Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O agente do construtor de conectores Microsoft Sentinel cria conectores de dados em minutos com o fluxo de trabalho assistido por IA no GitHub Copilot com a extensão Microsoft Sentinel para o Visual Studio Code (VS Code). Esta experiência de baixo código orienta os programadores e os Fornecedores Independentes de Software (ISVs) ponto a ponto através da geração autónoma de esquemas, recursos de implementação, IU do conector, processamento seguro de segredos e lógica de consulta. A validação incorporada apresenta quaisquer problemas de consulta antecipadamente, para que possa validar os registos de eventos antes de implementar e ingerir dados.
O agente do construtor Sentinel Connector ajuda-o a:
Reduzir o tempo e o esforço manuais na criação de conectores baseados em CcF (Codeless Connector Framework)
Estruturar definições de conector com pedidos simples
Iterar na lógica do conector com linguagem natural
Validar artefactos do conector antes da implementação
Pré-requisitos
Antes de começar, certifique-se de que cumpre os seguintes requisitos:
Uma área de trabalho Microsoft Sentinel ativa
Acesso ao Visual Studio Code com GitHub Copilot
A extensão Microsoft Sentinel VS Code instalada
Microsoft Sentinel função contribuidor para criar ou modificar conectores de dados Sentinel
Benefícios dos Conectores com a experiência Agentic
O agente do construtor Sentinel Connector pode reduzir o tempo de desenvolvimento do conector de semanas para horas para muitos cenários comuns. As tarefas que anteriormente necessitavam de várias ferramentas, handoffs manuais e ciclos de validação repetidos podem agora ser concluídas inline, o que permite uma iteração mais rápida e uma preparação mais rápida para a implementação.
| Área | Processo de desenvolvimento de conectores não IA | Extensão do VS Code com o Agente do Connector Builder |
|---|---|---|
| Experiência de criação | As definições de conectores, esquemas e itens de configuração são muitas vezes criados em várias ferramentas, incluindo os modelos portal do Azure, editores e JSON. A mudança de contexto é comum. | A criação de conectores ocorre diretamente no VS Code, juntamente com outros recursos de desenvolvimento, através de um único ambiente focado no programador. |
| Velocidade da iteração | Normalmente, fazer alterações requer navegar entre ferramentas, atualizar itens e revalorizar manualmente, o que atrasa a iteração. | Os programadores podem refinar iterativamente os conectores com o agente no VS Code, reduzindo o atrito entre design, atualização e revisão. |
| Validação e comentários | Os passos de validação são, muitas vezes, executados mais tarde no fluxo de trabalho, aumentando o risco de detetar problemas de configuração ou esquema atrasados. | A validação ocorre mais perto da experiência de criação, ajudando a identificar problemas mais cedo e a melhorar a qualidade geral antes da implementação. |
| Produtividade do programador | Os programadores passam algum tempo a gerir ferramentas e navegação em vez de se concentrarem na lógica e correção do conector. | Os programadores podem concentrar-se na revisão do código e do esquema de estruturação com a compilação do conector orientado por agente de baixo código. |
Criar um conector personalizado com Sentinel agente do construtor de conectores
Os passos seguintes mostram como criar, validar e implementar um conector de Microsoft Sentinel personalizado com o agente Sentinel Connector Builder no VS Code.
Passo 1: Instalar e abrir a extensão Sentinel para o VS Code
Instale Microsoft Sentinel extensão para o Visual Studio Code e recarregue o VS Code, se lhe for pedido.
Crie e abra uma pasta vazia no Explorador de ficheiros. Todos os ficheiros gerados pelo agente são guardados localmente nesta pasta.
Passo 2: Perguntar ao agente do construtor do Conector do Sentinel
Abra a conversa do VS Code e defina a conversa como Modo de agente.
Perguntar ao agente com
@sentinel. Quando lhe for pedido, selecione/create-connectore selecione qualquer API suportada.Por exemplo, introduza o pedido da seguinte forma:
@sentinel /create-connector Create a connector for Contoso. Here are the API docs: https://contoso-security-api.azurewebsites.net/v0101/api-doc
Forneça as informações da API de origem, os métodos de autenticação para gerar o padrão de conector adequado.
Passo 3: Gerar ou atualizar artefactos do conector
Com base na sua entrada, o agente gera os seguintes quatro ficheiros:
Configuração da consulta
Mapeamentos de regras de recolha de dados (DCR)
Definição do conector
Referências de esquema e tabela alinhadas com Sentinel requisitos
A ilustração mostra os ficheiros do conector JSON gerados.
Nota
Durante a avaliação do agente, selecione Permitir respostas uma vez para aprovar alterações ou selecione a opção Ignorar Aprovações no chat. As avaliações podem demorar até vários minutos a serem concluídas.
Refine iterativamente o conector com o agente ou inline diretamente nos ficheiros JSON gerados. Por exemplo:
Peça ao agente para modificar a descrição, o nome do autor, etc.
Atualizar a lógica de ingestão para o nome da tabela
Ajustar os parâmetros de autenticação ou consulta; por exemplo, frequência de consulta, período de tempo limite, entre outros
Importante
Não edite nem modifique o ficheiro enquanto estiver a criar. Se um campo no ficheiro mostrar um erro, significa que a compilação ainda está em curso.
Passo 4: Validar a configuração do conector
Para validar a API para eventos de origem de dados, clique com o botão direito do rato na pasta que contém o modelo do ARM e selecione Microsoft Sentinel>Est Connector.
No painel Testar Conector , introduza os detalhes de autenticação da API de origem de dados e, em seguida, selecione Ligar.
A consulta é iniciada com base nas definições no ficheiro JSON de configuração de consulta.
No separador Eventos , reveja os cabeçalhos do pedido e os eventos devolvidos pela API.
Nota
Este teste confirma que a chamada à API foi efetuada com êxito e devolve eventos. Não confirma que os eventos estão a ser escritos na sua tabela de Sentinel. A ingestão de tabelas é validada quando concluir a configuração do conector na página Conectores de dados no Microsoft Sentinel.
Depois de validar a ligação, selecione Desligar para parar a sessão de consulta.
Passo 5: Implementar
Depois de o teste de validação ser bem-sucedido, selecione Implementar na janela de chat para começar a implementar o conector.
A extensão abre um painel onde pode escolher entre as áreas de trabalho Microsoft Sentinel disponíveis.
Selecione uma área de trabalho e, em seguida, selecione Implementar para implementar o conector nessa área de trabalho.
Em alternativa, clique com o botão direito do rato na pasta que contém os ficheiros gerados e selecione Microsoft Sentinel>Deploy Connector.
Quando a implementação estiver concluída, é apresentada uma mensagem de êxito na janela Saída .
Nota
Após a implementação numa área de trabalho Sentinel, este conector foca-se na ingestão de dados em tabelas Microsoft Sentinel. Não inclui um pacote de solução completo ou fluxos de trabalho SOAR de ponto a ponto pré-criados para cobertura de segurança. Se precisar de automatização, crie os manuais de procedimentos e fluxos de trabalho necessários para o seu cenário.
Getting Help
- Para parceiros ISV que criam integrações, contacte: azuresentinelpartner@microsoft.com
- Para questões técnicas, utilize o Microsoft Q&A com a etiqueta "azure-sentinel"