無程式代碼連接器平臺的 GCP 資料連接器參考
若要使用無程式代碼連接器平臺 (CCP) 建立 Google Cloud Platform (GCP) 資料連接器,請使用此參考作為 Data Connectors 檔之 Microsoft Sentinel REST API 的補充。
每個 dataConnector 都代表Microsoft Sentinel 數據連接器的特定 連線 。 一個數據連接器可能會有多個連線,可從不同的端點擷取數據。 使用此參考檔建置的 JSON 組態可用來完成 CCP 數據連接器的部署範本。
如需詳細資訊,請參閱為 Microsoft Sentinel 建立無程式碼連接器。
建置 GCP CCP 資料連接器
簡化使用範例 GCP CCP 資料連接器部署範本來連接 GCP 數據源的開發。
填妥大部分的部署範本區段后,您只需要建置前兩個元件:輸出數據表和 DCR。 如需詳細資訊,請參閱 輸出數據表定義 和 數據收集規則 (DCR) 小節。
數據連接器 - 建立或更新
參考 REST API 檔中的建立或更新作業,以尋找最新的穩定或預覽 API 版本。 建立和更新作業之間的差異在於更新需要 etag 值。
PUT 方法
https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.OperationalInsights/workspaces/{{workspaceName}}/providers/Microsoft.SecurityInsights/dataConnectors/{{dataConnectorId}}?api-version={{apiVersion}}
URI 參數
如需最新 API 版本的詳細資訊,請參閱 數據連接器 - 建立或更新 URI 參數。
| 名稱 | 描述 |
|---|---|
| dataConnectorId | 數據連接器標識碼必須是唯一的名稱,而且與name要求主體中的 參數相同。 |
| resourceGroupName | 資源群組的名稱,不區分大小寫。 |
| subscriptionId | 目標訂用帳戶的標識碼。 |
| workspaceName | 工作區 的名稱 ,而非標識符。 Regex 模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
| api-version | 用於此作業的 API 版本。 |
要求本文
CCP 資料連接器的要求本文 GCP 具有下列結構:
{
"name": "{{dataConnectorId}}",
"kind": "GCP",
"etag": "",
"properties": {
"connectorDefinitionName": "",
"auth": {},
"request": {},
"dcrConfig": ""
}
}
GCP
GCP 代表 CCP 資料連接器,其中已設定 Google Cloud Platform (GCP) 數據源的分頁和預期響應承載。 設定 GCP 服務以將數據傳送至 GCP Pub/Sub 必須個別完成。 如需詳細資訊,請參閱 發佈/訂閱中的訊息概觀。
| 名稱 | 必要 | 類型 | Description |
|---|---|---|---|
| name | True | 字串 | 符合 URI 參數之連線的唯一名稱 |
| 種類 | True | 字串 | 必須是 GCP |
| etag | GUID | 保留空白以建立新的連接器。 針對更新作業,etag 必須符合現有連接器的 etag (GUID)。 | |
| properties.connectorDefinitionName | 字串 | 定義數據連接器 UI 組態的 DataConnectorDefinition 資源名稱。 如需詳細資訊,請參閱 數據連接器定義。 | |
| 性能。認證 | True | 巢狀 JSON | 描述輪詢 GCP 數據的認證。 如需詳細資訊,請參閱 驗證組態。 |
| 性能。請求 | True | 巢狀 JSON | 描述用於輪詢數據的 GCP 項目識別碼和 GCP 訂用帳戶。 如需詳細資訊,請參閱要求設定。 |
| 性能。dcrConfig | 巢狀 JSON | 將數據傳送至數據收集規則時的必要參數(DCR)。 如需詳細資訊,請參閱 DCR 組態。 |
驗證設定
從 Microsoft Sentinel 對 GCP 的驗證會使用 GCP Pub/Sub。 您必須個別設定驗證。 在這裡使用 Terraform 腳本。 如需詳細資訊,請參閱 來自另一個雲端提供者的 GCP 發佈/子驗證。
最佳做法是在驗證區段中使用參數,而不是硬式編碼認證。 如需詳細資訊,請參閱 保護機密輸入。
若要建立也會使用參數的部署範本,您必須在本節中逸出參數,並額外啟動 [。 這可讓參數根據使用者與連接器的互動來指派值。 如需詳細資訊,請參閱範本運算式逸出字元。
若要啟用要從 UI 輸入的認證,區 connectorUIConfig 段需要 instructions 具有所需的參數。 如需詳細資訊,請參閱 無程式代碼連接器平臺的數據連接器定義參考。
GCP 驗證範例:
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
}
要求設定
要求區段需要 projectId GCP Pub/Sub 中的 與 subscriptionNames 。
GCP 要求範例:
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
DCR 組態
| 欄位 | 必要 | 類型 | 描述 |
|---|---|---|---|
| DataCollectionEndpoint | True | String | DCE (資料收集端點)例如: https://example.ingest.monitor.azure.com。 |
| DataCollectionRuleImmutableId | True | String | DCR 不可變標識碼。 檢視 DCR 建立回應或使用 DCR API 來尋找它 |
| StreamName | True | 字串 | 此值是 streamDeclaration DCR 中定義的 (前置詞開頭必須是 Custom-) |
CCP 資料連接器範例
以下是 CCP 資料連接器 JSON 的所有元件 GCP 範例。
{
"kind": "GCP",
"properties": {
"connectorDefinitionName": "[[parameters('connectorDefinitionName')]",
"dcrConfig": {
"streamName": "[variables('streamName')]",
"dataCollectionEndpoint": "[[parameters('dcrConfig').dataCollectionEndpoint]",
"dataCollectionRuleImmutableId": "[[parameters('dcrConfig').dataCollectionRuleImmutableId]"
},
"dataType": "[variables('dataType')]",
"auth": {
"serviceAccountEmail": "[[parameters('GCPServiceAccountEmail')]",
"projectNumber": "[[parameters('GCPProjectNumber')]",
"workloadIdentityProviderId": "[[parameters('GCPWorkloadIdentityProviderId')]"
},
"request": {
"projectId": "[[parameters('GCPProjectId')]",
"subscriptionNames": [
"[[parameters('GCPSubscriptionName')]"
]
}
}
}
如需詳細資訊,請參閱 建立 GCP 數據連接器 REST API 範例。