Compartir vía


Creación de un conector sin código para Microsoft Sentinel

Codeless Connector Platform (CCP) proporciona a asociados, usuarios avanzados y desarrolladores la capacidad de crear conectores personalizados para ingerir datos en Microsoft Sentinel.

Los conectores creados con la CCP son totalmente SaaS, sin requisitos para las instalaciones de servicio. También incluyen supervisión de estado y soporte técnico completo de Microsoft Sentinel.

Siga los siguientes pasos para crear el conector CCP y conectar el origen de datos a Microsoft Sentinel

  • Compilar el conector de datos
  • Creación de la plantilla de Resource Manager
  • Implementar el conector
  • Conecte Microsoft Sentinel al origen de datos y empiece a ingerir datos

En este artículo se muestra cómo completar cada paso y proporcionar un conector sin código de ejemplo para compilar a lo largo del proceso.

¿En qué se diferencia este CCP de la versión anterior?

La versión inicial de la CCP fue anunciada en enero de 2022. Desde entonces, hemos mejorado en la plataforma y ya no se recomienda la versión heredada. Esta nueva versión de la CCP tiene las siguientes mejoras clave:

  1. Mejor compatibilidad con varios tipos de autenticación y paginación.

  2. Admite reglas de recopilación de datos estándar (DCR).

  3. La interfaz de usuario y las partes de configuración de conexión del conector sin código ahora son independientes. Esto permite la creación de conectores con varias conexiones que no eran posibles anteriormente.

Requisitos previos

Antes de compilar un conector, comprenda el origen de datos y cómo Microsoft Sentinel debe conectarse.

  1. Punto de conexión de recopilación de datos (DCE)

    Un DCE es un requisito para un DCR. Solo se crea un DCE por implementación de DCR del área de trabajo del análisis de registros. Cada DCR implementado para un área de trabajo de Microsoft Sentinel usa el mismo DCE. Para más información sobre cómo crear uno o si necesita uno nuevo, consulte puntos de conexión de recopilación de datos en Azure Monitor.

  2. Esquema de las tablas de salida.

    Es importante comprender la forma del flujo de datos y los campos que desea incluir en la tabla de salida. Haga referencia a la documentación del origen de datos o analice ejemplos de salida suficientes.

Investigue los siguientes componentes y compruebe la compatibilidad con ellos en la referencia de API de conector de datos:

  1. Estructura de solicitud y respuesta HTTP al origen de datos

  2. Autenticación requerida por el origen de datos.
    Por ejemplo, si el origen de datos requiere un token firmado con un certificado, la referencia de API del conector de datos especifica que no se admite la autenticación de certificado.

  3. Opciones de paginación para el origen de datos

Probar las API

Se recomienda probar los componentes con una herramienta de prueba de API como una de las siguientes:

Precaución

En escenarios en los que tiene datos confidenciales, como credenciales, secretos, tokens de acceso, claves de API y otra información similar, asegúrese de usar una herramienta que proteja los datos con las características de seguridad necesarias, funcione sin conexión o localmente, no sincronice los datos en la nube y no requiera que inicie sesión en una cuenta en línea. De este modo, se reduce el riesgo de exponer datos confidenciales al público.

Compilar el conector de datos

Hay cuatro componentes necesarios para compilar el conector de datos CCP.

  1. Definición de tabla de salida
  2. Regla de recopilación de datos (DCR)
  3. Interfaz de usuario del conector de datos
  4. Reglas de conexión del conector de datos

Cada componente tiene una sección que detalla el proceso para crear y validar. Tome la JSON de cada componente para el empaquetado final de la plantilla de ARM.

Definición de tabla de salida

Sugerencia

Omita este paso si los datos solo se ingieren en tablas estándar de Log Analytics. Algunos ejemplos de tablas estándar son CommonSecurityLog y ASimDnsActivityLogs. Para obtener más información sobre la lista completa de los tipos de datos estándar admitidos, consulte compatibilidad de transformación de datos para conectores de datos personalizados.

Si el origen de datos no se ajusta al esquema de una tabla estándar, tiene dos opciones:

  • Crear una tabla personalizada para todos los datos
  • Crear una tabla personalizada para algunos datos y dividir los datos conformes a una tabla estándar

Use la interfaz de usuario de Log Analytics para un método directo para crear una tabla personalizada junto con un DCR. Si crea la tabla personalizada mediante laAPI de tabla u otro método de programación, agregue el sufijo _CL manualmente al nombre de la tabla. Para obtener más información, consulte Creación de una tabla personalizada.

Para obtener más información sobre cómo dividir los datos en más de una tabla, consulte los datos de ejemplo y la tabla personalizada de ejemplo creados para esos datos.

Regla de recopilación de datos

Las reglas de recopilación de datos (DCR) definen el proceso de recopilación de datos en Azure Monitor. Las DCR especifican qué datos se deben recopilar, cómo transformar esos datos y dónde enviarlos.

  • Solo hay un DCR que se implementa por conector de datos.
  • Un DCR debe tener un DCE correspondiente en la misma región.
  • Cuando se implementa el conector de datos CCP, se crea el DCR si aún no existe.

Consulte la información más reciente sobre DCR en estos artículos:

Para ver un tutorial que muestra la creación de un DCE, incluido el uso de datos de ejemplo para crear la tabla personalizada y DCR, consulte Tutorial: Envío de datos a registros de Azure Monitor con la API de ingesta de registros (Azure Portal). Use el proceso de este tutorial para comprobar que los datos se ingieren correctamente en la tabla con el DCR.

Para comprender cómo crear un DCR complejo con varios flujos de datos, consulte la sección ejemplo de DCR.

Interfaz de usuario del conector de datos

Este componente representa la interfaz de usuario del conector de datos en la galería de conectores de datos de Microsoft Sentinel. Cada conector de datos puede tener solo una definición de interfaz de usuario.

Compile la interfaz de usuario del conector de datos con la API de definición de conector de datos. Use la referencia de definiciones del conector de datos como complemento para explicar los elementos de la API con mayor detalle.

Notas:

  1. La propiedad kind para el conector de sondeo de API siempre debe ser Customizable.
  2. Dado que se trata de un tipo de conector de sondeo de API, establezca el tipo de connectivityCriteria en hasDataConnectors
  3. En el ejemplo instructionSteps se incluye un botón de tipo ConnectionToggleButton. Este botón ayuda a desencadenar la implementación de reglas del conector de datos en función de los parámetros de conexión especificados.

Use una herramienta de prueba de API para llamar a la API de definiciones del conector de datos para crear la interfaz de usuario del conector de datos para validarla en la galería de conectores de datos.

Para obtener información sobre un ejemplo, consulte la sección ejemplo de referencia de definiciones del conector de datos.

Reglas de conexión de datos

Actualmente hay dos tipos de reglas de conexión de datos posibles para definir el conector de datos CCP.

Use una herramienta de prueba de API para llamar a la API del conector de datos para crear el conector de datos que combina las reglas de conexión y los componentes anteriores. Compruebe que el conector ya está conectado en la interfaz de usuario.

Protección de la entrada confidencial

Independientemente de la autenticación que use el conector de datos CCP, siga estos pasos para asegurarse de que la información confidencial se mantiene segura. El objetivo es pasar las credenciales de la plantilla de ARM a la CCP sin dejar objetos confidenciales legibles en el historial de implementaciones.

Crear etiqueta

La definición del conector de datos crea un elemento de interfaz de usuario para solicitar credenciales de seguridad. Por ejemplo, si el conector de datos se autentica en un origen de registro con OAuth, la sección de definición del conector de datos incluye el tipo OAuthForm en las instrucciones. Esto configura la plantilla de ARM para solicitar las credenciales.

"instructions": [
    {
        "type": "OAuthForm",
        "parameters": {
        "UsernameLabel": "Username",
        "PasswordLabel": "Password",
        "connectButtonLabel": "Connect",
        "disconnectButtonLabel": "Disconnect"
        }
    }
],

Almacenamiento de entradas confidenciales

Una sección de la plantilla de implementación de ARM proporciona un lugar para que el administrador implemente el conector de datos para escribir la contraseña. Se usa securestring para mantener protegida la información confidencial en un objeto que no se puede leer después de la implementación. Para obtener más información, consulte Recomendaciones de seguridad de parámetros.

"mainTemplate": {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "[variables('dataConnectorCCPVersion')]",
    "parameters": {
        "Username": {
            "type": "securestring",
            "minLength": 1,
            "metadata": {
                "description": "Enter the username to connect to your data source."
        },
        "Password": {
            "type": "securestring",
            "minLength": 1,
            "metadata": {
                "description": "Enter the API key, client secret or password required to connect."
            }
        },
    // more deployment template information
    }
}

Uso de los objetos securestring

Por último, la CCP utiliza los objetos de credenciales en la sección de conector de datos.

"auth": {
    "type": "OAuth2",
    "ClientSecret": "[[parameters('Password')]",
    "ClientId": "[[parameters('Username')]",
    "GrantType": "client_credentials",
    "TokenEndpoint": "https://api.contoso.com/oauth/token",
    "TokenEndpointHeaders": {
        "Content-Type": "application/x-www-form-urlencoded"
    },
    "TokenEndpointQueryParameters": {
        "grant_type": "client_credentials"
    }
},

Nota:

La sintaxis extraña para el objeto de credencial, "ClientSecret": "[[parameters('Password')]", no es un error tipográfico. Para crear la plantilla de implementación que también usa parámetros, debe escapar los parámetros de esa sección con un [ inicial adicional. Esto permite que los parámetros asignen un valor en función de la interacción del usuario con el conector.

Para obtener más información, consulte Caracteres de escape de expresiones de plantilla.

Crear la plantilla de implementación

Empaquete manualmente una plantilla de Administración de recursos de Azure (ARM) mediante las muestras de código de la plantilla de ejemplo como guía. Estos ejemplos de código se dividen en secciones de plantillas de ARM que debe combinar.

Si va a crear un conector de datos CCP de Google Cloud Platform (GCP), empaquete la plantilla de implementación usando la plantilla CCP de GCP de ejemplo. Para obtener información sobre cómo rellenar la plantilla CCP de GCP, consulte Referencia de reglas de conexión del conector de datos de GCP.

Además de las plantillas de ejemplo, las soluciones publicadas disponibles en el centro de contenido de Microsoft Sentinel usan la CCP para sus conectores de datos. Revise las siguientes soluciones como ejemplos de cómo unir los componentes en una plantilla de ARM.

RestApiPoller Ejemplos de conectores de datos CCP

GCP Ejemplos de conectores de datos CCP

Implementar el conector

Implemente el conector sin código como una plantilla personalizada.

Sugerencia

Elimine los recursos que creó en los pasos anteriores. El DCR y la tabla personalizada se crean con la implementación. Si no quita esos recursos antes de la implementación, es más difícil comprobar la plantilla.

  1. Copie el contenido de la plantilla de implementación de ARM.
  2. Siga las instrucciones de Editar e implementar la plantilla del artículo Inicio rápido: Creación e implementación de plantillas de ARM mediante Azure Portal.

Mantenimiento del aislamiento de red para el origen de registro

Si el origen de registro requiere aislamiento de red, configure una lista de permitidos de direcciones IP públicas usadas por la CCP.

Las redes virtuales de Azure usan etiquetas de servicio para definir controles de acceso a la red. Para la CCP, esa etiqueta de servicio es Scuba.

Para buscar el intervalo IP actual asociado a la etiqueta de servicio Scuba, consulte Uso de la API de detección de etiquetas de servicio.

Verificar el conector sin código

Vea el conector sin código en la galería de conectores de datos. Abra el conector de datos y complete los parámetros de autenticación necesarios para conectarse. Una vez conectado correctamente, se crean las tablas y DCR personalizadas. Vea el recurso DCR en el grupo de recursos y las tablas personalizadas del área de trabajo de análisis de registros.

Nota:

Puede tardar hasta 30 minutos en ver que los datos comienzan a ingerirse.

Ejemplo

Cada paso para compilar el conector sin código se representa en las secciones de ejemplo siguientes.

Para demostrar un origen de datos complejo con ingesta en más de una tabla, en este ejemplo se incluye un esquema de tabla de salida y un DCR con varios flujos de salida. El ejemplo de DCR los combina junto con sus transformaciones KQL. Los ejemplos de reglas de conexión y definición de interfaz de usuario del conector de datos continúan desde este mismo origen de datos de ejemplo. Por último, la plantilla de solución usa todos estos componentes de ejemplo para mostrar cómo crear el conector de datos CCP de ejemplo.

Datos de ejemplo

Un origen de datos devuelve el siguiente JSON al conectarse a su punto de conexión.

[
        {
        "ts": "3/6/2023 8:15:15 AM",
        "eventType": "Alert",
        "deviceMac": "bc:27:c6:21:1c:70",
        "clientMac": "",
        "srcIp": "10.12.11.106",
        "destIp": "121.93.178.13",
        "protocol": "tcp/ip",
        "priority": "0",
        "message": "This is an alert message"
        },
        {
        "ts": "3/6/2023 8:14:54 AM",
        "eventType": "File",
        "srcIp": "178.175.128.249",
        "destIp": "234.113.125.105",
        "fileType": "MS_EXE",
        "fileSizeBytes": 193688,
        "disposition": "Malicious"
        }
]

Esta respuesta contiene eventType de Alerta y Archivo. Los eventos de archivo se van a ingerir en la tabla estándar normalizada, AsimFileEventLogs, mientras que los eventos de alerta se van a ingerir en una tabla personalizada.

Tabla personalizada de ejemplo

Para obtener más información sobre la estructura de esta tabla, consulte API de tablas. Los nombres de tabla de registro personalizados deben tener un sufijo _CL.

{
"properties": {
    "schema": {
        "name": "ExampleConnectorAlerts_CL",
        "columns": [
        {
          "name": "TimeGenerated",
          "type": "datetime"
        },
        {
          "name": "SourceIP",
          "type": "string"
        },
        {
          "name": "DestIP",
          "type": "string"
        },
        {
          "name": "Message",
          "type": "string"
        },
        {
          "name": "Priority",
          "type": "int"
        }
        ]
      }
    }
}

Regla de recopilación de datos de ejemplo

El siguiente DCR define un único flujo Custom-ExampleConnectorInput mediante el origen de datos de ejemplo y transforma la salida en dos tablas.

  1. El primer flujo de datos dirige eventType = alerta a la tabla ExampleConnectorAlerts_CL personalizada.
  2. el segundo flujo de datos dirige eventType = archivo a la tabla estándar normalizada,ASimFileEventLogs.

Para obtener más información sobre la estructura de este ejemplo, vea Estructura de una regla de recopilación de datos.

Para crear este DCR en un entorno de prueba, siga la API de reglas de recopilación de datos. Los elementos del ejemplo de {{double curly braces}} indican variables que requieren valores para facilitar su uso con una herramienta de prueba de API. Al crear este recurso en la plantilla de ARM, las variables expresadas aquí se intercambian por parámetros.

{
  "location": "{{location}}",
  "properties": {
    "dataCollectionEndpointId": "/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Insights/dataCollectionEndpoints/{{dataCollectionEndpointName}}",
    "streamDeclarations": {
      "Custom-ExampleConnectorInput": {
        "columns": [
          {
            "name": "ts",
            "type": "datetime"
          },
          {
            "name": "eventType",
            "type": "string"
          },
          {
            "name": "deviceMac",
            "type": "string"
          },
          {
            "name": "clientMac",
            "type": "string"
          },
          {
            "name": "srcIp",
            "type": "string"
          },
          {
            "name": "destIp",
            "type": "string"
          },
          {
            "name": "protocol",
            "type": "string"
          },
          {
            "name": "priority",
            "type": "string"
          },
          {
            "name": "message",
            "type": "string"
          },
          {
            "name": "fileType",
            "type": "string"
          },
          {
            "name": "fileSizeBytes",
            "type": "int"
          },
          {
            "name": "disposition",
            "type": "string"
          }
        ]
      }
    },
    "destinations": {
      "logAnalytics": [
        {
          "workspaceResourceId": "/subscriptions/{{subscriptionId}}/resourcegroups/{{resourceGroupName}}/providers/microsoft.operationalinsights/workspaces/{{workspaceName}}",
          "name": "{{uniqueFriendlyDestinationName}}"
        }
      ]
    },
    "dataFlows": [
      {
        "streams": [
          "Custom-ExampleConnectorInput"
        ],
        "destinations": [
          "{{uniqueFriendlyDestinationName}}"
        ],
        "transformKql": "source | where eventType == \"Alert\" | project TimeGenerated = ts, SourceIP = srcIp, DestIP = destIp, Message = message, Priority = priority \n",
        "outputStream": "Custom-ExampleConnectorAlerts_CL"
      },
      {
        "streams": [
          "Custom-ExampleConnectorInput"
        ],
        "destinations": [
          "{{uniqueFriendlyDestinationName}}"
        ],
        "transformKql": "source | where eventType == \"File\" | project-rename TimeGenerated = ts, EventOriginalType = eventType, SrcIpAddr = srcIp, DstIpAddr = destIp, FileContentType = fileType, FileSize = fileSizeBytes, EventOriginalSeverity = disposition \n",
        "outputStream": "Microsoft-ASimFileEventLogs"
      }
    ]
  }
}

Definición de interfaz de usuario del conector de datos de ejemplo

Este ejemplo se encuentra en la referencia de definiciones del conector de datos.

Ejemplo de reglas de conexión del conector de datos

Este ejemplo se encuentra en la referencia del conector de datos.

Ejemplo de plantilla de ARM

Compile la plantilla de implementación de ARM con la estructura siguiente, que incluye las 4 secciones de los componentes JSON necesarios para compilar el conector de datos CCP:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {},
    "resources": [],
}

Una las secciones junto con un editor compatible con JSON, como Visual Code, para minimizar los errores de sintaxis, como comas y corchetes de cierre y paréntesis.

Para guiar el proceso de creación de plantillas, los comentarios aparecen en los metadatos description o en línea con notación de comentarios //. Para obtener más información, consulte los Procedimientos recomendados la plantilla de ARM: comentarios.

Considere la posibilidad de usar el kit de herramientas de pruebas de plantillas de ARM (arm-ttk) para validar la plantilla que compile. Para más información, consulte arm-ttk.

Plantilla ARM de ejemplo: parámetros

Para más información, consulte Parámetros en plantillas de ARM.

Advertencia

Use securestring para todas las contraseñas y secretos en objetos legibles después de la implementación de recursos. Para más información, consulte Protección de la entrada confidencial y Recomendaciones de seguridad de parámetros.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "string",
            "minLength": 1,
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Not used, but needed to pass the arm-ttk test, 'Location-Should-Not-Be-Hardcoded'. Instead the `workspace-location` derived from the log analytics workspace is used."
            }
        },
        "workspace-location": {
            "type": "string",
            "defaultValue": "",
            "metadata": {
                "description": "[concat('Region to deploy solution resources -- separate from location selection',parameters('location'))]"
            }
        },
        "subscription": {
            "defaultValue": "[last(split(subscription().id, '/'))]",
            "type": "string",
            "metadata": {
                "description": "subscription id where Microsoft Sentinel is configured"
            }
        },
        "resourceGroupName": {
            "defaultValue": "[resourceGroup().name]",
            "type": "string",
            "metadata": {
                "description": "resource group name where Microsoft Sentinel is configured"
            }
        },
        "workspace": {
            "defaultValue": "",
            "type": "string",
            "metadata": {
                "description": "the log analytics workspace enabled for Microsoft Sentinel"
            }
        }
    },
    // Next is the variables section here
}

Plantilla de ARM de ejemplo: variables

Estas variables recomendadas ayudan a simplificar la plantilla. Use más o menos según sea necesario. Para más información, consulte Variables en plantillas de ARM.

    "variables": {
        "workspaceResourceId": "[resourceId('microsoft.OperationalInsights/Workspaces', parameters('workspace'))]",
        "_solutionName": "Solution name", // Enter your solution name 
        "_solutionVersion": "3.0.0", // must be 3.0.0 or above
        "_solutionAuthor": "Contoso", // Enter the name of the author
        "_packageIcon": "<img src=\"{LogoLink}\" width=\"75px\" height=\"75px\">", // Enter the http link for the logo. NOTE: This field is only recommended for Azure Global Cloud.
        "_solutionId": "azuresentinel.azure-sentinel-solution-azuresentinel.azure-sentinel-MySolution", // Enter a name for your solution with this format but exchange the 'MySolution' portion
        "dataConnectorVersionConnectorDefinition": "1.0.0",
        "dataConnectorVersionConnections": "1.0.0",
        "_solutionTier": "Community", // This designates the appropriate support - all custom data connectors are "Community"
        "_dataConnectorContentIdConnectorDefinition": "MySolutionTemplateConnectorDefinition", // Enter a name for the connector
        "dataConnectorTemplateNameConnectorDefinition": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnectorDefinition')))]",
        "_dataConnectorContentIdConnections": "MySolutionTemplateConnections", // Enter a name for the connections this connector makes
        "dataConnectorTemplateNameConnections": "[concat(parameters('workspace'),'-dc-',uniquestring(variables('_dataConnectorContentIdConnections')))]",
        "_logAnalyticsTableId1": "ExampleConnectorAlerts_CL" // Enter the custom table name - not needed if you are ingesting data into standard tables
		// Enter more variables as needed "":""
    },
    // Next is the resources sections here

Ejemplo de plantilla de ARM: recursos

Hay 5 recursos de implementación de ARM en esta guía de plantilla que hospedan los componentes de compilación del conector de datos CCP 4.

  1. contentTemplates (un recurso primario)
  2. dataConnectorDefinitions: Para obtener más información, consulte interfaz de usuario del conector de datos.
  3. metadata
  4. contentTemplates
  5. contentPackages
    "resources": [
        // resource section 1 - contentTemplates
        {
            "type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
            "apiVersion": "2023-04-01-preview",
            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnectorDefinition'), variables('dataConnectorVersionConnectorDefinition'))]",
            "location": "[parameters('workspace-location')]",
            "dependsOn": [
                "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
            ],
            "properties": {
                "contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
                "displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnectorDefinition'))]",
                "contentKind": "DataConnector",
                "mainTemplate": {
                    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                    "contentVersion": "[variables('dataConnectorVersionConnectorDefinition')]",
                    "parameters": {},
                    "variables": {},
                    "resources": [
                        {
                            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
                            "apiVersion": "2022-01-01-preview",
                            "type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
                            "properties": {
                                "parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
                                "contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
                                "kind": "DataConnector",
                                "version": "[variables('dataConnectorVersionConnectorDefinition')]",
                                "source": {
                                    "sourceId": "[variables('_solutionId')]",
                                    "name": "[variables('_solutionName')]",
                                    "kind": "Solution"
                                },
                                "author": {
                                    "name": "[variables('_solutionAuthor')]"
                                },
                                "support": {
                                    "name": "[variables('_solutionAuthor')]",
                                    "tier": "[variables('_solutionTier')]"
                                },
                                "dependencies": {
                                    "criteria": [
                                        {
                                            "version": "[variables('dataConnectorVersionConnections')]",
                                            "contentId": "[variables('_dataConnectorContentIdConnections')]",
                                            "kind": "ResourcesDataConnector"
                                        }
                                    ]
                                }
                            }
                        },
                        {
                            "name": "MyDCRV1", // Enter your DCR name
                            "apiVersion": "2021-09-01-preview",
                            "type": "Microsoft.Insights/dataCollectionRules",
                            "location": "[parameters('workspace-location')]",
                            "kind": null,
                            "properties": 
							{ 
                                // Enter your DCR properties here.
                                //  Consider using these variables:
                                //  "dataCollectionEndpointId": "[concat('/subscriptions/',parameters('subscription'),'/resourceGroups/',parameters('resourceGroupName'),'/providers/Microsoft.Insights/dataCollectionEndpoints/',parameters('workspace'))]",
                                //  "workspaceResourceId": "[variables('workspaceResourceId')]",
							}
                        },
                        {
                            "name": "[variables('_logAnalyticsTableId1')]",
                            "apiVersion": "2022-10-01",
                            "type": "Microsoft.OperationalInsights/workspaces/tables",
                            "location": "[parameters('workspace-location')]",
                            "kind": null,
                            "properties": 
							{
								// Enter your log analytics table schema here. 
                                //  Consider using this variable for the name property:
                                //  "name": "[variables('_logAnalyticsTableId1')]",
							}			
                        }
						// Enter more tables if needed.
                    ]
                },
                "packageKind": "Solution",
                "packageVersion": "[variables('_solutionVersion')]",
                "packageName": "[variables('_solutionName')]",
                "contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','dc','-', uniqueString(concat(variables('_solutionId'),'-','DataConnector','-',variables('_dataConnectorContentIdConnectorDefinition'),'-', variables('dataConnectorVersionConnectorDefinition'))))]",
                "packageId": "[variables('_solutionId')]",
                "contentSchemaVersion": "3.0.0",
                "version": "[variables('_solutionVersion')]"
            }
        },
        // resource 2 section here
        // resource section 2 - dataConnectorDefinitions
        {
            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',variables('_dataConnectorContentIdConnectorDefinition'))]",
            "apiVersion": "2022-09-01-preview",
            "type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectorDefinitions",
            "location": "[parameters('workspace-location')]",
            "kind": "Customizable",
            "properties": 
			{
				//Enter your data connector definition properties here
				//"connectorUiConfig": {
				//	"graphQueriesTableName": "[variables('_logAnalyticsTableId1')]",
                //}, 
			}
        },
        // resource 3 section here
        // resource section 3 - metadata
        {
            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnectorDefinition')))]",
            "apiVersion": "2022-01-01-preview",
            "type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
            "properties": {
                "parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectorDefinitions', variables('_dataConnectorContentIdConnectorDefinition'))]",
                "contentId": "[variables('_dataConnectorContentIdConnectorDefinition')]",
                "kind": "DataConnector",
                "version": "[variables('dataConnectorVersionConnectorDefinition')]",
                "source": {
                    "sourceId": "[variables('_solutionId')]",
                    "name": "[variables('_solutionName')]",
                    "kind": "Solution"
                },
                "author": {
                    "name": "[variables('_solutionAuthor')]"
                },
                "support": {
                    "name": "[variables('_solutionAuthor')]",
                    "tier": "[variables('_solutionTier')]"
                },
                "dependencies": {
                    "criteria": [
                        {
                            "version": "[variables('dataConnectorVersionConnections')]",
                            "contentId": "[variables('_dataConnectorContentIdConnections')]",
                            "kind": "ResourcesDataConnector"
                        }
                    ]
                }
            }
        },
        // resource 4 section here
        // resource section 4 - contentTemplates
        {
            "type": "Microsoft.OperationalInsights/workspaces/providers/contentTemplates",
            "apiVersion": "2023-04-01-preview",
            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('dataConnectorTemplateNameConnections'), variables('dataConnectorVersionConnections'))]",
            "location": "[parameters('workspace-location')]",
            "dependsOn": [
                "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/contentPackages', variables('_solutionId'))]"
            ],
            "properties": {
                "contentId": "[variables('_dataConnectorContentIdConnections')]",
                "displayName": "[concat(variables('_solutionName'), variables('dataConnectorTemplateNameConnections'))]",
                "contentKind": "ResourcesDataConnector",
                "mainTemplate": {
                    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                    "contentVersion": "[variables('dataConnectorVersionConnections')]",
                    "parameters":
                    // These parameters are used by the data connector primarily as properties for the administrator to enter in the UI when configuring the connector
					{
                        "connectorDefinitionName": {
                            "defaultValue": "connectorDefinitionName",
                            "type": "string",
                            "minLength": 1
                        },
                        "workspace": {
                            "defaultValue": "[parameters('workspace')]",
                            "type": "string"
                        },
                        "dcrConfig": {
                            "defaultValue": {
                                "dataCollectionEndpoint": "data collection Endpoint",
                                "dataCollectionRuleImmutableId": "data collection rule immutableId"
                            },
                            "type": "object"
                        }
						// Enter additional parameters, for example:
						//"domainname": {
                        //    "defaultValue": "domain name",
                        //    "type": "string",
                        //    "minLength": 1
                        //},
                        //"apikey": {
                        //    "defaultValue": "",
                        //    "type": "securestring",
                        //    "minLength": 1
                        //}
                    },
                    "variables": {
                        "_dataConnectorContentIdConnections": "[variables('_dataConnectorContentIdConnections')]"
                    },
                    "resources": [
                        {
                            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/',concat('DataConnector-', variables('_dataConnectorContentIdConnections')))]",
                            "apiVersion": "2022-01-01-preview",
                            "type": "Microsoft.OperationalInsights/workspaces/providers/metadata",
                            "properties": {
                                "parentId": "[extensionResourceId(resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspace')), 'Microsoft.SecurityInsights/dataConnectors', variables('_dataConnectorContentIdConnections'))]",
                                "contentId": "[variables('_dataConnectorContentIdConnections')]",
                                "kind": "ResourcesDataConnector",
                                "version": "[variables('dataConnectorVersionConnections')]",
                                "source": {
                                    "sourceId": "[variables('_solutionId')]",
                                    "name": "[variables('_solutionName')]",
                                    "kind": "Solution"
                                },
                                "author": {
                                    "name": "[variables('_solutionAuthor')]"
                                },
                                "support": {
                                    "name": "[variables('_solutionAuthor')]",
                                    "tier": "[variables('_solutionTier')]"
                                }
                            }
                        },
                        {
                            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', 'MyDataConnector')]", // Replace the last part of the name with your data connector name
                            //  To create several connections using this template, make the name dynamic. For example, use the 'concat' function to add the connector name with a GUID using the 'guid' function.
                            "apiVersion": "2022-12-01-preview",
                            "type": "Microsoft.OperationalInsights/workspaces/providers/dataConnectors",
                            "location": "[parameters('workspace-location')]",
                            "kind": "RestApiPoller",
                            "properties": 
							{
								// Enter your data connector properties here. If you want to use UI parameters remember to escape the parameter like this: "[[parameters('paramName')]"
								//  Use parameters as needed. For example:	
                                // "dataType": "My product security event API",
                                // "response": {
                                //   "eventsJsonPaths": [
                                //        "$"
                                //    ],
                                //    "format": "json"
                                // },
                                // "paging": {
                                //    "pagingType": "LinkHeader"
                                // },
                                // "connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
                                // "auth": {
                                //   "apiKeyName": "Authorization",
                                //    "ApiKey": "[[parameters('apikey')]",
                                //    "apiKeyIdentifier": "SSWS",
                                //    "type": "APIKey"
                                //} ,
                                // "request": {
                                //   "apiEndpoint": "[[concat('https://',parameters('domainname'),'/api/v1/logs')]",
                                //    "rateLimitQPS": 10,
                                //   "queryWindowInMin": 5,
                                //   "httpMethod": "GET",
                                //    "retryCount": 3,
                                //    "timeoutInSeconds": 60,
                                //    "headers": {
                                //        "Accept": "application/json",
                                //        "User-Agent": "My-Data-Source"
                                //    },
                                //    "startTimeAttributeName": "since",
								//    "endTimeAttributeName": "until"		     
                                // },
                                // "dcrConfig": {
                                //    "dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
                                //    "dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]",
                                //    "streamName": "Custom-ExampleConnectorAlerts_CL" //This input stream should be the same as the inputStream property configured for the DataCollectionRule 
                                // },
                                // "isActive": true
                            }
                        }
                    ]
                },
                "packageKind": "Solution",
                "packageVersion": "[variables('_solutionVersion')]",
                "packageName": "[variables('_solutionName')]",
                "contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','rdc','-', uniqueString(concat(variables('_solutionId'),'-','ResourcesDataConnector','-',variables('_dataConnectorContentIdConnections'),'-', variables('dataConnectorVersionConnections'))))]",
                "packageId": "[variables('_solutionId')]",
                "contentSchemaVersion": "3.0.0",
                "version": "[variables('_solutionVersion')]"
            }
        },
        // resource 5 section here
        // resource section 5 - contentPackages
        {
            "type": "Microsoft.OperationalInsights/workspaces/providers/contentPackages",
            "name": "[concat(parameters('workspace'),'/Microsoft.SecurityInsights/', variables('_solutionId'))]",
            "location": "[parameters('workspace-location')]",
            "apiVersion": "2023-04-01-preview",
            "properties": {
                "version": "[variables('_solutionVersion')]",
                "kind": "Solution",
                "contentSchemaVersion": "3.0.0",
                "contentId": "[variables('_solutionId')]",
                "source": {
                    "kind": "Solution",
                    "name": "[variables('_solutionName')]",
                    "sourceId": "[variables('_solutionId')]"
                },
                "author": {
                    "name": "[variables('_solutionAuthor')]"
                },
                "support": {
                    "name": "[variables('_solutionAuthor')]"
                },
                "dependencies": {
                    "operator": "AND",
                    "criteria": [
                        {
                            "kind": "DataConnector",
                            "contentId": "[variables('dataConnectorVersionConnectorDefinition')]",
                            "version": "[variables('_dataConnectorContentIdConnectorDefinition')]"
                        }
                    ]
                },
                "firstPublishDate": "2023-12-05",
                "providers": [
                    "[variables('_solutionAuthor')]"
                ],
                "contentKind": "Solution",
                "packageId": "[variables('_solutionId')]",
                "contentProductId": "[concat(substring(variables('_solutionId'), 0, 50),'-','sl','-', uniqueString(concat(variables('_solutionId'),'-','Solution','-',variables('_solutionId'),'-', variables('_solutionVersion'))))]",
                "displayName": "[variables('_solutionName')]",
                "publisherDisplayName": "[variables('_solutionId')]",
                "descriptionHtml": "test",
                "icon": "[variables('_packageIcon')]"
            }
        }
        // that's the end!
    ]
}

Para obtener más información, vea