你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
若要使用无代码连接器框架 (CCF) 创建 Google Cloud Platform (GCP) 数据连接器,请使用此参考作为Microsoft Sentinel REST API for Data Connectors 文档的补充。
每个dataConnector都表示Microsoft Sentinel数据连接器的特定连接。 一个数据连接器可能有多个连接,这些连接从不同的终结点提取数据。 使用此参考文档生成的 JSON 配置用于完成 CCF 数据连接器的部署模板。
有关详细信息,请参阅为Microsoft Sentinel创建无代码连接器。
生成 GCP CCF 数据连接器
使用示例 GCP CCF 数据连接器部署模板简化连接 GCP 数据源的开发。
大多数部署模板部分都填写完后,只需生成前两个组件,即输出表和 DCR。 有关详细信息,请参阅 输出表定义 和 数据收集规则 (DCR) 部分。
数据连接器 - 创建或更新
请参阅 REST API 文档中的 创建或更新 操作,查找最新的稳定或预览 API 版本。 创建操作和更新操作的区别在于更新需要 etag 值。
PUT 方法
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI 参数
有关最新 API 版本的详细信息,请参阅 数据连接器 - 创建或更新 URI 参数。
| 名称 | 说明 |
|---|---|
| dataConnectorId | 数据连接器 ID 必须是唯一名称,并且与请求正文中的 参数相同name。 |
| resourceGroupName | 资源组的名称,不区分大小写。 |
| subscriptionId | 目标订阅的 ID。 |
| workspaceName | 工作区 的名称 ,而不是 ID。 正则表达式模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-version | 要用于此操作的 API 版本。 |
请求正文
CCF 数据连接器的请求正文 GCP 具有以下结构:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP 表示 CCF 数据连接器,其中已配置 Google Cloud Platform (GCP) 数据源的分页和预期响应有效负载。 配置 GCP 服务以将数据发送到 GCP Pub/Sub 必须单独完成。 有关详细信息,请参阅 发布/订阅中的发布消息概述。
| Name | 必需 | 类型 | 说明 |
|---|---|---|---|
| name | True | string | 与 URI 参数匹配的连接的唯一名称 |
| Kind | True | string | 必须是 GCP |
| etag | GUID | 留空以创建新连接器。 对于更新操作,etag 必须与现有连接器的 etag (GUID) 匹配。 | |
| properties.connectorDefinitionName | string | 定义数据连接器的 UI 配置的 DataConnectorDefinition 资源的名称。 有关详细信息,请参阅 数据连接器定义。 | |
| 性能。认证 | True | 嵌套 JSON | 介绍用于轮询 GCP 数据的凭据。 有关详细信息,请参阅 身份验证配置。 |
| 性能。请求 | True | 嵌套 JSON | 介绍用于轮询数据的 GCP 项目 ID 和 GCP 订阅。 有关详细信息,请参阅 请求配置。 |
| 性能。dcrConfig | 嵌套 JSON | 将数据发送到数据收集规则时所需的参数 (DCR) 。 有关详细信息,请参阅 DCR 配置。 |
身份验证配置
从 Microsoft Sentinel 对 GCP 进行身份验证使用 GCP Pub/Sub。 必须单独配置身份验证。 使用 此处的 Terraform 脚本。 有关详细信息,请参阅 来自另一个云提供商的 GCP 发布/订阅身份验证。
最佳做法是使用身份验证部分中的参数,而不是硬编码凭据。 有关详细信息,请参阅 保护机密输入。
为了创建也使用参数的部署模板,需要使用额外的起始 [对本节中的参数进行转义。 这允许参数基于用户与连接器的交互分配值。 有关详细信息,请参阅 模板表达式转义字符。
若要启用从 UI 输入凭据,部分 connectorUIConfig 需要 instructions 具有所需参数。 有关详细信息,请参阅 无代码连接器框架的数据连接器定义参考。
GCP 身份验证示例:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
请求配置
请求部分需要 projectId GCP Pub/Sub 中的 和 subscriptionNames 。
GCP 请求示例:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR 配置
| 字段 | 必需 | 类型 | 说明 |
|---|---|---|---|
| DataCollectionEndpoint | True | String | DCE (数据收集终结点) 例如: https://example.ingest.monitor.azure.com。 |
| DataCollectionRuleImmutableId | True | String | DCR 不可变 ID。 通过查看 DCR 创建响应或使用 DCR API 找到它 |
| StreamName | True | string | 此值是在 streamDeclaration DCR (前缀必须以 Custom-) |
CCF 数据连接器示例
下面是 CCF 数据连接器 JSON 的所有组件 GCP 的示例。
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
有关详细信息,请参阅 创建 GCP 数据连接器 REST API 示例。