코드리스 커넥터 플랫폼에 대한 GCP 데이터 커넥터 참조
CCP(Codeless Connector Platform)를 사용하여 GCP(Google Cloud Platform) 데이터 커넥터를 만들려면 이 참조를 데이터 커넥터 용 Microsoft Sentinel REST API 문서에 대한 보완으로 사용합니다.
각각 dataConnector 은 Microsoft Sentinel 데이터 커넥터의 특정 연결을 나타냅니다. 하나의 데이터 커넥터에는 여러 연결이 있을 수 있으며, 이 연결은 서로 다른 엔드포인트에서 데이터를 가져옵니다. 이 참조 문서를 사용하여 빌드된 JSON 구성은 CCP 데이터 커넥터에 대한 배포 템플릿을 완료하는 데 사용됩니다.
자세한 내용은 Microsoft Sentinel용 코드리스 커넥터 만들기를 참조하세요.
GCP CCP 데이터 커넥터 빌드
GCP 데이터 원본을 샘플 GCP CCP 데이터 커넥터 배포 템플릿과 연결하는 개발을 간소화합니다.
대부분의 배포 템플릿 섹션이 채워져 있으므로 처음 두 구성 요소인 출력 테이블과 DCR만 빌드하면 됩니다. 자세한 내용은 출력 테이블 정의 및 DCR(데이터 수집 규칙) 섹션을 참조하세요.
데이터 커넥터 - 만들기 또는 업데이트
REST API 문서에서 만들기 또는 업데이트 작업을 참조하여 안정적인 최신 또는 미리 보기 API 버전을 찾습니다. 만들기와 업데이트 작업의 차이점은 업데이트에 etag 값이 필요하다는 점입니다.
PUT 메서드
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI 매개 변수
최신 API 버전에 대한 자세한 내용은 데이터 커넥터 - URI 매개 변수 만들기 또는 업데이트를 참조 하세요.
| 속성 | 설명 |
|---|---|
| dataConnectorId | 데이터 커넥터 ID는 고유한 이름이어야 하며 요청 본문의 name 매개 변수와 동일합니다. |
| resourceGroupName | 대/소문자를 구분하지 않는 리소스 그룹의 이름입니다. |
| subscriptionId | 대상 구독의 ID입니다. |
| workspaceName | ID가 아닌 작업 영역의 이름입니다. Regex 패턴: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-version | 이 작업에 사용할 API 버전입니다. |
요청 본문
CCP 데이터 커넥터에 GCP 대한 요청 본문의 구조는 다음과 같습니다.
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP는 GCP (Google Cloud Platform) 데이터 원본에 대한 페이징 및 예상 응답 페이로드가 이미 구성된 CCP 데이터 커넥터를 나타냅니다. GCP Pub/Sub로 데이터를 보내도록 GCP 서비스를 구성하려면 별도로 수행해야 합니다. 자세한 내용은 Pub/Sub 개요의 게시 메시지를 참조 하세요.
| 속성 | 필수 | Type | Description |
|---|---|---|---|
| 이름 | True | string | URI 매개 변수와 일치하는 연결의 고유 이름 |
| kind | True | string | GCP이어야 합니다. |
| etag | GUID | 새 커넥터를 만들기 위해 비워 둡니다. 업데이트 작업의 경우 etag는 기존 커넥터의 etag(GUID)와 일치해야 합니다. | |
| properties.connectorDefinitionName | string | 데이터 커넥터의 UI 구성을 정의하는 DataConnectorDefinition 리소스의 이름입니다. 자세한 내용은 데이터 커넥터 정의를 참조 하세요. | |
| 속성.인증 | True | 중첩된 JSON | GCP 데이터를 폴링하기 위한 자격 증명에 대해 설명합니다. 자세한 내용은 인증 구성을 참조하세요. |
| 속성.요청 | True | 중첩된 JSON | 데이터 폴링에 대한 GCP 프로젝트 ID 및 GCP 구독에 대해 설명합니다. 자세한 내용은 요청 구성을 참조하세요. |
| 속성.dcrConfig | 중첩된 JSON | 데이터가 DCR(데이터 수집 규칙)으로 전송되는 경우 필수 매개 변수입니다. 자세한 내용은 DCR 구성을 참조하세요. |
인증 구성
Microsoft Sentinel에서 GCP에 대한 인증은 GCP Pub/Sub를 사용합니다. 인증을 별도로 구성해야 합니다. 여기서 Terraform 스크립트를 사용합니다. 자세한 내용은 다른 클라우드 공급자의 GCP Pub/Sub 인증을 참조하세요.
자격 증명을 하드 코딩하는 대신 인증 섹션에서 매개 변수를 사용하는 것이 가장 좋습니다. 자세한 내용은 보안 기밀 입력을 참조 하세요.
또한 매개 변수를 사용하는 배포 템플릿을 만들려면 이 섹션의 매개 변수를 추가로 시작하여 [이스케이프해야 합니다. 이렇게 하면 매개 변수가 커넥터와의 사용자 상호 작용에 따라 값을 할당할 수 있습니다. 자세한 내용은 템플릿 식 이스케이프 문자를 참조하세요.
UI에서 자격 증명을 입력할 수 있도록 하려면 섹션에 connectorUIConfig 원하는 매개 변수가 필요합니다 instructions . 자세한 내용은 코드리스 커넥터 플랫폼에 대한 데이터 커넥터 정의 참조를 참조 하세요.
GCP 인증 예제:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
구성 요청
요청 섹션에는 projectId subscriptionNames GCP Pub/Sub에서의 요청이 필요합니다.
GCP 요청 예제:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR 구성
| 필드 | 필수 | Type | 설명 |
|---|---|---|---|
| DataCollectionEndpoint | True | 문자열 | DCE(데이터 수집 엔드포인트) 예: https://example.ingest.monitor.azure.com. |
| DataCollectionRuleImmutableId | True | 문자열 | DCR 변경할 수 없는 ID입니다. DCR 만들기 응답을 보거나 DCR API를 사용하여 찾습니다. |
| StreamName | True | string | 이 값은 DCR에 정의된 값입니다 streamDeclaration (접두사는 Custom-으로 시작해야 합니다.) |
CCP 데이터 커넥터 예제
CCP 데이터 커넥터 JSON의 모든 구성 요소에 대한 GCP 예제는 다음과 같습니다.
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
자세한 내용은 GCP 데이터 커넥터 REST API 만들기 예제를 참조 하세요.