Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um einen Google Cloud Platform (GCP)-Datenconnector mit dem Codeless Connector Framework (CCF) zu erstellen, verwenden Sie diese Referenz als Ergänzung zur Dokumentation zur Microsoft Sentinel REST-API für Datenconnectors.
Jede dataConnector stellt eine bestimmte Verbindung eines Microsoft Sentinel-Datenconnectors dar. Ein Datenconnector kann über mehrere Verbindungen verfügen, die Daten von verschiedenen Endpunkten abrufen. Die mithilfe dieses Referenzdokuments erstellte JSON-Konfiguration wird verwendet, um die Bereitstellungsvorlage für den CCF-Datenconnector abzuschließen.
Weitere Informationen finden Sie unter Erstellen eines Connectors ohne Code für Microsoft Sentinel.
Erstellen des GCP CCF-Datenconnectors
Vereinfachen Sie die Entwicklung der Verbindung Ihrer GCP-Datenquelle mit einer Beispielvorlage für die Bereitstellung eines GCP-CCF-Datenconnectors.
Da die meisten Bereitstellungsvorlagenabschnitte ausgefüllt sind, müssen Sie nur die ersten beiden Komponenten erstellen, die Ausgabetabelle und den DCR. Weitere Informationen finden Sie in den Abschnitten Ausgabetabellendefinition und Datensammlungsregel (Data Collection Rule, DCR).
Datenconnectors: Erstellen oder Aktualisieren
Verweisen Sie auf den Vorgang Erstellen oder Aktualisieren in der REST-API-Dokumentation, um die neueste stabile oder Vorschauversion der API zu finden. Der Unterschied zwischen dem Erstellungs - und dem Aktualisierungsvorgang besteht darin, dass das Update den etag-Wert erfordert.
PUT-Methode
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI-Parameter
Weitere Informationen zur neuesten API-Version finden Sie unter Datenconnectors – Erstellen oder Aktualisieren von URI-Parametern.
| Name | Beschreibung |
|---|---|
| dataConnectorId | Die Datenconnector-ID muss ein eindeutiger Name sein und entspricht dem name Parameter im Anforderungstext. |
| resourceGroupName | Der Name der Ressourcengruppe, wobei die Groß-/Kleinschreibung nicht beachtet wird. |
| subscriptionId | Die ID des Zielabonnements. |
| workspaceName | Der Name des Arbeitsbereichs, nicht die ID. RegEx-Muster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| API-Version | Die API-Version, die für diesen Vorgang verwendet werden soll. |
Anforderungstext
Der Anforderungstext für einen GCP CCF-Datenconnector weist die folgende Struktur auf:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP stellt einen CCF-Datenconnector dar, bei dem die Paging- und erwarteten Antwortnutzlasten für Ihre Google Cloud Platform (GCP)-Datenquelle bereits konfiguriert wurden. Die Konfiguration Ihres GCP-Diensts zum Senden von Daten an eine GCP Pub/Sub-Instanz muss separat erfolgen. Weitere Informationen finden Sie unter Veröffentlichen von Nachrichten in Pub/Sub – Übersicht.
| Name | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
| name | True | Zeichenfolge | Der eindeutige Name der Verbindung, die dem URI-Parameter entspricht |
| Art | True | Zeichenfolge | Muss GCP sein. |
| etag | GUID | Lassen Sie zum Erstellen neuer Connectors leer. Für Updatevorgänge muss das eTag mit dem etag (GUID) des vorhandenen Connectors übereinstimmen. | |
| properties.connectorDefinitionName | string | Der Name der DataConnectorDefinition-Ressource, die die Ui-Konfiguration des Datenconnectors definiert. Weitere Informationen finden Sie unter Datenconnectordefinition. | |
| Eigenschaften. Auth | Wahr | Geschachtelter JSON-Code | Beschreibt die Anmeldeinformationen für das Abfragen der GCP-Daten. Weitere Informationen finden Sie unter Authentifizierungskonfiguration. |
| Eigenschaften. Anfrage | Wahr | Geschachtelter JSON-Code | Beschreibt die GCP-Projekt-ID und das GCP-Abonnement zum Abrufen der Daten. Weitere Informationen finden Sie unter Anforderungskonfiguration. |
| Eigenschaften. dcrConfig | Geschachtelter JSON-Code | Erforderliche Parameter, wenn die Daten an eine Datensammlungsregel (Data Collection Rule, DCR) gesendet werden. Weitere Informationen finden Sie unter DCR-Konfiguration. |
Authentifizierungskonfiguration
Die Authentifizierung bei GCP von Microsoft Sentinel verwendet einen GCP Pub/Sub. Sie müssen die Authentifizierung separat konfigurieren. Verwenden Sie hier die Terraform-Skripts. Weitere Informationen finden Sie unter GCP Pub/Sub-Authentifizierung von einem anderen Cloudanbieter.
Als bewährte Methode sollten Sie Parameter im Authentifizierungsabschnitt anstelle der hartcodierenden Anmeldeinformationen verwenden. Weitere Informationen finden Sie unter Schützen vertraulicher Eingaben.
Um die Bereitstellungsvorlage zu erstellen, die auch Parameter verwendet, müssen Sie die Parameter in diesem Abschnitt mit einem zusätzlichen Startzeichen versehen [. Dadurch können die Parameter einen Wert basierend auf der Benutzerinteraktion mit dem Connector zuweisen. Weitere Informationen finden Sie unter Escapezeichen für Vorlagenausdrücke.
Damit die Anmeldeinformationen über die Benutzeroberfläche eingegeben werden können, erfordert instructions der connectorUIConfig Abschnitt die gewünschten Parameter. Weitere Informationen finden Sie unter Referenz zu Datenconnectordefinitionen für das Codeless Connector Framework.
GCP-Authentifizierungsbeispiel:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
Anforderungskonfiguration
Der Anforderungsabschnitt erfordert und projectIdsubscriptionNames aus dem GCP Pub/Sub.
GCP-Anforderungsbeispiel:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR-Konfiguration
| Feld | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
| DataCollectionEndpoint | Wahr | Zeichenfolge | DCE (Datensammlungsendpunkt) zum Beispiel: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | Wahr | Zeichenfolge | Die unveränderliche DCR-ID. Suchen Sie sie, indem Sie die Antwort zur DCR-Erstellung anzeigen oder die DCR-API verwenden. |
| StreamName | True | Zeichenfolge | Dieser Wert ist der streamDeclaration in der DCR definierte Wert (Präfix muss mit Custom-beginnen). |
Beispiel für einen CCF-Datenconnector
Hier sehen Sie ein Beispiel für alle Komponenten des JSON-Codes des GCP CCF-Datenconnectors.
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
Weitere Informationen finden Sie unter Beispiel zum Erstellen einer REST-API für den GCP-Datenconnector.