你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft.SecurityInsights dataConnectors 2022-06-01-preview

Bicep 资源定义

dataConnectors 资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。

scope使用此资源上的 属性可设置此资源的范围。 请参阅 在 Bicep 中设置扩展资源的范围

有关每个 API 版本中更改的属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.SecurityInsights/dataConnectors 资源,请将以下 Bicep 添加到模板。

resource symbolicname 'Microsoft.SecurityInsights/dataConnectors@2022-06-01-preview' = {
  name: 'string'
  kind: 'string'
  scope: resourceSymbolicName
  etag: 'string'
  // For remaining properties, see dataConnectors objects
}

dataConnectors 对象

设置 kind 属性以指定对象的类型。

对于 AmazonWebServicesCloudTrail,请使用:

  kind: 'AmazonWebServicesCloudTrail'
  properties: {
    dataTypes: {
      logs: {
        state: 'string'
      }
    }
  }

对于 AmazonWebServicesS3,请使用:

  kind: 'AmazonWebServicesS3'
  properties: {
    dataTypes: {
      logs: {
        state: 'string'
      }
    }
    destinationTable: 'string'
    roleArn: 'string'
    sqsUrls: [
      'string'
    ]
  }

对于 APIPolling,请使用:

  kind: 'APIPolling'
  properties: {
    connectorUiConfig: {
      availability: {
        isPreview: bool
        status: '1'
      }
      connectivityCriteria: [
        {
          type: 'IsConnectedQuery'
          value: [
            'string'
          ]
        }
      ]
      customImage: 'string'
      dataTypes: [
        {
          lastDataReceivedQuery: 'string'
          name: 'string'
        }
      ]
      descriptionMarkdown: 'string'
      graphQueries: [
        {
          baseQuery: 'string'
          legend: 'string'
          metricName: 'string'
        }
      ]
      graphQueriesTableName: 'string'
      instructionSteps: [
        {
          description: 'string'
          instructions: [
            {
              parameters: any()
              type: 'string'
            }
          ]
          title: 'string'
        }
      ]
      permissions: {
        customs: [
          {
            description: 'string'
            name: 'string'
          }
        ]
        resourceProvider: [
          {
            permissionsDisplayText: 'string'
            provider: 'string'
            providerDisplayName: 'string'
            requiredPermissions: {
              action: bool
              delete: bool
              read: bool
              write: bool
            }
            scope: 'string'
          }
        ]
      }
      publisher: 'string'
      sampleQueries: [
        {
          description: 'string'
          query: 'string'
        }
      ]
      title: 'string'
    }
    pollingConfig: {
      auth: {
        apiKeyIdentifier: 'string'
        apiKeyName: 'string'
        authorizationEndpoint: 'string'
        authorizationEndpointQueryParameters: any()
        authType: 'string'
        flowName: 'string'
        isApiKeyInPostPayload: 'string'
        isClientSecretInHeader: bool
        redirectionEndpoint: 'string'
        scope: 'string'
        tokenEndpoint: 'string'
        tokenEndpointHeaders: any()
        tokenEndpointQueryParameters: any()
      }
      isActive: bool
      paging: {
        nextPageParaName: 'string'
        nextPageTokenJsonPath: 'string'
        pageCountAttributePath: 'string'
        pageSize: int
        pageSizeParaName: 'string'
        pageTimeStampAttributePath: 'string'
        pageTotalCountAttributePath: 'string'
        pagingType: 'string'
        searchTheLatestTimeStampFromEventsList: 'string'
      }
      request: {
        apiEndpoint: 'string'
        endTimeAttributeName: 'string'
        headers: any()
        httpMethod: 'string'
        queryParameters: any()
        queryParametersTemplate: 'string'
        queryTimeFormat: 'string'
        queryWindowInMin: int
        rateLimitQps: int
        retryCount: int
        startTimeAttributeName: 'string'
        timeoutInSeconds: int
      }
      response: {
        eventsJsonPaths: [
          'string'
        ]
        isGzipCompressed: bool
        successStatusJsonPath: 'string'
        successStatusValue: 'string'
      }
    }
  }

对于 AzureActiveDirectory,请使用:

  kind: 'AzureActiveDirectory'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 AzureAdvancedThreatProtection,请使用:

  kind: 'AzureAdvancedThreatProtection'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 AzureSecurityCenter,请使用:

  kind: 'AzureSecurityCenter'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
    }
    subscriptionId: 'string'
  }

对于 Dynamics365,请使用:

  kind: 'Dynamics365'
  properties: {
    dataTypes: {
      dynamics365CdsActivities: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 GenericUI,请使用:

  kind: 'GenericUI'
  properties: {
    connectorUiConfig: {
      availability: {
        isPreview: bool
        status: '1'
      }
      connectivityCriteria: [
        {
          type: 'IsConnectedQuery'
          value: [
            'string'
          ]
        }
      ]
      customImage: 'string'
      dataTypes: [
        {
          lastDataReceivedQuery: 'string'
          name: 'string'
        }
      ]
      descriptionMarkdown: 'string'
      graphQueries: [
        {
          baseQuery: 'string'
          legend: 'string'
          metricName: 'string'
        }
      ]
      graphQueriesTableName: 'string'
      instructionSteps: [
        {
          description: 'string'
          instructions: [
            {
              parameters: any()
              type: 'string'
            }
          ]
          title: 'string'
        }
      ]
      permissions: {
        customs: [
          {
            description: 'string'
            name: 'string'
          }
        ]
        resourceProvider: [
          {
            permissionsDisplayText: 'string'
            provider: 'string'
            providerDisplayName: 'string'
            requiredPermissions: {
              action: bool
              delete: bool
              read: bool
              write: bool
            }
            scope: 'string'
          }
        ]
      }
      publisher: 'string'
      sampleQueries: [
        {
          description: 'string'
          query: 'string'
        }
      ]
      title: 'string'
    }
  }

对于 IOT,请使用:

  kind: 'IOT'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
    }
    subscriptionId: 'string'
  }

对于 MicrosoftCloudAppSecurity,请使用:

  kind: 'MicrosoftCloudAppSecurity'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
      discoveryLogs: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 MicrosoftDefenderAdvancedThreatProtection,请使用:

  kind: 'MicrosoftDefenderAdvancedThreatProtection'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 MicrosoftThreatIntelligence,请使用:

  kind: 'MicrosoftThreatIntelligence'
  properties: {
    dataTypes: {
      bingSafetyPhishingURL: {
        lookbackPeriod: 'string'
        state: 'string'
      }
      microsoftEmergingThreatFeed: {
        lookbackPeriod: 'string'
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 MicrosoftThreatProtection,请使用:

  kind: 'MicrosoftThreatProtection'
  properties: {
    dataTypes: {
      incidents: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 Office365,请使用:

  kind: 'Office365'
  properties: {
    dataTypes: {
      exchange: {
        state: 'string'
      }
      sharePoint: {
        state: 'string'
      }
      teams: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 Office365Project,请使用:

  kind: 'Office365Project'
  properties: {
    dataTypes: {
      logs: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 OfficeATP,请使用:

  kind: 'OfficeATP'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 OfficeIRM,请使用:

  kind: 'OfficeIRM'
  properties: {
    dataTypes: {
      alerts: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 OfficePowerBI,请使用:

  kind: 'OfficePowerBI'
  properties: {
    dataTypes: {
      logs: {
        state: 'string'
      }
    }
    tenantId: 'string'
  }

对于 ThreatIntelligence,请使用:

  kind: 'ThreatIntelligence'
  properties: {
    dataTypes: {
      indicators: {
        state: 'string'
      }
    }
    tenantId: 'string'
    tipLookbackPeriod: 'string'
  }

对于 ThreatIntelligenceTaxii,请使用:

  kind: 'ThreatIntelligenceTaxii'
  properties: {
    collectionId: 'string'
    dataTypes: {
      taxiiClient: {
        state: 'string'
      }
    }
    friendlyName: 'string'
    password: 'string'
    pollingFrequency: 'string'
    taxiiLookbackPeriod: 'string'
    taxiiServer: 'string'
    tenantId: 'string'
    userName: 'string'
    workspaceId: 'string'
  }

属性值

dataConnectors

名称 说明
name 资源名称 字符串 (必需)
kind 设置对象类型 AmazonWebServicesCloudTrail
AmazonWebServicesS3
APIPolling
AzureActiveDirectory
AzureAdvancedThreatProtection
Azure安全Center
Dynamics365
GenericUI
IOT
MicrosoftCloudAppSecurity
MicrosoftDefenderAdvancedThreatProtection
MicrosoftThreatIntelligence
MicrosoftThreatProtection
Office365
Office365Project
OfficeATP
OfficeIRM
OfficePowerBI
ThreatIntelligence
ThreatIntelligenceTaxii (必需)
scope 在与部署范围不同的范围创建扩展资源时使用 。 目标资源

对于 Bicep,请将此属性设置为资源的符号名称以应用 扩展资源
etag Azure 资源的 Etag 字符串

AwsCloudTrailDataConnector

名称 说明
kind 数据连接器类型 “AmazonWebServicesCloudTrail” (必需)
properties Amazon Web Services CloudTrail 数据连接器属性。 AwsCloudTrailDataConnectorProperties

AwsCloudTrailDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AwsCloudTrailDataConnectorDataTypes (必需)

AwsCloudTrailDataConnectorDataTypes

名称 说明
日志 日志数据类型。 AwsCloudTrailDataConnectorDataTypesLogs (所需的)

AwsCloudTrailDataConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

AwsS3DataConnector

名称 说明
kind 数据连接器类型 “AmazonWebServicesS3” (必需)
properties Amazon Web Services S3 数据连接器属性。 AwsS3DataConnectorProperties

AwsS3DataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 需要 awsS3DataConnectorDataTypes ()
destinationTable LogAnalytics 中的日志目标表名称。 字符串 (必需)
roleArn 用于访问 Aws 帐户的 Aws Role Arn。 字符串 (必需)
sqsUrls 连接器的 AWS sqs URL。 string[] (必需)

AwsS3DataConnectorDataTypes

名称 说明
日志 日志数据类型。 AwsS3DataConnectorDataTypesLogs (必需)

AwsS3DataConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

CodelessApiPollingDataConnector

名称 说明
kind 数据连接器类型 需要“APIPolling” ()
properties 无代码 Poling 数据连接器属性 ApiPollingParameters

ApiPollingParameters

名称 说明
connectorUiConfig 用于描述说明边栏选项卡的配置 CodelessUiConnectorConfigProperties
pollingConfig 用于描述轮询说明的配置 CodelessConnectorPollingConfigProperties

CodelessUiConnectorConfigProperties

名称 说明
availability 连接器可用性状态 需要可用性 ()
connectivityCriteria 定义连接器检查连接的方式 CodelessUiConnectorConfigPropertiesConnectivityCrite...[] (必需)
customImage 在 Azure Sentinel 的连接器库中显示连接器时要使用的可选自定义图像 字符串
dataTypes 要检查上次接收数据的数据类型 CodelessUiConnectorConfigPropertiesDataTypesItem[] (必需的)
descriptionMarkdown 连接器说明 字符串 (必需)
graphQueries 用于显示当前数据状态的图形查询 CodelessUiConnectorConfigPropertiesGraphQueriesItem[] (必需的)
graphQueriesTableName 连接器将数据插入到的表的名称 字符串 (必需)
instructionSteps 启用连接器的说明步骤 CodelessUiConnectorConfigPropertiesInstructionStepsI...[] (必需)
权限 连接器所需的权限 所需的权限 ()
publisher 连接器发布者名称 字符串 (必需)
sampleQueries 连接器的示例查询 CodelessUiConnectorConfigPropertiesSampleQueriesItem[] (必需的)
title 连接器边栏选项卡标题 字符串 (必需)

可用性

名称 说明
isPreview 将连接器设置为预览版 bool
status 连接器可用性状态 '1'

CodelessUiConnectorConfigPropertiesConnectivityCrite...

名称 说明 Value
type 连接类型 'IsConnectedQuery'
用于检查连接的查询 string[]

CodelessUiConnectorConfigPropertiesDataTypesItem

名称 说明
lastDataReceivedQuery 对 的查询指示上次接收的数据 string
name 要显示在图形中的数据类型的名称。 可与 {{graphQueriesTableName}} 占位符一起使用 字符串

CodelessUiConnectorConfigPropertiesGraphQueriesItem

名称 说明
baseQuery 图形的基本查询 字符串
图例 (legend) 图形的图例 string
metricName 查询正在检查的指标 字符串

CodelessUiConnectorConfigPropertiesInstructionStepsI...

名称 说明
description 说明步骤说明 字符串
说明 说明步骤详细信息 InstructionStepsInstructionsItem[]
title 说明步骤标题 string

InstructionStepsInstructionsItem

名称 说明
parameters 设置的参数 对于 Bicep,可以使用 any () 函数。
type 设置的类型 'CopyableLabel'
“InfoMessage”
“InstructionStepsGroup” (必需)

权限

名称 说明
customs 连接器所需的海关权限 PermissionsCustomsItem[]
resourceProvider 连接器所需的资源提供程序权限 PermissionsResourceProviderItem[]

PermissionsCustomsItem

名称 说明
description 海关权限说明 字符串
name 海关权限名称 字符串

PermissionsResourceProviderItem

名称 说明
permissionsDisplayText 权限说明文本 字符串
provider 提供程序名称 'Microsoft.Authorization/policyAssignments'
“Microsoft.OperationalInsights/solutions”
“Microsoft.OperationalInsights/workspaces”
'Microsoft.OperationalInsights/workspaces/datasources'
'Microsoft.OperationalInsights/workspaces/sharedKeys'
'microsoft.aadiam/diagnosticSettings'
providerDisplayName 权限提供程序显示名称 字符串
requiredPermissions 连接器所需的权限 RequiredPermissions
scope 权限提供程序范围 “ResourceGroup”
“Subscription”
“工作区”

RequiredPermissions

名称 说明
action 操作权限 bool
delete 删除权限 bool
读取 读取权限 bool
写入 写入权限 bool

CodelessUiConnectorConfigPropertiesSampleQueriesItem

名称 说明
description 示例查询说明 字符串
query 示例查询 string

CodelessConnectorPollingConfigProperties

名称 说明
auth 描述轮询的身份验证类型 CodelessConnectorPollingAuthProperties (必需)
isActive 轮询器活动状态 bool
分页 描述轮询器轮询请求分页配置 CodelessConnectorPollingPagingProperties
request 描述轮询器轮询请求配置参数 CodelessConnectorPollingRequestProperties (必需)
响应 描述轮询器响应配置参数 CodelessConnectorPollingResponseProperties

CodelessConnectorPollingAuthProperties

名称 说明
apiKeyIdentifier 在标头中发送实际令牌之前的前缀 字符串
apiKeyName 用于发送令牌的标头名称 字符串
authorizationEndpoint 用于授权用户的终结点,在 Oauth 2.0 流中使用 字符串
authorizationEndpointQueryParameters 授权请求中使用的查询参数,在 Oauth 2.0 流中使用 对于 Bicep,可以使用 any () 函数。
authType 身份验证类型 字符串 (必需)
flowName 描述流名称,例如 Oauth 2.0 的“AuthCode” 字符串
isApiKeyInPostPayload 标记键是否应在标头中发送 string
isClientSecretInHeader 标记是否应在 Oauth 2.0 流中使用的标头或有效负载中发送客户端密码 bool
重定向Endpoint 将获取 Oauth 2.0 流中使用的授权代码的重定向终结点 字符串
scope OAuth 令牌范围 string
tokenEndpoint 用于颁发令牌的终结点,在 Oauth 2.0 流中使用 string
tokenEndpointHeaders 令牌请求中使用的查询标头,在 Oauth 2.0 流中使用 对于 Bicep,可以使用 any () 函数。
tokenEndpointQueryParameters 令牌请求中使用的查询参数,在 Oauth 2.0 流中使用 对于 Bicep,可以使用 any () 函数。

CodelessConnectorPollingPagingProperties

名称 说明
nextPageParaName 定义下一页属性的名称 字符串
nextPageTokenJsonPath 定义下一页令牌 JSON 的路径 字符串
pageCountAttributePath 定义页计数属性的路径 string
pageSize 定义分页大小 int
pageSizeParaName 定义页面大小参数的名称 string
pageTimeStampAttributePath 定义分页时间戳属性的路径 string
pageTotalCountAttributePath 定义页总计计数属性的路径 字符串
pagingType 描述类型。 可以是“None”、“PageToken”、“PageCount”、“TimeStamp” 字符串 (必需)
searchTheLatestTimeStampFromEventsList 确定是否在事件列表中搜索最新的时间戳 string

CodelessConnectorPollingRequestProperties

名称 说明
apiEndpoint 描述应从中提取数据的终结点 字符串 (必需)
endTimeAttributeName 这将用于时间窗口结束时的查询事件 string
headers 描述轮询请求中发送的标头 对于 Bicep,可以使用 any () 函数。
httpMethod 我们将在轮询请求中使用的 http 方法类型 GET 或 POST 字符串 (必需)
queryParameters 描述在轮询请求中发送的查询参数 对于 Bicep,可以使用 any () 函数。
queryParametersTemplate 对于高级方案,例如嵌套 JSON 有效负载中嵌入的用户名/密码 string
queryTimeFormat 将在特定窗口中使用查询事件的时间格式 字符串 (必需)
queryWindowInMin 我们将使用拉取数据的窗口间隔 int (必需)
rateLimitQps 定义速率限制 QPS int
retryCount 描述在发生故障时应尝试轮询数据的时间量 int
startTimeAttributeName 这将用于从时间窗口开始的查询事件 string
timeoutInSeconds 我们将视为请求超时的秒数 int

CodelessConnectorPollingResponseProperties

名称 说明
eventsJsonPaths 描述应在响应中提取数据的路径 string[] (必需)
isGzipCompressed 描述响应中的数据是否为 Gzip bool
successStatusJsonPath 描述应在响应中提取状态代码的路径 字符串
successStatusValue 描述应在响应中提取状态值的路径 字符串

AADDataConnector

名称 说明
kind 数据连接器类型 “AzureActiveDirectory” ()
properties AAD (Azure Active Directory) 数据连接器属性。 AADDataConnectorProperties

AADDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

AlertsDataTypeOfDataConnector

名称 说明
alerts 警报数据类型连接。 DataConnectorDataTypeCommon (所需的)

DataConnectorDataTypeCommon

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

AatpDataConnector

名称 说明
kind 数据连接器类型 “AzureAdvancedThreatProtection” (必需)
properties AATP (Azure 高级威胁防护) 数据连接器属性。 AatpDataConnectorProperties

AatpDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

ASCDataConnector

名称 说明
kind 数据连接器类型 需要“AzureSecurityCenter” ()
properties ASC (Azure 安全中心) 数据连接器属性。 ASCDataConnectorProperties

ASCDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
subscriptionId 要连接到并从中获取数据的订阅 ID。 字符串

Dynamics365DataConnector

名称 说明
kind 数据连接器类型 需要“Dynamics365” ()
properties Dynamics365 数据连接器属性。 Dynamics365DataConnectorProperties

Dynamics365DataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 Dynamics365DataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

Dynamics365DataConnectorDataTypes

名称 说明
dynamics365CdsActivities Common Data Service 数据类型连接。 Dynamics365DataConnectorDataTypesDynamics365CdsActiv... 所需的 ()

Dynamics365DataConnectorDataTypesDynamics365CdsActiv...

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

CodelessUiDataConnector

名称 说明
kind 数据连接器类型 需要“GenericUI” ()
properties 无代码 UI 数据连接器属性 CodelessParameters

CodelessParameters

名称 说明
connectorUiConfig 用于描述说明边栏选项卡的配置 CodelessUiConnectorConfigProperties

IoTDataConnector

名称 说明
kind 数据连接器类型 需要“IOT” ()
properties IoT 数据连接器属性。 IoTDataConnectorProperties

IoTDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
subscriptionId 要连接到并从中获取数据的订阅 ID。 string

McasDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftCloudAppSecurity” (必需)
properties MCAS (Microsoft Cloud App Security) 数据连接器属性。 McasDataConnectorProperties

McasDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 McasDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

McasDataConnectorDataTypes

名称 说明
alerts 警报数据类型连接。 DataConnectorDataTypeCommon (所需的)
discoveryLogs 发现日志数据类型连接。 DataConnectorDataTypeCommon

MdatpDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftDefenderAdvancedThreatProtection” (必需)
properties MDATP (Microsoft Defender高级威胁防护) 数据连接器属性。 MdatpDataConnectorProperties

MdatpDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MstiDataConnector

名称 说明
kind 数据连接器类型 需要“MicrosoftThreatIntelligence” ()
properties Microsoft 威胁情报数据连接器属性。 MstiDataConnectorProperties

MstiDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 MstiDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MstiDataConnectorDataTypes

名称 说明
bingSafetyPhishingURL Microsoft 威胁情报平台数据连接器的数据类型。 MstiDataConnectorDataTypesBingSafetyPhishingURL (必需)
microsoftEmergingThreatFeed Microsoft 威胁情报平台数据连接器的数据类型。 MstiDataConnectorDataTypesMicrosoftEmergingThreatFee... 所需的 ()

MstiDataConnectorDataTypesBingSafetyPhishingURL

名称 说明
lookbackPeriod 回溯期 字符串 (必需)
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

MstiDataConnectorDataTypesMicrosoftEmergingThreatFee...

名称 说明
lookbackPeriod 回溯期 字符串 (必需)
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

MTPDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftThreatProtection” (必需)
properties MTP (Microsoft 威胁防护) 数据连接器属性。 MTPDataConnectorProperties

MTPDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 MTPDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MTPDataConnectorDataTypes

名称 说明
incidents Microsoft 威胁防护平台数据连接器的数据类型。 MTPDataConnectorDataTypesIncidents (必需)

MTPDataConnectorDataTypesIncidents

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

OfficeDataConnector

名称 说明
kind 数据连接器类型 需要“Office365” ()
properties Office 数据连接器属性。 OfficeDataConnectorProperties

OfficeDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 OfficeDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficeDataConnectorDataTypes

名称 说明
交易所 Exchange 数据类型连接。 OfficeDataConnectorDataTypesExchange (必需)
Sharepoint SharePoint 数据类型连接。 需要 OfficeDataConnectorDataTypesSharePoint ()
团队 Teams 数据类型连接。 OfficeDataConnectorDataTypesTeams (必需)

OfficeDataConnectorDataTypesExchange

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

OfficeDataConnectorDataTypesSharePoint

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

OfficeDataConnectorDataTypesTeams

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

Office365ProjectDataConnector

名称 说明
kind 数据连接器类型 “Office365Project” (必需)
properties Office Microsoft Project 数据连接器属性。 Office365ProjectDataConnectorProperties

Office365ProjectDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 Office365ProjectConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

Office365ProjectConnectorDataTypes

名称 说明
日志 日志数据类型。 Office365ProjectConnectorDataTypesLogs (必需)

Office365ProjectConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

OfficeATPDataConnector

名称 说明
kind 数据连接器类型 “OfficeATP” (必需)
properties OfficeATP (Office 365高级威胁防护) 数据连接器属性。 OfficeATPDataConnectorProperties

OfficeATPDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficeIRMDataConnector

名称 说明
kind 数据连接器类型 “OfficeIRM” (必需)
properties OfficeIRM (Microsoft Insider Risk Management) 数据连接器属性。 OfficeIRMDataConnectorProperties

OfficeIRMDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficePowerBIDataConnector

名称 说明
kind 数据连接器类型 “OfficePowerBI” (必需)
properties Office Microsoft PowerBI 数据连接器属性。 OfficePowerBIDataConnectorProperties

OfficePowerBIDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 OfficePowerBIConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficePowerBIConnectorDataTypes

名称 说明
日志 日志数据类型。 OfficePowerBIConnectorDataTypesLogs (必需)

OfficePowerBIConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

TIDataConnector

名称 说明
kind 数据连接器类型 “ThreatIntelligence” (必需的)
properties TI (威胁情报) 数据连接器属性。 TIDataConnectorProperties

TIDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 TIDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)
tipLookbackPeriod 要导入的源的回溯期。 string

TIDataConnectorDataTypes

名称 说明
指标 指示器连接的数据类型。 TIDataConnectorDataTypesIndicators (必需的)

TIDataConnectorDataTypesIndicators

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

TiTaxiiDataConnector

名称 说明
kind 数据连接器类型 “ThreatIntelligenceTaxii” (必需)
properties 威胁智能 TAXII 数据连接器属性。 TiTaxiiDataConnectorProperties

TiTaxiiDataConnectorProperties

名称 说明
collectionId TAXII 服务器的集合 ID。 string
dataTypes 威胁智能 TAXII 数据连接器的可用数据类型。 TiTaxiiDataConnectorDataTypes (必需)
friendlyName TAXII 服务器的友好名称。 string
password TAXII 服务器的密码。 string
pollingFrequency TAXII 服务器的轮询频率。 “OnceADay”
“OnceAMinute”
“OnceAnHour” (必需)
taxiiLookbackPeriod TAXII 服务器的回溯期。 string
taxiiServer TAXII 服务器的 API 根。 string
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)
userName TAXII 服务器的 userName。 string
workspaceId 工作区 ID。 string

TiTaxiiDataConnectorDataTypes

名称 说明
taxiiClient TAXII 连接器的数据类型。 TiTaxiiDataConnectorDataTypesTaxiiClient (必需)

TiTaxiiDataConnectorDataTypesTaxiiClient

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

ARM 模板资源定义

dataConnectors 资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。

scope使用此资源上的 属性可设置此资源的范围。 请参阅 在 ARM 模板中设置扩展资源的范围

有关每个 API 版本中更改的属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.SecurityInsights/dataConnectors 资源,请将以下 JSON 添加到模板。

{
  "type": "Microsoft.SecurityInsights/dataConnectors",
  "apiVersion": "2022-06-01-preview",
  "name": "string",
  "kind": "string",
  "scope": "string",
  "etag": "string",
  // For remaining properties, see dataConnectors objects
}

dataConnectors 对象

设置 kind 属性以指定对象的类型。

对于 AmazonWebServicesCloudTrail,请使用:

  "kind": "AmazonWebServicesCloudTrail",
  "properties": {
    "dataTypes": {
      "logs": {
        "state": "string"
      }
    }
  }

对于 AmazonWebServicesS3,请使用:

  "kind": "AmazonWebServicesS3",
  "properties": {
    "dataTypes": {
      "logs": {
        "state": "string"
      }
    },
    "destinationTable": "string",
    "roleArn": "string",
    "sqsUrls": [ "string" ]
  }

对于 APIPolling,请使用:

  "kind": "APIPolling",
  "properties": {
    "connectorUiConfig": {
      "availability": {
        "isPreview": "bool",
        "status": "1"
      },
      "connectivityCriteria": [
        {
          "type": "IsConnectedQuery",
          "value": [ "string" ]
        }
      ],
      "customImage": "string",
      "dataTypes": [
        {
          "lastDataReceivedQuery": "string",
          "name": "string"
        }
      ],
      "descriptionMarkdown": "string",
      "graphQueries": [
        {
          "baseQuery": "string",
          "legend": "string",
          "metricName": "string"
        }
      ],
      "graphQueriesTableName": "string",
      "instructionSteps": [
        {
          "description": "string",
          "instructions": [
            {
              "parameters": {},
              "type": "string"
            }
          ],
          "title": "string"
        }
      ],
      "permissions": {
        "customs": [
          {
            "description": "string",
            "name": "string"
          }
        ],
        "resourceProvider": [
          {
            "permissionsDisplayText": "string",
            "provider": "string",
            "providerDisplayName": "string",
            "requiredPermissions": {
              "action": "bool",
              "delete": "bool",
              "read": "bool",
              "write": "bool"
            },
            "scope": "string"
          }
        ]
      },
      "publisher": "string",
      "sampleQueries": [
        {
          "description": "string",
          "query": "string"
        }
      ],
      "title": "string"
    },
    "pollingConfig": {
      "auth": {
        "apiKeyIdentifier": "string",
        "apiKeyName": "string",
        "authorizationEndpoint": "string",
        "authorizationEndpointQueryParameters": {},
        "authType": "string",
        "flowName": "string",
        "isApiKeyInPostPayload": "string",
        "isClientSecretInHeader": "bool",
        "redirectionEndpoint": "string",
        "scope": "string",
        "tokenEndpoint": "string",
        "tokenEndpointHeaders": {},
        "tokenEndpointQueryParameters": {}
      },
      "isActive": "bool",
      "paging": {
        "nextPageParaName": "string",
        "nextPageTokenJsonPath": "string",
        "pageCountAttributePath": "string",
        "pageSize": "int",
        "pageSizeParaName": "string",
        "pageTimeStampAttributePath": "string",
        "pageTotalCountAttributePath": "string",
        "pagingType": "string",
        "searchTheLatestTimeStampFromEventsList": "string"
      },
      "request": {
        "apiEndpoint": "string",
        "endTimeAttributeName": "string",
        "headers": {},
        "httpMethod": "string",
        "queryParameters": {},
        "queryParametersTemplate": "string",
        "queryTimeFormat": "string",
        "queryWindowInMin": "int",
        "rateLimitQps": "int",
        "retryCount": "int",
        "startTimeAttributeName": "string",
        "timeoutInSeconds": "int"
      },
      "response": {
        "eventsJsonPaths": [ "string" ],
        "isGzipCompressed": "bool",
        "successStatusJsonPath": "string",
        "successStatusValue": "string"
      }
    }
  }

对于 AzureActiveDirectory,请使用:

  "kind": "AzureActiveDirectory",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 AzureAdvancedThreatProtection,请使用:

  "kind": "AzureAdvancedThreatProtection",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 AzureSecurityCenter,请使用:

  "kind": "AzureSecurityCenter",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      }
    },
    "subscriptionId": "string"
  }

对于 Dynamics365,请使用:

  "kind": "Dynamics365",
  "properties": {
    "dataTypes": {
      "dynamics365CdsActivities": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 GenericUI,请使用:

  "kind": "GenericUI",
  "properties": {
    "connectorUiConfig": {
      "availability": {
        "isPreview": "bool",
        "status": "1"
      },
      "connectivityCriteria": [
        {
          "type": "IsConnectedQuery",
          "value": [ "string" ]
        }
      ],
      "customImage": "string",
      "dataTypes": [
        {
          "lastDataReceivedQuery": "string",
          "name": "string"
        }
      ],
      "descriptionMarkdown": "string",
      "graphQueries": [
        {
          "baseQuery": "string",
          "legend": "string",
          "metricName": "string"
        }
      ],
      "graphQueriesTableName": "string",
      "instructionSteps": [
        {
          "description": "string",
          "instructions": [
            {
              "parameters": {},
              "type": "string"
            }
          ],
          "title": "string"
        }
      ],
      "permissions": {
        "customs": [
          {
            "description": "string",
            "name": "string"
          }
        ],
        "resourceProvider": [
          {
            "permissionsDisplayText": "string",
            "provider": "string",
            "providerDisplayName": "string",
            "requiredPermissions": {
              "action": "bool",
              "delete": "bool",
              "read": "bool",
              "write": "bool"
            },
            "scope": "string"
          }
        ]
      },
      "publisher": "string",
      "sampleQueries": [
        {
          "description": "string",
          "query": "string"
        }
      ],
      "title": "string"
    }
  }

对于 IOT,请使用:

  "kind": "IOT",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      }
    },
    "subscriptionId": "string"
  }

对于 MicrosoftCloudAppSecurity,请使用:

  "kind": "MicrosoftCloudAppSecurity",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      },
      "discoveryLogs": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 MicrosoftDefenderAdvancedThreatProtection,请使用:

  "kind": "MicrosoftDefenderAdvancedThreatProtection",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 MicrosoftThreatIntelligence,请使用:

  "kind": "MicrosoftThreatIntelligence",
  "properties": {
    "dataTypes": {
      "bingSafetyPhishingURL": {
        "lookbackPeriod": "string",
        "state": "string"
      },
      "microsoftEmergingThreatFeed": {
        "lookbackPeriod": "string",
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 MicrosoftThreatProtection,请使用:

  "kind": "MicrosoftThreatProtection",
  "properties": {
    "dataTypes": {
      "incidents": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 Office365,请使用:

  "kind": "Office365",
  "properties": {
    "dataTypes": {
      "exchange": {
        "state": "string"
      },
      "sharePoint": {
        "state": "string"
      },
      "teams": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 Office365Project,请使用:

  "kind": "Office365Project",
  "properties": {
    "dataTypes": {
      "logs": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 OfficeATP,请使用:

  "kind": "OfficeATP",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 OfficeIRM,请使用:

  "kind": "OfficeIRM",
  "properties": {
    "dataTypes": {
      "alerts": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 OfficePowerBI,请使用:

  "kind": "OfficePowerBI",
  "properties": {
    "dataTypes": {
      "logs": {
        "state": "string"
      }
    },
    "tenantId": "string"
  }

对于 ThreatIntelligence,请使用:

  "kind": "ThreatIntelligence",
  "properties": {
    "dataTypes": {
      "indicators": {
        "state": "string"
      }
    },
    "tenantId": "string",
    "tipLookbackPeriod": "string"
  }

对于 ThreatIntelligenceTaxii,请使用:

  "kind": "ThreatIntelligenceTaxii",
  "properties": {
    "collectionId": "string",
    "dataTypes": {
      "taxiiClient": {
        "state": "string"
      }
    },
    "friendlyName": "string",
    "password": "string",
    "pollingFrequency": "string",
    "taxiiLookbackPeriod": "string",
    "taxiiServer": "string",
    "tenantId": "string",
    "userName": "string",
    "workspaceId": "string"
  }

属性值

dataConnectors

名称 说明 Value
type 资源类型 'Microsoft.SecurityInsights/dataConnectors'
apiVersion 资源 API 版本 “2022-06-01-preview”
name 资源名称 字符串 (必需)
kind 设置对象类型 AmazonWebServicesCloudTrail
AmazonWebServicesS3
APIPolling
AzureActiveDirectory
AzureAdvancedThreatProtection
Azure安全Center
Dynamics365
GenericUI
IOT
MicrosoftCloudAppSecurity
MicrosoftDefenderAdvancedThreatProtection
MicrosoftThreatIntelligence
MicrosoftThreatProtection
Office365
Office365Project
OfficeATP
OfficeIRM
OfficePowerBI
ThreatIntelligence
ThreatIntelligenceTaxii (必需)
scope 在与部署范围不同的范围创建扩展资源时使用 。 目标资源

对于 JSON,请将值设置为要向其应用 扩展资源 的资源的全名。
etag Azure 资源的 Etag string

AwsCloudTrailDataConnector

名称 说明
kind 数据连接器类型 “AmazonWebServicesCloudTrail” (必需)
properties Amazon Web Services CloudTrail 数据连接器属性。 AwsCloudTrailDataConnectorProperties

AwsCloudTrailDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 需要 awsCloudTrailDataConnectorDataTypes ()

AwsCloudTrailDataConnectorDataTypes

名称 说明
日志 日志数据类型。 AwsCloudTrailDataConnectorDataTypesLogs (必需的)

AwsCloudTrailDataConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

AwsS3DataConnector

名称 说明
kind 数据连接器类型 需要“AmazonWebServicesS3” ()
properties Amazon Web Services S3 数据连接器属性。 AwsS3DataConnectorProperties

AwsS3DataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AwsS3DataConnectorDataTypes (必需的)
destinationTable LogAnalytics 中的日志目标表名称。 字符串 (必需)
roleArn 用于访问 Aws 帐户的 Aws Role Arn。 字符串 (必需)
sqsUrls 连接器的 AWS sqs URL。 string[] (必需的)

AwsS3DataConnectorDataTypes

名称 说明
日志 日志数据类型。 需要 awsS3DataConnectorDataTypesLogs ()

AwsS3DataConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

CodelessApiPollingDataConnector

名称 说明
kind 数据连接器类型 “APIPolling” (必需)
properties 无代码 Poling 数据连接器属性 ApiPollingParameters

ApiPollingParameters

名称 说明
connectorUiConfig 配置说明边栏选项卡 CodelessUiConnectorConfigProperties
pollingConfig 用于描述轮询说明的配置 CodelessConnectorPollingConfigProperties

CodelessUiConnectorConfigProperties

名称 说明
availability 连接器可用性状态 可用性 (必需)
connectivityCriteria 定义连接器检查连接的方式 CodelessUiConnectorConfigPropertiesConnectivityCrite...[] (必需的)
customImage 在 Azure Sentinel 的连接器库中显示连接器时要使用的可选自定义图像 字符串
dataTypes 要检查上次接收数据的数据类型 CodelessUiConnectorConfigPropertiesDataTypesItem[] (必需的)
descriptionMarkdown 连接器说明 字符串 (必需)
graphQueries 用于显示当前数据状态的图形查询 CodelessUiConnectorConfigPropertiesGraphQueriesItem[] (必需的)
graphQueriesTableName 连接器将数据插入到的表的名称 字符串 (必需)
instructionSteps 启用连接器的说明步骤 CodelessUiConnectorConfigPropertiesInstructionStepsI...[] (必需的)
权限 连接器所需的权限 所需的权限 ()
publisher 连接器发布者名称 字符串 (必需)
sampleQueries 连接器的示例查询 CodelessUiConnectorConfigPropertiesSampleQueriesItem[] (必需的)
title 连接器边栏选项卡标题 字符串 (必需)

可用性

名称 说明
isPreview 将连接器设置为预览版 bool
status 连接器可用性状态 '1'

CodelessUiConnectorConfigPropertiesConnectivityCrite...

名称 说明 Value
type 连接类型 “IsConnectedQuery”
用于检查连接的查询 string[]

CodelessUiConnectorConfigPropertiesDataTypesItem

名称 说明
lastDataReceivedQuery 查询 指示上次接收的数据 string
name 要显示在图中的数据类型的名称。 可与 {{graphQueriesTableName}} 占位符一起使用 字符串

CodelessUiConnectorConfigPropertiesGraphQueriesItem

名称 说明
baseQuery 图形的基本查询 字符串
图例 (legend) 图形的图例 字符串
metricName 查询正在检查的指标 string

CodelessUiConnectorConfigPropertiesInstructionStepsI...

名称 说明
description 说明步骤说明 字符串
说明 说明步骤详细信息 InstructionStepsInstructionsItem[]
title 指令步骤标题 字符串

InstructionStepsInstructionsItem

名称 说明
parameters 设置的参数
type 设置的类型 “CopyableLabel”
“InfoMessage”
“InstructionStepsGroup” (必需的)

权限

名称 说明
customs 连接器所需的海关权限 PermissionsCustomsItem[]
resourceProvider 连接器所需的资源提供程序权限 PermissionsResourceProviderItem[]

PermissionsCustomsItem

名称 说明
description 海关权限说明 字符串
name 海关权限名称 字符串

PermissionsResourceProviderItem

名称 说明
permissionsDisplayText 权限说明文本 字符串
provider 提供程序名称 “Microsoft.Authorization/policyAssignments”
“Microsoft.OperationalInsights/solutions”
“Microsoft.OperationalInsights/workspaces”
“Microsoft.OperationalInsights/workspaces/datasources”
“Microsoft.OperationalInsights/workspaces/sharedKeys”
'microsoft.aadiam/diagnosticSettings'
providerDisplayName 权限提供程序显示名称 字符串
requiredPermissions 连接器所需的权限 RequiredPermissions
scope 权限提供程序范围 “ResourceGroup”
“Subscription”
“工作区”

RequiredPermissions

名称 说明
action 操作权限 bool
delete 删除权限 bool
读取 读取权限 bool
写入 写入权限 bool

CodelessUiConnectorConfigPropertiesSampleQueriesItem

名称 说明
description 示例查询说明 string
query 示例查询 string

CodelessConnectorPollingConfigProperties

名称 说明
auth 描述轮询服务器的身份验证类型 CodelessConnectorPollingAuthProperties (必需)
isActive 轮询程序的活动状态 bool
分页 描述轮询器的请求分页配置 CodelessConnectorPollingPagingProperties
request 描述轮询程序轮询请求配置参数 CodelessConnectorPollingRequestProperties (必需)
响应 描述轮询器响应配置参数 CodelessConnectorPollingResponseProperties

CodelessConnectorPollingAuthProperties

名称 说明
apiKeyIdentifier 在标头中发送实际令牌之前的前缀 string
apiKeyName 用于发送令牌的标头名称 string
authorizationEndpoint 用于授权用户的终结点,在 Oauth 2.0 流中使用 string
authorizationEndpointQueryParameters 授权请求中使用的查询参数,在 Oauth 2.0 流中使用
authType 身份验证类型 字符串 (必需)
flowName 描述流名称,例如 Oauth 2.0 的“AuthCode” string
isApiKeyInPostPayload 标记键是否应在标头中发送 string
isClientSecretInHeader 标记是否应在 Oauth 2.0 流中使用的标头或有效负载中发送客户端密码 bool
重定向Endpoint 将获取 Oauth 2.0 流中使用的授权代码的重定向终结点 string
scope OAuth 令牌范围 string
tokenEndpoint 用于颁发令牌的终结点,在 Oauth 2.0 流中使用 string
tokenEndpointHeaders 令牌请求中使用的查询标头,在 Oauth 2.0 流中使用
tokenEndpointQueryParameters 令牌请求中使用的查询参数,在 Oauth 2.0 流中使用

CodelessConnectorPollingPagingProperties

名称 说明
nextPageParaName 定义下一页属性的名称 string
nextPageTokenJsonPath 定义下一页令牌 JSON 的路径 string
pageCountAttributePath 定义页计数属性的路径 string
pageSize 定义分页大小 int
pageSizeParaName 定义页面大小参数的名称 string
pageTimeStampAttributePath 定义分页时间戳属性的路径 string
pageTotalCountAttributePath 定义页总计计数属性的路径 string
pagingType 描述类型。 可以是“None”、“PageToken”、“PageCount”、“TimeStamp” 字符串 (必需)
searchTheLatestTimeStampFromEventsList 确定是否在事件列表中搜索最新的时间戳 string

CodelessConnectorPollingRequestProperties

名称 说明
apiEndpoint 描述应从中提取数据的终结点 字符串 (必需)
endTimeAttributeName 这将用于时间窗口结束时的查询事件 string
headers 描述在轮询请求中发送的标头
httpMethod 我们将在轮询请求中使用的 http 方法类型:GET 或 POST 字符串 (必需)
queryParameters 描述在轮询请求中发送的查询参数
queryParametersTemplate 对于高级方案,例如嵌入在嵌套 JSON 有效负载中的用户名/密码 string
queryTimeFormat 时间格式将用于特定窗口中的查询事件 字符串 (必需)
queryWindowInMin 我们将使用拉取数据的窗口间隔 int (必需)
rateLimitQps 定义速率限制 QPS int
retryCount 描述在发生故障时应尝试和轮询数据的时间 int
startTimeAttributeName 这将用于从时间窗口开始的查询事件 字符串
timeoutInSeconds 我们将被视为请求超时的秒数 int

CodelessConnectorPollingResponseProperties

名称 说明
eventsJsonPaths 描述应在响应中提取数据的路径 string[] (必需)
isGzipCompressed 描述响应中的数据是否为 Gzip bool
successStatusJsonPath 描述应在响应中提取状态代码的路径 string
successStatusValue 描述应在响应中提取状态值的路径 字符串

AADDataConnector

名称 说明
kind 数据连接器类型 “AzureActiveDirectory” ()
properties AAD (Azure Active Directory) 数据连接器属性。 AADDataConnectorProperties

AADDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

AlertsDataTypeOfDataConnector

名称 说明
alerts 警报数据类型连接。 DataConnectorDataTypeCommon (所需的)

DataConnectorDataTypeCommon

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

AatpDataConnector

名称 说明
kind 数据连接器类型 “AzureAdvancedThreatProtection” (必需)
properties AATP (Azure 高级威胁防护) 数据连接器属性。 AatpDataConnectorProperties

AatpDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

ASCDataConnector

名称 说明
kind 数据连接器类型 “AzureSecurityCenter” (必需)
properties ASC (Azure 安全中心) 数据连接器属性。 ASCDataConnectorProperties

ASCDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
subscriptionId 要连接到并从中获取数据的订阅 ID。 string

Dynamics365DataConnector

名称 说明
kind 数据连接器类型 “Dynamics365” (必需)
properties Dynamics365 数据连接器属性。 Dynamics365DataConnectorProperties

Dynamics365DataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 Dynamics365DataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

Dynamics365DataConnectorDataTypes

名称 说明
dynamics365CdsActivities Common Data Service 数据类型连接。 Dynamics365DataConnectorDataTypesDynamics365CdsActiv... 所需的 ()

Dynamics365DataConnectorDataTypesDynamics365CdsActiv...

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

CodelessUiDataConnector

名称 说明
kind 数据连接器类型 需要“GenericUI” ()
properties 无代码 UI 数据连接器属性 CodelessParameters

CodelessParameters

名称 说明
connectorUiConfig 配置说明边栏选项卡 CodelessUiConnectorConfigProperties

IoTDataConnector

名称 说明
kind 数据连接器类型 “IOT” (必需)
properties IoT 数据连接器属性。 IoTDataConnectorProperties

IoTDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
subscriptionId 要连接到并从中获取数据的订阅 ID。 字符串

McasDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftCloudAppSecurity” (必需的)
properties MCAS (Microsoft Cloud App Security) 数据连接器属性。 McasDataConnectorProperties

McasDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 McasDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

McasDataConnectorDataTypes

名称 说明
alerts 警报数据类型连接。 需要 DataConnectorDataTypeCommon ()
discoveryLogs 发现日志数据类型连接。 DataConnectorDataTypeCommon

MdatpDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftDefenderAdvancedThreatProtection” (必需)
properties MDATP (Microsoft Defender高级威胁防护) 数据连接器属性。 MdatpDataConnectorProperties

MdatpDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MstiDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftThreatIntelligence” (必需的)
properties Microsoft 威胁情报数据连接器属性。 MstiDataConnectorProperties

MstiDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 MstiDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MstiDataConnectorDataTypes

名称 说明
bingSafetyPhishingURL Microsoft 威胁智能平台数据连接器的数据类型。 MstiDataConnectorDataTypesBingSafetyPhishingURL (必需的)
microsoftEmergingThreatFeed Microsoft 威胁智能平台数据连接器的数据类型。 MstiDataConnectorDataTypesMicrosoftEmergingThreatFee... 所需的 ()

MstiDataConnectorDataTypesBingSafetyPhishingURL

名称 说明
lookbackPeriod 回溯期 字符串 (必需)
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

MstiDataConnectorDataTypesMicrosoftEmergingThreatFee...

名称 说明
lookbackPeriod 回溯期 字符串 (必需)
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

MTPDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftThreatProtection” (必需)
properties MTP (Microsoft 威胁防护) 数据连接器属性。 MTPDataConnectorProperties

MTPDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 MTPDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MTPDataConnectorDataTypes

名称 说明
incidents Microsoft 威胁防护平台数据连接器的数据类型。 MTPDataConnectorDataTypesIncidents (必需)

MTPDataConnectorDataTypesIncidents

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

OfficeDataConnector

名称 说明
kind 数据连接器类型 需要“Office365” ()
properties Office 数据连接器属性。 OfficeDataConnectorProperties

OfficeDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 OfficeDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficeDataConnectorDataTypes

名称 说明
交易所 Exchange 数据类型连接。 OfficeDataConnectorDataTypesExchange (必需)
Sharepoint SharePoint 数据类型连接。 需要 OfficeDataConnectorDataTypesSharePoint ()
团队 Teams 数据类型连接。 OfficeDataConnectorDataTypesTeams (必需)

OfficeDataConnectorDataTypesExchange

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

OfficeDataConnectorDataTypesSharePoint

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

OfficeDataConnectorDataTypesTeams

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

Office365ProjectDataConnector

名称 说明
kind 数据连接器类型 “Office365Project” (必需)
properties Office Microsoft Project 数据连接器属性。 Office365ProjectDataConnectorProperties

Office365ProjectDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 Office365ProjectConnectorDataTypes (必需的)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

Office365ProjectConnectorDataTypes

名称 说明
日志 日志数据类型。 Office365ProjectConnectorDataTypesLogs (必需)

Office365ProjectConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

OfficeATPDataConnector

名称 说明
kind 数据连接器类型 “OfficeATP” (必需)
properties OfficeATP (Office 365高级威胁防护) 数据连接器属性。 OfficeATPDataConnectorProperties

OfficeATPDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficeIRMDataConnector

名称 说明
kind 数据连接器类型 “OfficeIRM” (必需)
properties OfficeIRM (Microsoft Insider Risk Management) 数据连接器属性。 OfficeIRMDataConnectorProperties

OfficeIRMDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficePowerBIDataConnector

名称 说明
kind 数据连接器类型 “OfficePowerBI” (必需)
properties Office Microsoft PowerBI 数据连接器属性。 OfficePowerBIDataConnectorProperties

OfficePowerBIDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 OfficePowerBIConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficePowerBIConnectorDataTypes

名称 说明
日志 日志数据类型。 OfficePowerBIConnectorDataTypesLogs (必需)

OfficePowerBIConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

TIDataConnector

名称 说明
kind 数据连接器类型 “ThreatIntelligence” (必需的)
properties TI (威胁情报) 数据连接器属性。 TIDataConnectorProperties

TIDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 TIDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)
tipLookbackPeriod 要导入的源的回溯期。 string

TIDataConnectorDataTypes

名称 说明
指标 指示器连接的数据类型。 TIDataConnectorDataTypesIndicators (必需的)

TIDataConnectorDataTypesIndicators

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

TiTaxiiDataConnector

名称 说明
kind 数据连接器类型 “ThreatIntelligenceTaxii” (必需)
properties 威胁智能 TAXII 数据连接器属性。 TiTaxiiDataConnectorProperties

TiTaxiiDataConnectorProperties

名称 说明
collectionId TAXII 服务器的集合 ID。 string
dataTypes 威胁智能 TAXII 数据连接器的可用数据类型。 TiTaxiiDataConnectorDataTypes (必需)
friendlyName TAXII 服务器的友好名称。 string
password TAXII 服务器的密码。 字符串
pollingFrequency TAXII 服务器的轮询频率。 “OnceADay”
“OnceAMinute”
“OnceAnHour” (必需)
taxiiLookbackPeriod TAXII 服务器的回溯期。 字符串
taxiiServer TAXII 服务器的 API 根。 字符串
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)
userName TAXII 服务器的 userName。 string
workspaceId 工作区 ID。 string

TiTaxiiDataConnectorDataTypes

名称 说明
taxiiClient TAXII 连接器的数据类型。 TiTaxiiDataConnectorDataTypesTaxiiClient (必需)

TiTaxiiDataConnectorDataTypesTaxiiClient

名称 说明
state 描述是否启用此数据类型连接。 'Disabled'
“Enabled” (必需)

Terraform (AzAPI 提供程序) 资源定义

dataConnectors 资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。

parent_id使用此资源上的 属性可设置此资源的作用域。

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.SecurityInsights/dataConnectors 资源,请将以下 Terraform 添加到模板。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/dataConnectors@2022-06-01-preview"
  name = "string"
  parent_id = "string"
  // For remaining properties, see dataConnectors objects
  body = jsonencode({
    kind = "string"
    etag = "string"
  })
}

dataConnectors 对象

设置 kind 属性以指定对象的类型。

对于 AmazonWebServicesCloudTrail,请使用:

  kind = "AmazonWebServicesCloudTrail"
  properties = {
    dataTypes = {
      logs = {
        state = "string"
      }
    }
  }

对于 AmazonWebServicesS3,请使用:

  kind = "AmazonWebServicesS3"
  properties = {
    dataTypes = {
      logs = {
        state = "string"
      }
    }
    destinationTable = "string"
    roleArn = "string"
    sqsUrls = [
      "string"
    ]
  }

对于 APIPolling,请使用:

  kind = "APIPolling"
  properties = {
    connectorUiConfig = {
      availability = {
        isPreview = bool
        status = "1"
      }
      connectivityCriteria = [
        {
          type = "IsConnectedQuery"
          value = [
            "string"
          ]
        }
      ]
      customImage = "string"
      dataTypes = [
        {
          lastDataReceivedQuery = "string"
          name = "string"
        }
      ]
      descriptionMarkdown = "string"
      graphQueries = [
        {
          baseQuery = "string"
          legend = "string"
          metricName = "string"
        }
      ]
      graphQueriesTableName = "string"
      instructionSteps = [
        {
          description = "string"
          instructions = [
            {
              type = "string"
            }
          ]
          title = "string"
        }
      ]
      permissions = {
        customs = [
          {
            description = "string"
            name = "string"
          }
        ]
        resourceProvider = [
          {
            permissionsDisplayText = "string"
            provider = "string"
            providerDisplayName = "string"
            requiredPermissions = {
              action = bool
              delete = bool
              read = bool
              write = bool
            }
            scope = "string"
          }
        ]
      }
      publisher = "string"
      sampleQueries = [
        {
          description = "string"
          query = "string"
        }
      ]
      title = "string"
    }
    pollingConfig = {
      auth = {
        apiKeyIdentifier = "string"
        apiKeyName = "string"
        authorizationEndpoint = "string"
        authType = "string"
        flowName = "string"
        isApiKeyInPostPayload = "string"
        isClientSecretInHeader = bool
        redirectionEndpoint = "string"
        scope = "string"
        tokenEndpoint = "string"
      }
      isActive = bool
      paging = {
        nextPageParaName = "string"
        nextPageTokenJsonPath = "string"
        pageCountAttributePath = "string"
        pageSize = int
        pageSizeParaName = "string"
        pageTimeStampAttributePath = "string"
        pageTotalCountAttributePath = "string"
        pagingType = "string"
        searchTheLatestTimeStampFromEventsList = "string"
      }
      request = {
        apiEndpoint = "string"
        endTimeAttributeName = "string"
        httpMethod = "string"
        queryParametersTemplate = "string"
        queryTimeFormat = "string"
        queryWindowInMin = int
        rateLimitQps = int
        retryCount = int
        startTimeAttributeName = "string"
        timeoutInSeconds = int
      }
      response = {
        eventsJsonPaths = [
          "string"
        ]
        isGzipCompressed = bool
        successStatusJsonPath = "string"
        successStatusValue = "string"
      }
    }
  }

对于 AzureActiveDirectory,请使用:

  kind = "AzureActiveDirectory"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 AzureAdvancedThreatProtection,请使用:

  kind = "AzureAdvancedThreatProtection"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 AzureSecurityCenter,请使用:

  kind = "AzureSecurityCenter"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
    }
    subscriptionId = "string"
  }

对于 Dynamics365,请使用:

  kind = "Dynamics365"
  properties = {
    dataTypes = {
      dynamics365CdsActivities = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 GenericUI,请使用:

  kind = "GenericUI"
  properties = {
    connectorUiConfig = {
      availability = {
        isPreview = bool
        status = "1"
      }
      connectivityCriteria = [
        {
          type = "IsConnectedQuery"
          value = [
            "string"
          ]
        }
      ]
      customImage = "string"
      dataTypes = [
        {
          lastDataReceivedQuery = "string"
          name = "string"
        }
      ]
      descriptionMarkdown = "string"
      graphQueries = [
        {
          baseQuery = "string"
          legend = "string"
          metricName = "string"
        }
      ]
      graphQueriesTableName = "string"
      instructionSteps = [
        {
          description = "string"
          instructions = [
            {
              type = "string"
            }
          ]
          title = "string"
        }
      ]
      permissions = {
        customs = [
          {
            description = "string"
            name = "string"
          }
        ]
        resourceProvider = [
          {
            permissionsDisplayText = "string"
            provider = "string"
            providerDisplayName = "string"
            requiredPermissions = {
              action = bool
              delete = bool
              read = bool
              write = bool
            }
            scope = "string"
          }
        ]
      }
      publisher = "string"
      sampleQueries = [
        {
          description = "string"
          query = "string"
        }
      ]
      title = "string"
    }
  }

对于 IOT,请使用:

  kind = "IOT"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
    }
    subscriptionId = "string"
  }

对于 MicrosoftCloudAppSecurity,请使用:

  kind = "MicrosoftCloudAppSecurity"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
      discoveryLogs = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 MicrosoftDefenderAdvancedThreatProtection,请使用:

  kind = "MicrosoftDefenderAdvancedThreatProtection"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 MicrosoftThreatIntelligence,请使用:

  kind = "MicrosoftThreatIntelligence"
  properties = {
    dataTypes = {
      bingSafetyPhishingURL = {
        lookbackPeriod = "string"
        state = "string"
      }
      microsoftEmergingThreatFeed = {
        lookbackPeriod = "string"
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 MicrosoftThreatProtection,请使用:

  kind = "MicrosoftThreatProtection"
  properties = {
    dataTypes = {
      incidents = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 Office365,请使用:

  kind = "Office365"
  properties = {
    dataTypes = {
      exchange = {
        state = "string"
      }
      sharePoint = {
        state = "string"
      }
      teams = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 Office365Project,请使用:

  kind = "Office365Project"
  properties = {
    dataTypes = {
      logs = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 OfficeATP,请使用:

  kind = "OfficeATP"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 OfficeIRM,请使用:

  kind = "OfficeIRM"
  properties = {
    dataTypes = {
      alerts = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 OfficePowerBI,请使用:

  kind = "OfficePowerBI"
  properties = {
    dataTypes = {
      logs = {
        state = "string"
      }
    }
    tenantId = "string"
  }

对于 ThreatIntelligence,请使用:

  kind = "ThreatIntelligence"
  properties = {
    dataTypes = {
      indicators = {
        state = "string"
      }
    }
    tenantId = "string"
    tipLookbackPeriod = "string"
  }

对于 ThreatIntelligenceTaxii,请使用:

  kind = "ThreatIntelligenceTaxii"
  properties = {
    collectionId = "string"
    dataTypes = {
      taxiiClient = {
        state = "string"
      }
    }
    friendlyName = "string"
    password = "string"
    pollingFrequency = "string"
    taxiiLookbackPeriod = "string"
    taxiiServer = "string"
    tenantId = "string"
    userName = "string"
    workspaceId = "string"
  }

属性值

dataConnectors

名称 说明 Value
type 资源类型 “Microsoft.SecurityInsights/dataConnectors@2022-06-01-preview”
name 资源名称 字符串 (必需)
parent_id 要应用此扩展资源的资源的 ID。 字符串 (必需)
kind 设置对象类型 AmazonWebServicesCloudTrail
AmazonWebServicesS3
APIPolling
AzureActiveDirectory
AzureAdvancedThreatProtection
Azure安全Center
Dynamics365
GenericUI
IOT
MicrosoftCloudAppSecurity
MicrosoftDefenderAdvancedThreatProtection
MicrosoftThreatIntelligence
MicrosoftThreatProtection
Office365
Office365Project
OfficeATP
OfficeIRM
OfficePowerBI
ThreatIntelligence
ThreatIntelligenceTaxii (所需的)
etag Azure 资源的 Etag 字符串

AwsCloudTrailDataConnector

名称 说明
kind 数据连接器类型 “AmazonWebServicesCloudTrail” (必需)
properties Amazon Web Services CloudTrail 数据连接器属性。 AwsCloudTrailDataConnectorProperties

AwsCloudTrailDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AwsCloudTrailDataConnectorDataTypes (必需)

AwsCloudTrailDataConnectorDataTypes

名称 说明
日志 日志数据类型。 AwsCloudTrailDataConnectorDataTypesLogs (所需的)

AwsCloudTrailDataConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

AwsS3DataConnector

名称 说明
kind 数据连接器类型 需要“AmazonWebServicesS3” ()
properties Amazon Web Services S3 数据连接器属性。 AwsS3DataConnectorProperties

AwsS3DataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 需要 awsS3DataConnectorDataTypes ()
destinationTable LogAnalytics 中的日志目标表名称。 字符串 (必需)
roleArn 用于访问 Aws 帐户的 Aws Role Arn。 字符串 (必需)
sqsUrls 连接器的 AWS sqs URL。 string[] (必需)

AwsS3DataConnectorDataTypes

名称 说明
日志 日志数据类型。 AwsS3DataConnectorDataTypesLogs (必需)

AwsS3DataConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

CodelessApiPollingDataConnector

名称 说明
kind 数据连接器类型 需要“APIPolling” ()
properties 无代码 Poling 数据连接器属性 ApiPollingParameters

ApiPollingParameters

名称 说明
connectorUiConfig 用于描述说明边栏选项卡的配置 CodelessUiConnectorConfigProperties
pollingConfig 用于描述轮询说明的配置 CodelessConnectorPollingConfigProperties

CodelessUiConnectorConfigProperties

名称 说明
availability 连接器可用性状态 需要可用性 ()
connectivityCriteria 定义连接器检查连接的方式 CodelessUiConnectorConfigPropertiesConnectivityCrite...[] (必需)
customImage 在 Azure Sentinel 的连接器库中显示连接器时要使用的可选自定义图像 string
dataTypes 要检查上次接收数据的数据类型 CodelessUiConnectorConfigPropertiesDataTypesItem[] (必需的)
descriptionMarkdown 连接器说明 字符串 (必需)
graphQueries 用于显示当前数据状态的图形查询 CodelessUiConnectorConfigPropertiesGraphQueriesItem[] (必需的)
graphQueriesTableName 连接器将数据插入到的表的名称 字符串 (必需)
instructionSteps 启用连接器的说明步骤 CodelessUiConnectorConfigPropertiesInstructionStepsI...[] (必需)
权限 连接器所需的权限 所需的权限 ()
publisher 连接器发布者名称 字符串 (必需)
sampleQueries 连接器的示例查询 CodelessUiConnectorConfigPropertiesSampleQueriesItem[] (必需的)
title 连接器边栏选项卡标题 字符串 (必需)

可用性

名称 说明
isPreview 将连接器设置为预览版 bool
status 连接器可用性状态 "1"

CodelessUiConnectorConfigPropertiesConnectivityCrite...

名称 说明 Value
type 连接类型 “IsConnectedQuery”
用于检查连接的查询 string[]

CodelessUiConnectorConfigPropertiesDataTypesItem

名称 说明
lastDataReceivedQuery 查询 指示上次接收的数据 字符串
name 要显示在图中的数据类型的名称。 可与 {{graphQueriesTableName}} 占位符一起使用 字符串

CodelessUiConnectorConfigPropertiesGraphQueriesItem

名称 说明
baseQuery 图形的基本查询 字符串
图例 (legend) 图形的图例 string
metricName 查询正在检查的指标 string

CodelessUiConnectorConfigPropertiesInstructionStepsI...

名称 说明
description 说明步骤说明 字符串
说明 说明步骤详细信息 InstructionStepsInstructionsItem[]
title 指令步骤标题 字符串

InstructionStepsInstructionsItem

名称 说明
parameters 设置的参数
type 设置的类型 “CopyableLabel”
“InfoMessage”
“InstructionStepsGroup” (必需)

权限

名称 说明
customs 连接器所需的海关权限 PermissionsCustomsItem[]
resourceProvider 连接器所需的资源提供程序权限 PermissionsResourceProviderItem[]

PermissionsCustomsItem

名称 说明
description 海关权限说明 字符串
name 海关权限名称 字符串

PermissionsResourceProviderItem

名称 说明
permissionsDisplayText 权限说明文本 字符串
provider 提供程序名称 “Microsoft.Authorization/policyAssignments”
“Microsoft.OperationalInsights/solutions”
“Microsoft.OperationalInsights/workspaces”
“Microsoft.OperationalInsights/workspaces/datasources”
“Microsoft.OperationalInsights/workspaces/sharedKeys”
“microsoft.aadiam/diagnosticSettings”
providerDisplayName 权限提供程序显示名称 string
requiredPermissions 连接器所需的权限 RequiredPermissions
scope 权限提供程序范围 “ResourceGroup”
“订阅”
“工作区”

RequiredPermissions

名称 说明
action 操作权限 bool
delete 删除权限 bool
读取 读取权限 bool
写入 写入权限 bool

CodelessUiConnectorConfigPropertiesSampleQueriesItem

名称 说明
description 示例查询说明 string
query 示例查询 string

CodelessConnectorPollingConfigProperties

名称 说明
auth 描述轮询服务器的身份验证类型 CodelessConnectorPollingAuthProperties (必需)
isActive 轮询程序的活动状态 bool
分页 描述轮询器的请求分页配置 CodelessConnectorPollingPagingProperties
request 描述轮询程序轮询请求配置参数 CodelessConnectorPollingRequestProperties (必需)
响应 描述轮询器响应配置参数 CodelessConnectorPollingResponseProperties

CodelessConnectorPollingAuthProperties

名称 说明
apiKeyIdentifier 在标头中发送实际令牌之前的前缀 string
apiKeyName 用于发送令牌的标头名称 string
authorizationEndpoint 用于授权用户的终结点,在 Oauth 2.0 流中使用 string
authorizationEndpointQueryParameters 授权请求中使用的查询参数,在 Oauth 2.0 流中使用
authType 身份验证类型 字符串 (必需)
flowName 描述流名称,例如 Oauth 2.0 的“AuthCode” string
isApiKeyInPostPayload 标记键是否应在标头中发送 string
isClientSecretInHeader 标记是否应在 Oauth 2.0 流中使用的标头或有效负载中发送客户端密码 bool
重定向Endpoint 将获取 Oauth 2.0 流中使用的授权代码的重定向终结点 string
scope OAuth 令牌范围 string
tokenEndpoint 用于颁发令牌的终结点,在 Oauth 2.0 流中使用 string
tokenEndpointHeaders 令牌请求中使用的查询标头,在 Oauth 2.0 流中使用
tokenEndpointQueryParameters 令牌请求中使用的查询参数,在 Oauth 2.0 流中使用

CodelessConnectorPollingPagingProperties

名称 说明
nextPageParaName 定义下一页属性的名称 字符串
nextPageTokenJsonPath 定义下一页令牌 JSON 的路径 字符串
pageCountAttributePath 定义页计数属性的路径 字符串
pageSize 定义分页大小 int
pageSizeParaName 定义页面大小参数的名称 string
pageTimeStampAttributePath 定义分页时间戳属性的路径 字符串
pageTotalCountAttributePath 定义页总计计数属性的路径 字符串
pagingType 描述类型。 可以是“None”、“PageToken”、“PageCount”、“TimeStamp” 字符串 (必需)
searchTheLatestTimeStampFromEventsList 确定是否在事件列表中搜索最新的时间戳 字符串

CodelessConnectorPollingRequestProperties

名称 说明
apiEndpoint 描述应从中提取数据的终结点 字符串 (必需)
endTimeAttributeName 这将用于时间窗口结束时的查询事件 string
headers 描述轮询请求中发送的标头
httpMethod 我们将在轮询请求中使用的 http 方法类型 GET 或 POST 字符串 (必需)
queryParameters 描述在轮询请求中发送的查询参数
queryParametersTemplate 对于高级方案,例如嵌套 JSON 有效负载中嵌入的用户名/密码 字符串
queryTimeFormat 将在特定窗口中使用查询事件的时间格式 字符串 (必需)
queryWindowInMin 我们将使用拉取数据的窗口间隔 int (必需)
rateLimitQps 定义速率限制 QPS int
retryCount 描述在发生故障时应尝试轮询数据的时间量 int
startTimeAttributeName 这将用于从时间窗口开始的查询事件 string
timeoutInSeconds 我们将视为请求超时的秒数 int

CodelessConnectorPollingResponseProperties

名称 说明
eventsJsonPaths 描述应在响应中提取数据的路径 string[] (必需的)
isGzipCompressed 描述响应中的数据是否为 Gzip bool
successStatusJsonPath 描述应在响应中提取状态代码的路径 string
successStatusValue 描述应在响应中提取状态值的路径 字符串

AADDataConnector

名称 说明
kind 数据连接器类型 “AzureActiveDirectory” (必需)
properties AAD (Azure Active Directory) 数据连接器属性。 AADDataConnectorProperties

AADDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

AlertsDataTypeOfDataConnector

名称 说明
alerts 警报数据类型连接。 需要 DataConnectorDataTypeCommon ()

DataConnectorDataTypeCommon

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

AatpDataConnector

名称 说明
kind 数据连接器类型 “AzureAdvancedThreatProtection” (必需)
properties AATP (Azure 高级威胁防护) 数据连接器属性。 AatpDataConnectorProperties

AatpDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

ASCDataConnector

名称 说明
kind 数据连接器类型 “AzureSecurityCenter” (必需)
properties ASC (Azure 安全中心) 数据连接器属性。 ASCDataConnectorProperties

ASCDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
subscriptionId 要连接到并从中获取数据的订阅 ID。 string

Dynamics365DataConnector

名称 说明
kind 数据连接器类型 “Dynamics365” (必需)
properties Dynamics365 数据连接器属性。 Dynamics365DataConnectorProperties

Dynamics365DataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 Dynamics365DataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

Dynamics365DataConnectorDataTypes

名称 说明
dynamics365CdsActivities Common Data Service 数据类型连接。 Dynamics365DataConnectorDataTypesDynamics365CdsActiv... 所需的 ()

Dynamics365DataConnectorDataTypesDynamics365CdsActiv...

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

CodelessUiDataConnector

名称 说明
kind 数据连接器类型 “GenericUI” (必需)
properties 无代码 UI 数据连接器属性 CodelessParameters

CodelessParameters

名称 说明
connectorUiConfig 配置说明边栏选项卡 CodelessUiConnectorConfigProperties

IoTDataConnector

名称 说明
kind 数据连接器类型 “IOT” (必需)
properties IoT 数据连接器属性。 IoTDataConnectorProperties

IoTDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
subscriptionId 要连接到并从中获取数据的订阅 ID。 string

McasDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftCloudAppSecurity” (必需)
properties MCAS (Microsoft Cloud App Security) 数据连接器属性。 McasDataConnectorProperties

McasDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 McasDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

McasDataConnectorDataTypes

名称 说明
alerts 警报数据类型连接。 需要 DataConnectorDataTypeCommon ()
discoveryLogs 发现日志数据类型连接。 DataConnectorDataTypeCommon

MdatpDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftDefenderAdvancedThreatProtection” (必需)
properties MDATP (Microsoft Defender高级威胁防护) 数据连接器属性。 MdatpDataConnectorProperties

MdatpDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MstiDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftThreatIntelligence” (必需的)
properties Microsoft 威胁情报数据连接器属性。 MstiDataConnectorProperties

MstiDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 MstiDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MstiDataConnectorDataTypes

名称 说明
bingSafetyPhishingURL Microsoft 威胁智能平台数据连接器的数据类型。 MstiDataConnectorDataTypesBingSafetyPhishingURL (必需的)
microsoftEmergingThreatFeed Microsoft 威胁智能平台数据连接器的数据类型。 MstiDataConnectorDataTypesMicrosoftEmergingThreatFee... 所需的 ()

MstiDataConnectorDataTypesBingSafetyPhishingURL

名称 说明
lookbackPeriod 回溯期 字符串 (必需)
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

MstiDataConnectorDataTypesMicrosoftEmergingThreatFee...

名称 说明
lookbackPeriod 回溯期 字符串 (必需)
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

MTPDataConnector

名称 说明
kind 数据连接器类型 “MicrosoftThreatProtection” (必需)
properties MTP (Microsoft 威胁防护) 数据连接器属性。 MTPDataConnectorProperties

MTPDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 MTPDataConnectorDataTypes (必需的)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

MTPDataConnectorDataTypes

名称 说明
incidents Microsoft 威胁防护平台数据连接器的数据类型。 MTPDataConnectorDataTypesIncidents (必需)

MTPDataConnectorDataTypesIncidents

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

OfficeDataConnector

名称 说明
kind 数据连接器类型 “Office365” (必需)
properties Office 数据连接器属性。 OfficeDataConnectorProperties

OfficeDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 OfficeDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficeDataConnectorDataTypes

名称 说明
交易所 Exchange 数据类型连接。 OfficeDataConnectorDataTypesExchange (必需)
Sharepoint SharePoint 数据类型连接。 OfficeDataConnectorDataTypesSharePoint (必需)
团队 Teams 数据类型连接。 OfficeDataConnectorDataTypesTeams (必需)

OfficeDataConnectorDataTypesExchange

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

OfficeDataConnectorDataTypesSharePoint

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

OfficeDataConnectorDataTypesTeams

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

Office365ProjectDataConnector

名称 说明
kind 数据连接器类型 “Office365Project” (必需)
properties Office Microsoft Project 数据连接器属性。 Office365ProjectDataConnectorProperties

Office365ProjectDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 Office365ProjectConnectorDataTypes (必需的)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

Office365ProjectConnectorDataTypes

名称 说明
日志 日志数据类型。 Office365ProjectConnectorDataTypesLogs (必需)

Office365ProjectConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

OfficeATPDataConnector

名称 说明
kind 数据连接器类型 “OfficeATP” (必需)
properties OfficeATP (Office 365高级威胁防护) 数据连接器属性。 OfficeATPDataConnectorProperties

OfficeATPDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficeIRMDataConnector

名称 说明
kind 数据连接器类型 “OfficeIRM” (必需)
properties OfficeIRM (Microsoft Insider Risk Management) 数据连接器属性。 OfficeIRMDataConnectorProperties

OfficeIRMDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 AlertsDataTypeOfDataConnector
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficePowerBIDataConnector

名称 说明
kind 数据连接器类型 “OfficePowerBI” (必需)
properties Office Microsoft PowerBI 数据连接器属性。 OfficePowerBIDataConnectorProperties

OfficePowerBIDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 OfficePowerBIConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)

OfficePowerBIConnectorDataTypes

名称 说明
日志 日志数据类型。 OfficePowerBIConnectorDataTypesLogs (必需)

OfficePowerBIConnectorDataTypesLogs

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

TIDataConnector

名称 说明
kind 数据连接器类型 需要“ThreatIntelligence” ()
properties TI (威胁情报) 数据连接器属性。 TIDataConnectorProperties

TIDataConnectorProperties

名称 说明
dataTypes 连接器的可用数据类型。 TIDataConnectorDataTypes (必需)
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)
tipLookbackPeriod 要导入的源的回溯期。 string

TIDataConnectorDataTypes

名称 说明
指标 指示器连接的数据类型。 TIDataConnectorDataTypesIndicators (必需的)

TIDataConnectorDataTypesIndicators

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)

TiTaxiiDataConnector

名称 说明
kind 数据连接器类型 “ThreatIntelligenceTaxii” (必需)
properties 威胁智能 TAXII 数据连接器属性。 TiTaxiiDataConnectorProperties

TiTaxiiDataConnectorProperties

名称 说明
collectionId TAXII 服务器的集合 ID。 字符串
dataTypes 威胁智能 TAXII 数据连接器的可用数据类型。 TiTaxiiDataConnectorDataTypes (必需)
friendlyName TAXII 服务器的友好名称。 字符串
password TAXII 服务器的密码。 字符串
pollingFrequency TAXII 服务器的轮询频率。 “OnceADay”
“OnceAMinute”
“OnceAnHour” (必需)
taxiiLookbackPeriod TAXII 服务器的回溯期。 string
taxiiServer TAXII 服务器的 API 根。 字符串
tenantId 要连接到并从中获取数据的租户 ID。 字符串 (必需)
userName TAXII 服务器的 userName。 字符串
workspaceId 工作区 ID。 string

TiTaxiiDataConnectorDataTypes

名称 说明
taxiiClient TAXII 连接器的数据类型。 TiTaxiiDataConnectorDataTypesTaxiiClient (必需)

TiTaxiiDataConnectorDataTypesTaxiiClient

名称 说明
state 描述是否启用此数据类型连接。 “Disabled”
“已启用” (必需)