[Kullanım dışı] Microsoft Sentinel için eski bir kodsuz bağlayıcı oluşturma

CCP'nin bu eski, eski sürümünü temel alan bir veri bağlayıcısını korumanız veya güncelleştirmeniz gerekiyorsa bu belgeye başvurun.

CCP, iş ortaklarına, ileri düzey kullanıcılara ve geliştiricilere özel bağlayıcılar oluşturma, bunları bağlama ve Verileri Microsoft Sentinel'e alma olanağı sağlar. CCP aracılığıyla oluşturulan bağlayıcılar API, ARM şablonu veya Microsoft Sentinel içerik hub'ında çözüm olarak dağıtılabilir.

CCP kullanılarak oluşturulan bağlayıcılar, hizmet yüklemeleri için herhangi bir gereksinim olmadan tamamen SaaS'tir ve microsoft Sentinel'den sistem durumu izleme ve tam destek içerir.

Microsoft Sentinel'deki veri bağlayıcısı sayfasının nasıl görüneceğine ilişkin ayarlarla birlikte bağlantının nasıl çalıştığını tanımlayan yoklama ayarlarıyla birlikte JSON yapılandırmalarını tanımlayarak veri bağlayıcınızı oluşturun.

CCP bağlayıcınızı oluşturmak ve Microsoft Sentinel'den veri kaynağınıza bağlanmak için aşağıdaki adımları kullanın:

Bu makalede, BAĞLAYıCınızı API, ARM şablonu veya Microsoft Sentinel çözümü aracılığıyla dağıtmak için CCP JSON yapılandırmalarında ve yordamlarında kullanılan söz dizimi açıklanmaktadır.

Bağlayıcı oluşturmadan önce veri kaynağınızın nasıl davrandığını ve Microsoft Sentinel'in tam olarak nasıl bağlanması gerektiğini anlamanız önerilir.

Örneğin, başarılı bağlantılar için gereken kimlik doğrulaması, sayfalandırma ve API uç noktası türlerini bilmeniz gerekir.

Özel CCP bağlayıcınızın dağıtım için gereken iki birincil JSON bölümü vardır. Bağlayıcınızın Azure portalında nasıl görüntülendiğini ve Microsoft Sentinel'i veri kaynağınıza nasıl bağlayacağını tanımlamak için bu alanları doldurun.

• connectorUiConfig. Microsoft Sentinel'de veri bağlayıcısı sayfasında görüntülenen görsel öğeleri ve metni tanımlar. Daha fazla bilgi için bkz . Bağlayıcınızın kullanıcı arabirimini yapılandırma.

• pollingConfig. Microsoft Sentinel'in veri kaynağınızdan nasıl veri topladığını tanımlar. Daha fazla bilgi için bkz . Bağlayıcınızın yoklama ayarlarını yapılandırma.

Ardından kodsuz bağlayıcınızı ARM aracılığıyla dağıtırsanız, bu bölümleri veri bağlayıcıları için ARM şablonunda sarmalarsınız.

Örnek olarak diğer CCP veri bağlayıcılarını gözden geçirin veya DataConnector_API_CCP_template.json (Önizleme) örnek şablonunu indirin.

Bu bölümde, veri bağlayıcısı sayfasının kullanıcı arabirimini özelleştirmek için kullanılabilen yapılandırma seçenekleri açıklanmaktadır.

Aşağıdaki görüntüde, kullanıcı arabiriminin önemli alanlarına karşılık gelen sayılarla vurgulanmış örnek bir veri bağlayıcısı sayfası gösterilmektedir:

1. Başlık. Veri bağlayıcınız için görüntülenen başlık.
2. Logo. Veri bağlayıcınız için görüntülenen simge. Bunu özelleştirmek yalnızca bir çözümün parçası olarak dağıtılırken mümkündür.
3. Durum. Veri bağlayıcınızın Microsoft Sentinel'e bağlı olup olmadığını gösterir.
4. Veri grafikleri. son iki hafta içindeki ilgili sorguları ve alınan veri miktarını görüntüler.
5. Yönergeler sekmesi. Kullanıcının bağlayıcıyı etkinleştirmeden önce en düşük doğrulamaların listesini içeren bir Önkoşullar bölümü ve bağlayıcının kullanıcı etkinleştirmesine yol gösterecek Yönergeler içerir. Bu bölüm, işlemi basitleştirmek için metin, düğme, form, tablo ve diğer yaygın pencere öğelerini içerebilir.
6. Sonraki adımlar sekmesi. Örnek sorgular gibi olay günlüklerindeki verileri bulmayı anlamak için yararlı bilgiler içerir.

Kullanıcı arabirimini connectorUiConfig yapılandırmak için gereken bölümler ve söz dizimi aşağıdadır:

Bütün bu parçaları bir araya getirmek karmaşıktır. Bir araya getirdiğiniz bileşenleri test etmek için bağlayıcı sayfası kullanıcı deneyimi doğrulama aracını kullanın.

Veri grafikleri bölmesinde son iki hafta içinde veri alımı sunan bir sorgu tanımlar.

Veri bağlayıcısının tüm veri türleri için bir sorgu veya her veri türü için farklı bir sorgu sağlayın.

Bu bölüm, Microsoft Sentinel'de veri bağlayıcısı sayfanızda görünen yönergeler kümesini tanımlayan parametreler sağlar.

Çeşitli seçenekleri parametre olarak ve daha fazla yönergeyi gruplar halinde iç içe yerleştirme özelliğiyle birlikte bir yönerge grubu görüntüler.

Birden çok bağlayıcıda yeniden kullanmak ve hatta şu anda sahip olmadığınız verilerle bir bağlayıcı oluşturmak için yer tutucu parametreleriyle bir JSON yapılandırma dosyası şablonu oluşturmak isteyebilirsiniz.

Yer tutucu parametreleri oluşturmak için, aşağıdaki söz dizimini kullanarak CCP JSON yapılandırma dosyanızın Yönergeler bölümünde adlı userRequestPlaceHoldersInput ek bir dizi tanımlayın:

"instructions": [
                {
                  "parameters": {
                    "enable": "true",
                    "userRequestPlaceHoldersInput": [
                      {
                        "displayText": "Organization Name",
                        "requestObjectKey": "apiEndpoint",
                        "placeHolderName": "{{placeHolder}}"
                      }
                    ]
                  },
                  "type": "APIKey"
                }
              ]

userRequestPlaceHoldersInput parametresi aşağıdaki öznitelikleri içerir:

Örnek:

Örnek kod:

{
    "parameters": {
        "fillWith": [
            "WorkspaceId",
            "PrimaryKey"
            ],
        "label": "Here are some values you'll need to proceed.",
        "value": "Workspace is {0} and PrimaryKey is {1}"
    },
    "type": "CopyableLabel"
}

Satır içi bilgi iletisi örneği aşağıda verilmişti:

Buna karşılık, aşağıdaki görüntüde satır içi olmayan bir bilgi iletisi gösterilir:

Aşağıda genişletilebilir yönerge grubu örneği verilmiştir:

Ayrıntılı bir örnek için bkz. Windows DNS bağlayıcısı için yapılandırma JSON'ı.

Bazı InstallAgent türleri düğme olarak, diğerleri bağlantı olarak görünür. Aşağıda her ikisine de örnek verilmiştir:

Bu bölüm, Açıklama alanının altındaki veri bağlayıcısı kullanıcı arabiriminde meta veriler sağlar.

Markdown kullanarak satır içi bağlantı tanımlamak için aşağıdaki örneği kullanın. Burada yönerge açıklamasında bir bağlantı verilmiştir:

{
   "title": "",
   "description": "Make sure to configure the machine's security according to your organization's security policy\n\n\n[Learn more >](https://aka.ms/SecureCEF)"
}

Bağlantıyı ARM şablonu olarak tanımlamak için aşağıdaki örneği kılavuz olarak kullanın:

{
   "title": "Azure Resource Manager (ARM) template",
   "description": "1. Click the **Deploy to Azure** button below.\n\n\t[![Deploy To Azure](https://aka.ms/deploytoazurebutton)]({URL to custom ARM template})"
}

Bağlayıcı kullanıcı deneyimini işlemek ve doğrulamak için bu adımları izleyin.

1. Test yardımcı programı bu URL ile erişilebilir - https://aka.ms/sentineldataconnectorvalidateurl
2. Microsoft Sentinel -> Veri Bağlayıcıları'na gidin
3. "İçeri aktar" düğmesine tıklayın ve yalnızca veri bağlayıcınızın bölümünü içeren connectorUiConfig bir json dosyası seçin.

Bu doğrulama aracı hakkında daha fazla bilgi için GitHub derleme kılavuzumuzda Bağlayıcıyı derleme yönergelerine bakın.

Bu bölümde, kodsuz veri bağlayıcısı için veri kaynağınızdan verilerin nasıl yoklandığına ilişkin yapılandırma açıklanmaktadır.

Aşağıdaki kod, CCP yapılandırma dosyasının pollingConfig bölümünün söz dizimini gösterir.

"pollingConfig": {
    "auth": {
    },
    "request": {
    },
    "response": {
    },
    "paging": {
    }
 }

bölümü pollingConfig aşağıdaki özellikleri içerir:

Daha fazla bilgi için bkz . Örnek pollingConfig code.

auth pollingConfig yapılandırmasının bölümü, authType öğesinde tanımlanan türe bağlı olarak aşağıdaki parametreleri içerir:

Kodsuz Bağlayıcı Platformu, OAuth 2.0 yetkilendirme kodu verme işlemini destekler.

Yetkilendirme Kodu verme türü, gizli ve genel istemciler tarafından erişim belirteci için bir yetkilendirme kodu değişimi için kullanılır.

Kullanıcı yeniden yönlendirme URL'si aracılığıyla istemciye döndükten sonra, uygulama URL'den yetkilendirme kodunu alır ve erişim belirteci istemek için bu kodu kullanır.

OAuth2 yapılandırmasının nasıl görünebileceğine yönelik bir örnek aşağıda verilmişti:

"pollingConfig": {
    "auth": {
        "authType": "OAuth2",
        "authorizationEndpoint": "https://accounts.google.com/o/oauth2/v2/auth?access_type=offline&prompt=consent",
        "redirectionEndpoint": "https://portal.azure.com/TokenAuthorize",
        "tokenEndpoint": "https://oauth2.googleapis.com/token",
        "authorizationEndpointQueryParameters": {},
        "tokenEndpointHeaders": {
            "Accept": "application/json"
        },
        "TokenEndpointQueryParameters": {},
        "isClientSecretInHeader": false,
        "scope": "https://www.googleapis.com/auth/admin.reports.audit.readonly",
        "grantType": "authorization_code",
        "contentType": "application/x-www-form-urlencoded",
        "FlowName": "AuthCode"
    },

request pollingConfig yapılandırmasının bölümü aşağıdaki parametreleri içerir:

response pollingConfig yapılandırmasının bölümü aşağıdaki parametreleri içerir:

Aşağıdaki kod, en üst düzey ileti için eventsJsonPaths değerinin bir örneğini gösterir:

"eventsJsonPaths": [
              "$"
            ]

paging pollingConfig yapılandırmasının bölümü aşağıdaki parametreleri içerir:

Aşağıdaki kod, CCP yapılandırma dosyasının pollingConfig bölümünün bir örneğini gösterir:

"pollingConfig": {
    "auth": {
        "authType": "APIKey",
        "APIKeyIdentifier": "token",
        "APIKeyName": "Authorization"
     },
     "request": {
        "apiEndpoint": "https://api.github.com/../{{placeHolder1}}/audit-log",
        "rateLimitQPS": 50,
        "queryWindowInMin": 15,
        "httpMethod": "Get",
        "queryTimeFormat": "yyyy-MM-ddTHH:mm:ssZ",
        "retryCount": 2,
        "timeoutInSeconds": 60,
        "headers": {
           "Accept": "application/json",
           "User-Agent": "Scuba"
        },
        "queryParameters": {
           "phrase": "created:{_QueryWindowStartTime}..{_QueryWindowEndTime}"
        }
     },
     "paging": {
        "pagingType": "LinkHeader",
        "pageSizeParaName": "per_page"
     },
     "response": {
        "eventsJsonPaths": [
          "$"
        ]
     }
}

Hem kullanıcı arabirimi hem de yoklama yapılandırması dahil olmak üzere JSON yapılandırma dosyanızı oluşturduktan sonra bağlayıcınızı Microsoft Sentinel çalışma alanınıza dağıtın.

1. Veri bağlayıcınızı dağıtmak için aşağıdaki seçeneklerden birini kullanın.

   İpucu

   Azure Resource Manager (ARM) şablonu aracılığıyla dağıtmanın avantajı, şablonda birkaç değerin yerleşik olması ve bunları bir API çağrısında el ile tanımlamanız gerekmeyecek olmasıdır.

   • ARM şablonu aracılığıyla dağıtma
   • API aracılığıyla dağıtma

   Bağlayıcınızı dağıtmak için JSON yapılandırma koleksiyonlarınızı bir ARM şablonuna sarmalama. Veri bağlayıcınızın doğru çalışma alanına dağıtıldığından emin olmak için çalışma alanını ARM şablonunda tanımladığınızdan veya ARM şablonunu dağıtırken çalışma alanını seçtiğinizden emin olun.

   1. Bağlayıcınız için bir ARM şablonu JSON dosyası hazırlayın. Örneğin, aşağıdaki ARM şablonu JSON dosyalarına bakın:

      • Slack çözümünde veri bağlayıcısı
      • GitHub çözümündeki veri bağlayıcısı

   2. Azure portalında Özel şablon dağıtma araması yapın.

   3. Özel dağıtım sayfasında, Dosya yükle düzenleyicisinde>Kendi şablonunuzu derleyin'i seçin. Yerel ARM şablonunuzu bulun ve seçin ve değişikliklerinizi kaydedin.

   4. Aboneliğinizi ve kaynak grubunuzu seçin ve ardından özel bağlayıcınızı dağıtmak istediğiniz Log Analytics çalışma alanını girin.

   5. Özel bağlayıcınızı Microsoft Sentinel'e dağıtmak için Gözden geçir + oluştur'u seçin.

   6. Microsoft Sentinel'de Veri bağlayıcıları sayfasına gidin ve yeni bağlayıcınızı arayın. Verileri alma işlemini başlatmak için yapılandırın.

   Daha fazla bilgi için Azure Resource Manager belgelerinde Yerel şablon dağıtma bölümüne bakın.

2. Veri kaynağınızı bağlamak ve Microsoft Sentinel'e veri almak için veri bağlayıcınızı yapılandırın. Veri kaynağınıza, kullanıma sunuldu veri bağlayıcılarında olduğu gibi portal üzerinden veya API aracılığıyla bağlanabilirsiniz.

   Bağlanmak için Azure portalını kullandığınızda, kullanıcı verileri otomatik olarak gönderilir. API aracılığıyla bağlandığınızda, API çağrısında ilgili kimlik doğrulama parametrelerini göndermeniz gerekir.

   • Azure portalı üzerinden bağlanma
   • API aracılığıyla bağlanma

   Microsoft Sentinel veri bağlayıcısı sayfanızda, veri bağlayıcınıza bağlanmak için sağladığınız yönergeleri izleyin.

   Microsoft Sentinel'deki veri bağlayıcısı sayfası, CCP JSON yapılandırma dosyasının connectorUiConfig öğesindeki InstructionSteps yapılandırması tarafından denetlenmektedir. Kullanıcı arabirimi bağlantısıyla ilgili sorunlarınız varsa, kimlik doğrulama türünüz için doğru yapılandırmaya sahip olduğunuzdan emin olun.

3. Microsoft Sentinel'de Günlükler sayfasına gidin ve veri kaynağınızdaki günlüklerin çalışma alanınıza aktığını gördüğünüzden emin olun.

Microsoft Sentinel'e veri akışı görmüyorsanız veri kaynağı belgelerinize ve sorun giderme kaynaklarınıza bakın, yapılandırma ayrıntılarını denetleyin ve bağlantıyı denetleyin. Daha fazla bilgi için bkz . Veri bağlayıcılarınızın durumunu izleme.

Bağlayıcınızın verilerine artık ihtiyacınız yoksa, veri akışını durdurmak için bağlayıcının bağlantısını kesin.

Aşağıdaki yöntemlerden birini kullanın:

• Azure portalı: Microsoft Sentinel veri bağlayıcısı sayfanızda Bağlantıyı Kes'i seçin.

• API: Aşağıdaki URL'ye boş gövdeli bir PUT çağrısı göndermek için DISCONNECT API'sini kullanın:

  https://management.azure.com /subscriptions/{{SUB}}/resourceGroups/{{RG}}/providers/Microsoft.OperationalInsights/workspaces/{{WS-NAME}}/providers/Microsoft.SecurityInsights/dataConnectors/{{Connector_Id}}/disconnect?api-version=2021-03-01-preview
  

Henüz yapmadıysanız yeni kodsuz veri bağlayıcınızı Microsoft Sentinel topluluğuyla paylaşın! Veri bağlayıcınız için bir çözüm oluşturun ve bunu Microsoft Sentinel Market'te paylaşın.

Daha fazla bilgi için bkz.

• Microsoft Sentinel çözümleri hakkında
• Veri bağlayıcısı ARM şablonu başvurusu