Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Sentinel Connector-Generator-Agent erstellt Datenconnectors in wenigen Minuten mithilfe des KI-gestützten Workflows in GitHub Copilot mithilfe der Microsoft Sentinel-Erweiterung für Visual Studio Code (VS Code). Diese Low-Code-Erfahrung führt Entwickler und unabhängige Softwareanbieter (Independent Software Vendors, ISVs) durch die autonome Generierung von Schemas, Bereitstellungsressourcen, Connectorbenutzeroberfläche, sicherer Geheimnisverarbeitung und Abruflogik. Die integrierte Überprüfung zeigt alle Abrufprobleme frühzeitig an, sodass Sie Ereignisprotokolle überprüfen können, bevor Sie Daten bereitstellen und erfassen.
Der Sentinel Connector-Generator-Agent unterstützt Sie dabei:
Reduzieren des manuellen Zeit- und Aufwands beim Erstellen von CCF-basierten Connectors (Codeless Connector Framework)
Gerüst für Connectordefinitionen mit einfachen Eingabeaufforderungen
Durchlaufen der Connectorlogik in natürlicher Sprache
Überprüfen von Connectorartefakten vor der Bereitstellung
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:
Ein aktiver Microsoft Sentinel-Arbeitsbereich
Zugriff auf Visual Studio Code mit GitHub Copilot
Die Microsoft Sentinel VS Code-Erweiterung installiert
Microsoft Sentinel Rolle "Mitwirkender", um Sentinel Datenconnectors zu erstellen oder zu ändern
Vorteile von Connectors mit Agentic-Erfahrung
Der Sentinel Connector Builder-Agent kann die Connectorentwicklungszeit für viele gängige Szenarien von Wochen auf Stunden reduzieren. Aufgaben, die zuvor mehrere Tools, manuelle Übergaben und wiederholte Validierungszyklen erforderten, können jetzt inline ausgeführt werden, was eine schnellere Iteration und eine schnellere Bereitschaft für die Bereitstellung ermöglicht.
| Bereich | Entwicklungsprozess für Nicht-KI-Connectors | VS Code-Erweiterung mit Connector Builder-Agent |
|---|---|---|
| Erstellungserfahrung | Connectordefinitionen, Schemas und Konfigurationselemente werden häufig über mehrere Tools hinweg erstellt, einschließlich der Azure-Portal, Editoren und JSON-Vorlagen. Kontextwechsel sind üblich. | Die Connectorerstellung erfolgt direkt in VS Code, zusammen mit anderen Entwicklungsressourcen, in einer einzelnen, entwicklerorientierten Umgebung. |
| Iterationsgeschwindigkeit | Das Vornehmen von Änderungen erfordert in der Regel das Navigieren zwischen Tools, das Aktualisieren von Elementen und das manuelle erneute Überprüfen, wodurch die Iteration verlangsamt wird. | Entwickler können Connectors mithilfe des Agents in VS Code iterativ verfeinern , um Reibungsverluste zwischen Entwurf, Update und Überprüfung zu reduzieren. |
| Validierung und Feedback | Validierungsschritte werden häufig später im Workflow ausgeführt, was das Risiko erhöht, dass Schema- oder Konfigurationsprobleme zu spät erkannt werden. | Die Überprüfung erfolgt näher an der Erstellungsoberfläche, wodurch Probleme früher erkannt und die Allgemeine Qualität vor der Bereitstellung verbessert wird. |
| Entwicklerproduktivität | Entwickler verbringen Zeit mit der Verwaltung von Tools und Navigation, anstatt sich auf die Connectorlogik und -korrektheit zu konzentrieren. | Entwickler können sich auf die Überprüfung von Code und das Strukturieren des Schemas mit dem Low-Code-Agent-basierten Connector-Buildout konzentrieren. |
Erstellen eines benutzerdefinierten Connectors mit Sentinel Connector-Generator-Agent
Die folgenden Schritte zeigen, wie Sie mithilfe des Sentinel Connector Builder-Agents in VS Code einen benutzerdefinierten Microsoft Sentinel-Connector erstellen, überprüfen und bereitstellen.
Schritt 1: Installieren und Öffnen der Sentinel-Erweiterung für VS Code
Installieren Sie Microsoft Sentinel Erweiterung für Visual Studio Code, und laden Sie VS Code erneut, wenn Sie dazu aufgefordert werden.
Erstellen und öffnen Sie einen leeren Ordner im Datei-Explorer. Alle vom Agent generierten Dateien werden lokal in diesem Ordner gespeichert.
Schritt 2: Auffordern des Sentinel Connector-Generator-Agents
Öffnen Sie den VS Code-Chat, und legen Sie den Chat auf den Agent-Modus fest.
Fordern Sie den Agent mit auf
@sentinel. Wenn Sie dazu aufgefordert werden, wählen Sie eine unterstützte API aus/create-connector, und wählen Sie sie aus.Geben Sie beispielsweise die Eingabeaufforderung wie folgt ein:
@sentinel /create-connector Create a connector for Contoso. Here are the API docs: https://contoso-security-api.azurewebsites.net/v0101/api-doc
Geben Sie die Quell-API-Informationen und Authentifizierungsmethoden an, um das entsprechende Connectormuster zu generieren.
Schritt 3: Generieren oder Aktualisieren von Connectorartefakten
Basierend auf Ihrer Eingabe generiert der Agent die folgenden vier Dateien:
Konfiguration für Abrufe
Zuordnungen von Datensammlungsregeln (Data Collection Rules, DCR)
Connectordefinition
Schema- und Tabellenverweise, die an Sentinel Anforderungen ausgerichtet sind
Die Abbildung zeigt die generierten JSON-Connectordateien.
Hinweis
Wählen Sie während der Agent-Auswertung einmal Antworten zulassen aus, um Änderungen zu genehmigen, oder wählen Sie die Option Genehmigungen umgehen im Chat aus. Es kann einige Minuten dauern, bis die Auswertungen abgeschlossen sind.
Optimieren Sie den Connector iterativ mithilfe des Agents oder inline direkt in die generierten JSON-Dateien. Zum Beispiel:
Bitten Sie den Agent, die Beschreibung, den Namen des Autors usw. zu ändern.
Aktualisieren der Erfassungslogik für den Tabellennamen
Anpassen von Authentifizierungs- oder Abrufparametern; z. B. Abrufhäufigkeit, Timeoutfenster und andere
Wichtig
Bearbeiten oder ändern Sie die Datei nicht, während sie erstellt wird. Wenn ein Feld in der Datei einen Fehler anzeigt, bedeutet dies, dass der Build noch ausgeführt wird.
Schritt 4: Überprüfen der Connectorkonfiguration
Um die API für Datenquellenereignisse zu überprüfen, klicken Sie mit der rechten Maustaste auf den Ordner, der die ARM-Vorlage enthält, und wählen Sie Microsoft Sentinel>Test Connector aus.
Geben Sie im Bereich Testconnector die Authentifizierungsdetails für Ihre Datenquellen-API ein, und wählen Sie dann Verbinden aus.
Der Abruf wird basierend auf den Einstellungen in der JSON-Datei der Abrufkonfiguration gestartet.
Überprüfen Sie auf der Registerkarte Ereignisse die Anforderungsheader und die von der API zurückgegebenen Ereignisse.
Hinweis
Dieser Test bestätigt, dass der API-Aufruf erfolgreich war, und gibt Ereignisse zurück. Es wird nicht bestätigt, dass Ereignisse in Ihre Sentinel Tabelle geschrieben werden. Die Tabellenerfassung wird überprüft, wenn Sie die Einrichtung des Connectors auf der Seite Datenconnectors in Microsoft Sentinel abgeschlossen haben.
Nachdem Sie die Verbindung überprüft haben, wählen Sie Trennen aus, um die Abrufsitzung zu beenden.
Schritt 5: Bereitstellen
Nachdem der Überprüfungstest erfolgreich war, wählen Sie im Chatfenster Bereitstellen aus, um mit der Bereitstellung des Connectors zu beginnen.
Die Erweiterung öffnet einen Bereich, in dem Sie aus Ihren verfügbaren Microsoft Sentinel Arbeitsbereichen auswählen können.
Wählen Sie einen Arbeitsbereich und dann Bereitstellen aus, um den Connector in diesem Arbeitsbereich bereitzustellen.
Klicken Sie alternativ mit der rechten Maustaste auf den Ordner, der die generierten Dateien enthält, und wählen Sie Microsoft Sentinel>Connector bereitstellen aus.
Wenn die Bereitstellung abgeschlossen ist, wird im Ausgabefenster eine Erfolgsmeldung angezeigt.
Hinweis
Nach der Bereitstellung in einem Sentinel Arbeitsbereich konzentriert sich dieser Connector auf die Erfassung von Daten in Microsoft Sentinel Tabellen. Es enthält kein vollständiges Lösungspaket oder vordefinierte End-to-End-SOAR-Workflows für die Sicherheitsabdeckung. Wenn Sie Automatisierung benötigen, erstellen Sie die erforderlichen Playbooks und Workflows für Ihr Szenario.
Zugriff auf die Hilfe
- IsV-Partner, die Integrationen erstellen, wenden Sie sich an: azuresentinelpartner@microsoft.com
- Verwenden Sie bei technischen Fragen Microsoft Q&A mit dem Tag "azure-sentinel".