Поделиться через

Справочник по соединителю данных GCP для платформы соединителя без кода

  • Статья

Чтобы создать соединитель данных Google Cloud Platform (GCP) с помощью платформы соединителя без кода (CCP), используйте эту ссылку в качестве дополнения к REST API Microsoft Sentinel для соединителей данных.

Каждый dataConnector представляет собой определенное соединение соединителя данных Microsoft Sentinel. Один соединитель данных может иметь несколько подключений, которые извлекает данные из разных конечных точек. Конфигурация JSON, созданная с помощью этого справочного документа, используется для завершения шаблона развертывания для соединителя данных CCP.

Дополнительные сведения см. в статье Создание соединителя без кода для Microsoft Sentinel.

Создание соединителя данных GCP CCP

Упрощение разработки подключения источника данных GCP с помощью примера шаблона развертывания соединителя данных GCP CCP.

Пример шаблона CCP GCP

При заполнении большинства разделов шаблона развертывания необходимо создать только первые два компонента, выходную таблицу и DCR. Дополнительные сведения см. в разделах определения выходной таблицы и правила сбора данных (DCR).

Соединители данных — создание или обновление

Чтобы найти последнюю стабильную или предварительную версию API, см. инструкцию по созданию или обновлению в документации по REST API. Разница между созданием и операцией обновления заключается в том, что обновление требует значения etag.

Метод PUT

https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}

Параметры универсального кода ресурса (URI)

Дополнительные сведения о последней версии API см. в разделе "Соединители данных" — создание или обновление ПАРАМЕТРОВ URI.

Имя Описание
dataConnectorId Идентификатор соединителя данных должен быть уникальным именем и совпадает с name параметром в тексте запроса.
resourceGroupName Имя группы ресурсов, а не регистр.
subscriptionId Идентификатор целевой подписки.
имя рабочей области Имя рабочей области, а не идентификатор.
Шаблон регулярного выражения: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version Версия API, используемая для данной операции.

Текст запроса

Текст запроса для GCP соединителя данных CCP имеет следующую структуру:

{
   "name": "{{dataConnectorId}}",
   "kind": "GCP",
   "etag": "",
   "properties": {
        "connectorDefinitionName": "",
        "auth": {},
        "request": {},
        "dcrConfig": ""
   }
}

GCP

GCP представляет соединитель данных CCP , где уже настроены полезные данные разбиения на страницы и ожидаемые полезные данные для источника данных Google Cloud Platform (GCP). Настройка службы GCP для отправки данных в GCP Pub/Sub должна выполняться отдельно. Дополнительные сведения см. в разделе "Публикация сообщения" в обзоре Pub/Sub.

имени Обязательно Type Description
name Истина строка Уникальное имя подключения, соответствующего параметру URI
kind Истина строка Должен содержать значение GCP.
etag GUID Оставьте пустым для создания новых соединителей. Для операций обновления etag должен соответствовать тегу etag существующего соединителя (GUID).
properties.connectorDefinitionName строка Имя ресурса DataConnectorDefinition, определяющего конфигурацию пользовательского интерфейса соединителя данных. Дополнительные сведения см. в разделе "Определение соединителя данных".
свойства.auth Истина Вложенный массив JSON Описывает учетные данные для опроса данных GCP. Дополнительные сведения см . в разделе конфигурации проверки подлинности.
свойства.просьба Истина Вложенный массив JSON Описывает идентификатор проекта GCP и подписку GCP для опроса данных. Дополнительные сведения см. в разделе Конфигурация request.
свойства.dcrConfig Вложенный массив JSON Обязательные параметры при отправке данных в правило сбора данных (DCR). Дополнительные сведения см. в разделе конфигурации DCR.

Конфигурация проверки подлинности

Проверка подлинности в GCP из Microsoft Sentinel использует GCP Pub/Sub. Необходимо настроить проверку подлинности отдельно. Используйте здесь скрипты Terraform. Дополнительные сведения см. в статье GCP Pub/Sub authentication from another cloud provider.

Рекомендуется использовать параметры в разделе проверки подлинности вместо учетных данных жесткого кодирования. Дополнительные сведения см. в разделе "Безопасные конфиденциальные входные данные".

Чтобы создать шаблон развертывания, который также использует параметры, необходимо экранировать параметры в этом разделе с дополнительным запуском [. Это позволяет параметрам назначать значение на основе взаимодействия пользователя с соединителем. Дополнительные сведения см. в статье "Выражения шаблонов", экранные символы.

Чтобы включить ввод учетных данных из пользовательского интерфейса, раздел connectorUIConfig требуется instructions с нужными параметрами. Дополнительные сведения см. в справочнике по определениям соединителя данных для платформы соединителя без кода.

Пример проверки подлинности GCP:

"auth": {
    "serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
    "projectNumber": "[[parameters('GCPProjectNumber')]",
    "workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}

Конфигурация request

В разделе запроса требуется projectId subscriptionNames и из GCP Pub/Sub.

Пример запроса GCP:

"request": {
    "projectId": "[[parameters('GCPProjectId')]",
    "subscriptionNames": [
        "[[parameters('GCPSubscriptionName')]"
    ]
}

Конфигурация DCR

Поле Обязательное поле Type Описание
DataCollectionEndpoint Истина Строка Например https://example.ingest.monitor.azure.com, DCE (конечная точка сбора данных).
DataCollectionRuleImmutableId Истина Строка Неизменяемый идентификатор DCR. Найдите его, просмотрев ответ на создание DCR или используя API DCR
StreamName Истина строка Это значение определяется в DCR (префикс должен начинаться streamDeclaration с Custom-)

Пример соединителя данных CCP

Ниже приведен пример всех компонентов GCP соединителя данных CCP вместе.

{
    "kind": "GCP",
    "properties": {
        "connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
        "dcrConfig": {
            "streamName": "[variables('streamName')]",
            "dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
            "dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
        },
    "dataType": "[variables('dataType')]",
    "auth": {
        "serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
        "projectNumber": "[[parameters('GCPProjectNumber')]",
        "workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
    },
    "request": {
        "projectId": "[[parameters('GCPProjectId')]",
        "subscriptionNames": [
            "[[parameters('GCPSubscriptionName')]"
            ]
        }
    }
}

Дополнительные сведения см. в примере REST API соединителя данных GCP.