[Przestarzałe] Tworzenie starszego łącznika bez kodu dla usługi Microsoft Sentinel

Zapoznaj się z tym dokumentem, jeśli musisz zachować lub zaktualizować łącznik danych w oparciu o starszą wersję.

CCP zapewnia partnerom, zaawansowanym użytkownikom i deweloperom możliwość tworzenia łączników niestandardowych, łączenia ich i pozyskiwania danych do Microsoft Sentinel. Łączniki utworzone za pośrednictwem CCP mogą być wdrażane za pomocą interfejsu API, szablonu ARM lub jako rozwiązanie w centrum zawartości Microsoft Sentinel.

Łączniki utworzone przy użyciu protokołu KPS są w pełni SaaS, bez żadnych wymagań dotyczących instalacji usług, a także obejmują monitorowanie kondycji i pełną obsługę usługi Microsoft Sentinel.

Utwórz łącznik danych, definiując konfiguracje JSON, które zawierają ustawienia dotyczące wyglądu strony łącznika danych w usłudze Microsoft Sentinel, oraz ustawienia odpytania, które określają sposób działania połączenia.

Wykonaj następujące kroki, aby utworzyć łącznik CCP i połączyć się ze źródłem danych w Microsoft Sentinel:

W tym artykule opisano składnię używaną w konfiguracjach CCP JSON oraz procedurach wdrożenia łącznika za pośrednictwem interfejsu API, szablonu ARM lub rozwiązania Microsoft Sentinel.

Wymagania wstępne

Przed utworzeniem łącznika zalecamy zapoznanie się z zachowaniem źródła danych i dokładnie tym, jak usługa Microsoft Sentinel będzie musiała nawiązać połączenie.

Na przykład musisz znać typy uwierzytelniania, stronicowania i punktów końcowych interfejsu API, które są wymagane do pomyślnego nawiązania połączeń.

Tworzenie pliku konfiguracji JSON łącznika

Twój niestandardowy łącznik CCP zawiera dwie podstawowe sekcje JSON potrzebne do wdrożenia. Wypełnij te obszary, aby zdefiniować sposób wyświetlania łącznika w witrynie Azure Portal i sposobu łączenia usługi Microsoft Sentinel ze źródłem danych.

• connectorUiConfig. Definiuje elementy wizualne i tekst wyświetlany na stronie łącznika danych w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Konfigurowanie interfejsu użytkownika łącznika.

• pollingConfig. Definiuje sposób, w jaki usługa Microsoft Sentinel zbiera dane ze źródła danych. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień sondowania łącznika.

Następnie, jeśli wdrożysz łącznik bez kodu za pośrednictwem usługi ARM, opakujesz te sekcje w szablonie usługi ARM dla łączników danych.

Przejrzyj inne łączniki danych CCP jako przykłady lub pobierz przykładowy szablon, DataConnector_API_CCP_template.json (wersja pokazowa).

Konfigurowanie interfejsu użytkownika łącznika

W tej sekcji opisano opcje konfiguracji dostępne do dostosowania interfejsu użytkownika strony łącznika danych.

Na poniższej ilustracji przedstawiono stronę przykładowego łącznika danych wyróżnioną numerami odpowiadającymi godnym uwagi obszarom interfejsu użytkownika:

1. Tytuł. Tytuł wyświetlany dla twojego łącznika danych.
2. Logo. Ikona wyświetlana dla łącznika danych. Dostosowanie tego jest możliwe tylko w przypadku wdrażania jako część rozwiązania.
3. Stan. Wskazuje, czy łącznik danych jest połączony z usługą Microsoft Sentinel.
4. Wykresy danych. Wyświetla odpowiednie zapytania i ilość pozyskanych danych w ciągu ostatnich dwóch tygodni.
5. Karta Instrukcje. Zawiera sekcję Wymagania wstępne z listą minimalnych weryfikacji, zanim użytkownik będzie mógł włączyć łącznik i instrukcje, aby kierować włączaniem łącznika przez użytkownika. Ta sekcja może zawierać tekst, przyciski, formularze, tabele i inne typowe widżety, aby uprościć proces.
6. Karta Następne kroki. Zawiera przydatne informacje dotyczące znajdowania danych w dziennikach zdarzeń, takich jak przykładowe zapytania.

Poniżej przedstawiono connectorUiConfig sekcje i składnię wymaganą do skonfigurowania interfejsu użytkownika:

Łączenie wszystkich tych elementów jest skomplikowane. Użyj narzędzia do weryfikacji doświadczenia użytkownika strony z łącznikiem, aby przetestować składniki, które złożyłeś.

typy danych

graphQueries

Definiuje zapytanie, które przedstawia pozyskiwanie danych w ciągu ostatnich dwóch tygodni w okienku Wykresy danych .

Podaj jedno zapytanie dla wszystkich typów danych łącznika danych lub inne zapytanie dla każdego typu danych.

kroki instrukcji

Ta sekcja zawiera parametry definiujące zestaw instrukcji wyświetlanych na stronie łącznika danych w usłudze Microsoft Sentinel.

instrukcje

Przedstawia grupę instrukcji z różnymi opcjami jako parametrami oraz możliwością zagnieżdżania większej liczby kroków instrukcji w grupach.

ApiKey

Możesz utworzyć szablon pliku konfiguracji JSON z parametrami zastępczymi, aby ponownie użyć wielu łączników, a nawet utworzyć łącznik z danymi, które nie są obecnie dostępne.

Aby utworzyć parametry zastępcze, zdefiniuj dodatkową tablicę o nazwie userRequestPlaceHoldersInput w sekcji Instrukcje w pliku CCP JSON, przy użyciu następującej składni:

"instructions": [
                {
                  "parameters": {
                    "enable": "true",
                    "userRequestPlaceHoldersInput": [
                      {
                        "displayText": "Organization Name",
                        "requestObjectKey": "apiEndpoint",
                        "placeHolderName": "{{placeHolder}}"
                      }
                    ]
                  },
                  "type": "APIKey"
                }
              ]

Parametr userRequestPlaceHoldersInput zawiera następujące atrybuty:

Etykieta kopiowalna

Przykład:

przykładowy kod:

{
    "parameters": {
        "fillWith": [
            "WorkspaceId",
            "PrimaryKey"
            ],
        "label": "Here are some values you'll need to proceed.",
        "value": "Workspace is {0} and PrimaryKey is {1}"
    },
    "type": "CopyableLabel"
}

InfoMessage

Oto przykład komunikatu informacyjnego wbudowanego:

Z kolei na poniższej ilustracji przedstawiono komunikat o informacjach nieliniowych:

GrupaKrokówInstrukcji

Oto przykład rozszerzalnej grupy instrukcji:

Aby uzyskać szczegółowy przykład, zobacz konfigurację JSON łącznika DNS systemu Windows.

InstallAgent

Niektóre typy InstallAgent są wyświetlane jako przycisk, inne będą wyświetlane jako link. Oto przykłady obu tych elementów:

metadane

Ta sekcja zawiera metadane w interfejsie użytkownika łącznika danych w obszarze Opis .

Uprawnienia

dostawca zasobów

przykładoweZapytania

Konfigurowanie innych opcji linków

Aby zdefiniować link wbudowany przy użyciu języka Markdown, użyj poniższego przykładu. Tutaj link znajduje się w opisie instrukcji:

{
   "title": "",
   "description": "Make sure to configure the machine's security according to your organization's security policy\n\n\n[Learn more >](https://aka.ms/SecureCEF)"
}

Aby zdefiniować link jako szablon ARM, użyj poniższego przykładu jako wskazówki:

{
   "title": "Azure Resource Manager (ARM) template",
   "description": "1. Click the **Deploy to Azure** button below.\n\n\t[![Deploy To Azure](https://aka.ms/deploytoazurebutton)]({URL to custom ARM template})"
}

Weryfikowanie doświadczenia użytkownika strony łącznika danych

Wykonaj następujące kroki, aby wygenerować i zweryfikować doświadczenie użytkownika łącznika.

1. Dostęp do narzędzia testowego można uzyskać pod tym adresem URL — https://aka.ms/sentineldataconnectorvalidateurl
2. Przejdź do usługi Microsoft Sentinel —> łączniki danych
3. Kliknij przycisk "importuj" i wybierz plik JSON, który zawiera tylko sekcję connectorUiConfig twojego łącznika danych.

Aby uzyskać więcej informacji na temat tego narzędzia do walidacji, zobacz Instrukcje dotyczące tworzenia łącznika w naszym przewodniku kompilacji usługi GitHub.

Skonfiguruj ustawienia odpytywania łącznika

W tej sekcji opisano konfigurację sposobu sondowania danych ze źródła danych dla łącznika danych bez kodu.

Poniższy kod przedstawia składnię pollingConfig sekcji pliku konfiguracji CCP.

"pollingConfig": {
    "auth": {
    },
    "request": {
    },
    "response": {
    },
    "paging": {
    }
 }

Sekcja pollingConfig zawiera następujące właściwości:

Aby uzyskać więcej informacji, zobacz Przykładowy kod pollingConfig.

Konfiguracja uwierzytelniania

Sekcja auth konfiguracji pollingConfig zawiera następujące parametry, w zależności od typu zdefiniowanego w elemecie authType :

Podstawowe parametry authType

Parametry typu uwierzytelniania klucza API

Parametry typu autoryzacji OAuth2

Platforma łącznika bez kodu obsługuje udzielanie kodu autoryzacji OAuth 2.0.

Typ udzielania kodu autoryzacji jest używany przez poufnych i publicznych klientów do wymiany kodu autoryzacji dla tokenu dostępu.

Po powrocie użytkownika do klienta za pośrednictwem adresu URL przekierowania aplikacja pobierze kod autoryzacji z adresu URL i użyje go do żądania tokenu dostępu.

Oto przykład sposobu, w jaki konfiguracja protokołu OAuth2 może wyglądać:

"pollingConfig": {
    "auth": {
        "authType": "OAuth2",
        "authorizationEndpoint": "https://accounts.google.com/o/oauth2/v2/auth?access_type=offline&prompt=consent",
        "redirectionEndpoint": "https://portal.azure.com/TokenAuthorize",
        "tokenEndpoint": "https://oauth2.googleapis.com/token",
        "authorizationEndpointQueryParameters": {},
        "tokenEndpointHeaders": {
            "Accept": "application/json"
        },
        "TokenEndpointQueryParameters": {},
        "isClientSecretInHeader": false,
        "scope": "https://www.googleapis.com/auth/admin.reports.audit.readonly",
        "grantType": "authorization_code",
        "contentType": "application/x-www-form-urlencoded",
        "FlowName": "AuthCode"
    },

Parametry authType sesji

Konfiguracja żądania

Sekcja request konfiguracji pollingConfig zawiera następujące parametry:

Konfiguracja odpowiedzi

Sekcja response konfiguracji pollingConfig zawiera następujące parametry:

Poniższy kod przedstawia przykład wartości eventsJsonPaths dla komunikatu najwyższego poziomu:

"eventsJsonPaths": [
              "$"
            ]

Konfiguracja paginacji

Sekcja paging konfiguracji pollingConfig zawiera następujące parametry:

Przykładowy kod pollingConfig

Poniższy kod przedstawia przykład sekcji pollingConfig pliku konfiguracji CCP:

"pollingConfig": {
    "auth": {
        "authType": "APIKey",
        "APIKeyIdentifier": "token",
        "APIKeyName": "Authorization"
     },
     "request": {
        "apiEndpoint": "https://api.github.com/../{{placeHolder1}}/audit-log",
        "rateLimitQPS": 50,
        "queryWindowInMin": 15,
        "httpMethod": "Get",
        "queryTimeFormat": "yyyy-MM-ddTHH:mm:ssZ",
        "retryCount": 2,
        "timeoutInSeconds": 60,
        "headers": {
           "Accept": "application/json",
           "User-Agent": "Scuba"
        },
        "queryParameters": {
           "phrase": "created:{_QueryWindowStartTime}..{_QueryWindowEndTime}"
        }
     },
     "paging": {
        "pagingType": "LinkHeader",
        "pageSizeParaName": "per_page"
     },
     "response": {
        "eventsJsonPaths": [
          "$"
        ]
     }
}

Wdróż łącznik w usłudze Microsoft Sentinel i rozpocznij importowanie danych

Po utworzeniu pliku konfiguracji JSON, w tym zarówno interfejsu użytkownika , jak i konfiguracji sondowania , wdróż łącznik w obszarze roboczym usługi Microsoft Sentinel.

1. Użyj jednej z następujących opcji, aby wdrożyć łącznik danych.

   Wskazówka

   Zaletą wdrażania za pośrednictwem szablonu usługi Azure Resource Manager (ARM) jest to, że kilka wartości jest wbudowanych w szablon i nie trzeba ich definiować ręcznie w wywołaniu interfejsu API.

   • Wdrażanie za pomocą szablonu ARM
   • Wdrażanie za pośrednictwem interfejsu API

   Zawijaj kolekcje konfiguracji JSON w szablonie ARM, aby wdrożyć łącznik. Aby upewnić się, że łącznik danych zostanie wdrożony w prawidłowym obszarze roboczym, pamiętaj, aby zdefiniować obszar roboczy w szablonie usługi ARM lub wybrać obszar roboczy podczas wdrażania szablonu usługi ARM.

   1. Przygotuj plik JSON szablonu ARM dla łącznika. Zobacz na przykład następujące pliki JSON szablonu ARM:

      • Łącznik danych w rozwiązaniu Slack
      • Łącznik danych w rozwiązaniu GitHub

   2. W witrynie Azure Portal wyszukaj pozycję Wdróż szablon niestandardowy.

   3. Na stronie Wdrożenie niestandardowe wybierz pozycję Skompiluj własny szablon w edytorze>Załaduj plik. Przejdź do lokalnego szablonu usługi ARM i wybierz go, a następnie zapisz zmiany.

   4. Wybierz subskrypcję i grupę zasobów, a następnie wprowadź obszar roboczy usługi Log Analytics, w którym chcesz wdrożyć łącznik niestandardowy.

   5. Wybierz pozycję Przegląd i utwórz, aby wdrożyć łącznik niestandardowy w usłudze Microsoft Sentinel.

   6. W usłudze Microsoft Sentinel przejdź do strony Łączniki danych , wyszukaj nowy łącznik. Skonfiguruj je, aby rozpocząć pozyskiwanie danych.

   Aby uzyskać więcej informacji, zobacz Wdrażanie szablonu lokalnego w dokumentacji usługi Azure Resource Manager.

2. Skonfiguruj łącznik danych, aby połączyć źródło danych i rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Możesz nawiązać połączenie ze źródłem danych za pośrednictwem portalu, tak jak w przypadku wbudowanych łączników danych lub za pośrednictwem interfejsu API.

   Gdy łączysz się przy użyciu witryny Azure Portal, dane użytkownika są wysyłane automatycznie. Podczas nawiązywania połączenia za pośrednictwem interfejsu API należy wysłać odpowiednie parametry uwierzytelniania w wywołaniu interfejsu API.

   • Nawiązywanie połączenia za pośrednictwem witryny Azure Portal
   • Nawiązywanie połączenia za pośrednictwem interfejsu API

   Na stronie łącznika danych usługi Microsoft Sentinel postępuj zgodnie z podanymi instrukcjami, aby nawiązać połączenie z łącznikiem danych.

   Strona łącznika danych w usłudze Microsoft Sentinel jest kontrolowana przez konfigurację InstrukcjeKros w connectorUiConfig elemekcie pliku konfiguracji JSON PROTOKOŁU KPI . Jeśli masz problemy z połączeniem interfejsu użytkownika, upewnij się, że masz poprawną konfigurację dla typu uwierzytelniania.

3. W usłudze Microsoft Sentinel przejdź do strony Dzienniki i sprawdź, czy dzienniki z twojego źródła danych przepływają do obszaru roboczego.

Jeśli nie widzisz danych przesyłanych do usługi Microsoft Sentinel, sprawdź dokumentację źródła danych i zasoby rozwiązywania problemów, sprawdź szczegóły konfiguracji i sprawdź łączność. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji łączników danych.

Odłączanie łącznika

Jeśli nie potrzebujesz już danych łącznika, odłącz łącznik, aby zatrzymać przepływ danych.

Użyj jednej z poniższych metod:

• Azure Portal: na stronie łącznika danych usługi Microsoft Sentinel wybierz pozycję Rozłącz.

• Interfejs API: użyj interfejsu API DISCONNECT , aby wysłać wywołanie PUT z pustą treścią do następującego adresu URL:

  https://management.azure.com /subscriptions/{{SUB}}/resourceGroups/{{RG}}/providers/Microsoft.OperationalInsights/workspaces/{{WS-NAME}}/providers/Microsoft.SecurityInsights/dataConnectors/{{Connector_Id}}/disconnect?api-version=2021-03-01-preview
  

Dalsze kroki

Jeśli jeszcze tego nie zrobiłeś, udostępnij nowy łącznik danych bez kodu społeczności usługi Microsoft Sentinel. Utwórz rozwiązanie dla łącznika danych i udostępnij je w witrynie Microsoft Sentinel Marketplace.

Aby uzyskać więcej informacji, zobacz

• Informacje o rozwiązaniach Microsoft Sentinel
• Referencja szablonu ARM łącznika danych