
RESTful API 的 HTTP 查询参数。 |
|
| queryParametersTemplate |
string |
查询参数模板。 定义在高级方案中传递查询参数时要使用的查询参数模板。 |
| queryTimeFormat |
string |
查询时间格式。 远程服务器可以有一个查询来从范围“start”到“end”拉取数据。 此属性指示远程服务器要分析的预期时间格式。 |
| queryTimeIntervalAttributeName |
string |
我们需要在时间间隔内为查询日志发送服务器的查询参数名称。 应使用 |
| queryTimeIntervalDelimiter |
string |
查询参数 |
| queryTimeIntervalPrepend |
string |
在查询参数 |
| queryWindowInMin |
integer (int32) |
请求的查询窗口(以分钟为单位)。 |
| rateLimitQPS |
integer (int32) |
请求的速率限制查询数。。 |
| retryCount |
integer (int32) |
重试计数。 |
| startTimeAttributeName |
string |
远程服务器希望启动查询的查询参数名称。 此属性与 |
| timeoutInSeconds |
integer (int32) |
超时(以秒为单位)。 |
RestApiPollerRequestPagingConfig
请求分页配置。
| 名称 | 类型 | 说明 |
|---|---|---|
| pageSize |
integer (int32) |
页面大小 |
| pageSizeParameterName |
string |
页面大小参数名称 |
| pagingType |
分页类型 |
RestApiPollerRequestPagingKind
分页类型
| 值 | 说明 |
|---|---|
| CountBasedPaging | |
| LinkHeader | |
| NextPageToken | |
| NextPageUrl | |
| Offset | |
| PersistentLinkHeader | |
| PersistentToken |
SessionAuthModel
使用会话 Cookie 进行 API 身份验证的模型。
| 名称 | 类型 | 说明 |
|---|---|---|
| headers |
object |
会话服务终结点的 HTTP 请求标头。 |
| isPostPayloadJson |
boolean |
指示是否在 HTTP POST 有效负载中设置 API 密钥。 |
| password |
object |
密码属性名称。 |
| queryParameters |
查询会话服务终结点的参数。 |
|
| sessionIdName |
string |
来自 HTTP 响应标头的会话 ID 属性名称。 |
| sessionLoginRequestUri |
string |
会话服务终结点的 HTTP 请求 URL。 |
| sessionTimeoutInMinutes |
integer (int32) |
会话超时(以分钟为单位)。 |
| type |
string:
Session |
身份验证类型 |
| userName |
object |
用户名属性键值。 |
SharePoint
SharePoint 数据类型连接。
| 名称 | 类型 | 说明 |
|---|---|---|
| state |
描述是否启用此数据类型连接。 |
systemData
与创建和上次修改资源相关的元数据。
| 名称 | 类型 | 说明 |
|---|---|---|
| createdAt |
string (date-time) |
资源创建时间戳(UTC)。 |
| createdBy |
string |
创建资源的标识。 |
| createdByType |
创建资源的标识的类型。 |
|
| lastModifiedAt |
string (date-time) |
上次修改的资源时间戳(UTC) |
| lastModifiedBy |
string |
上次修改资源的标识。 |
| lastModifiedByType |
上次修改资源的标识的类型。 |
Teams
Teams 数据类型连接。
| 名称 | 类型 | 说明 |
|---|---|---|
| state |
描述是否启用此数据类型连接。 |
TIDataConnector
表示威胁情报数据连接器。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| kind |
string:
Threat |
数据连接器类型 |
| name |
string |
资源的名称 |
| properties.dataTypes |
连接器的可用数据类型。 |
|
| properties.tenantId |
string |
要连接到的租户 ID,并从中获取数据。 |
| properties.tipLookbackPeriod |
string (date-time) |
要导入的源的回溯期。 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
TIDataConnectorDataTypes
TI(威胁智能)数据连接器的可用数据类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| indicators |
指示器连接的数据类型。 |