Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente generatore di connettori Microsoft Sentinel compila i connettori dati in pochi minuti usando il flusso di lavoro assistito dall'intelligenza artificiale in GitHub Copilot usando l'estensione Microsoft Sentinel per Visual Studio Code (VS Code). Questa esperienza con codice ridotto guida gli sviluppatori e i fornitori di software indipendenti (ISV) end-to-end generando in modo autonomo schemi, asset di distribuzione, interfaccia utente del connettore, gestione sicura dei segreti e logica di polling. La convalida predefinita evidenzia in anticipo eventuali problemi di polling, in modo da poter convalidare i log eventi prima di distribuire e inserire i dati.
L'agente di Sentinel Connector Builder consente di:
Ridurre il tempo e l'impegno manuali nella creazione di connettori basati su Codeless Connector Framework (CCF)
Definizioni del connettore Scaffold tramite prompt semplici
Eseguire l'iterazione sulla logica del connettore usando il linguaggio naturale
Convalidare gli artefatti del connettore prima della distribuzione
Prerequisiti
Prima di iniziare, assicurarsi di soddisfare i requisiti seguenti:
Un'area di lavoro Microsoft Sentinel attiva
Accesso a Visual Studio Code con GitHub Copilot
Estensione vs code Microsoft Sentinel installata
Microsoft Sentinel ruolo Collaboratore per creare o modificare i connettori dati Sentinel
Vantaggi dei connettori con l'esperienza Agentic
L'agente generatore di connettori Sentinel può ridurre il tempo di sviluppo del connettore da settimane a ore per molti scenari comuni. Le attività che in precedenza richiedevano più strumenti, handoff manuali e cicli di convalida ripetuti ora possono essere completate inline, consentendo un'iterazione più veloce e una preparazione più rapida per la distribuzione.
| Area | Processo di sviluppo di connettori non di intelligenza artificiale | Estensione di VS Code con l'agente Generatore connettori |
|---|---|---|
| Esperienza di creazione | Le definizioni, gli schemi e gli elementi di configurazione dei connettori vengono spesso creati in più strumenti, inclusi i portale di Azure, gli editor e i modelli JSON. Il cambio di contesto è comune. | La creazione di connettori avviene direttamente in VS Code, insieme ad altri asset di sviluppo, usando un singolo ambiente incentrato sullo sviluppatore. |
| Velocità di iterazione | Per apportare modifiche è in genere necessario spostarsi tra gli strumenti, aggiornare gli elementi e riconvalida manualmente, rallentando l'iterazione. | Gli sviluppatori possono perfezionare in modo iterativo i connettori usando l'agente all'interno di VS Code, riducendo l'attrito tra progettazione, aggiornamento e revisione. |
| Convalida e feedback | I passaggi di convalida vengono spesso eseguiti più avanti nel flusso di lavoro, aumentando il rischio di individuare problemi di schema o configurazione in ritardo. | La convalida si verifica più vicino all'esperienza di creazione, consentendo di identificare i problemi in precedenza e di migliorare la qualità complessiva prima della distribuzione. |
| Produttività degli sviluppatori | Gli sviluppatori dedicano tempo alla gestione degli strumenti e della navigazione anziché concentrarsi sulla logica e sulla correttezza del connettore. | Gli sviluppatori possono concentrarsi sulla revisione del codice e sulla strutturazione dello schema usando l'buildout del connettore basato su agente a basso codice. |
Creare un connettore personalizzato usando Sentinel'agente generatore di connettori
La procedura seguente illustra come creare, convalidare e distribuire un connettore di Microsoft Sentinel personalizzato usando l'agente Sentinel Connector Builder in VS Code.
Passaggio 1: Installare e aprire l'estensione Sentinel per VS Code
Installare Microsoft Sentinel estensioni per Visual Studio Code e ricaricare VS Code, se richiesto.
Creare e aprire una cartella vuota in Esplora file. Tutti i file generati dall'agente vengono salvati in locale in questa cartella.
Passaggio 2: Richiedere l'agente del generatore di connettori Sentinel
Aprire la chat di VS Code e impostare la chat sulla modalità Agente.
Richiedere all'agente di usare
@sentinel. Quando richiesto, selezionare/create-connectore selezionare qualsiasi API supportata.Ad esempio, immettere il prompt come indicato di seguito:
@sentinel /create-connector Create a connector for Contoso. Here are the API docs: https://contoso-security-api.azurewebsites.net/v0101/api-doc
Fornire le informazioni sull'API di origine, i metodi di autenticazione per generare il modello di connettore appropriato.
Passaggio 3: Generare o aggiornare gli artefatti del connettore
In base all'input, l'agente genera i quattro file seguenti:
Configurazione del polling
Mapping delle regole di raccolta dati (DCR)
Definizione del connettore
Riferimenti a schemi e tabelle allineati ai requisiti di Sentinel
La figura mostra i file del connettore JSON generati.
Nota
Durante la valutazione dell'agente, selezionare Consenti risposte una volta per approvare le modifiche oppure selezionare l'opzione Ignora approvazioni nella chat. Il completamento delle valutazioni potrebbe richiedere alcuni minuti.
Perfezionare in modo iterativo il connettore usando l'agente o inline direttamente nei file JSON generati. Ad esempio:
Chiedere all'agente di modificare la descrizione, il nome dell'autore e così via.
Aggiornare la logica di inserimento per il nome della tabella
Modificare i parametri di autenticazione o polling; ad esempio frequenza di polling, finestra di timeout e altri
Importante
Non modificare o modificare il file durante la compilazione. Se un campo nel file mostra un errore, significa che la compilazione è ancora in corso.
Passaggio 4: Convalidare la configurazione del connettore
Per convalidare l'API per gli eventi dell'origine dati, fare clic con il pulsante destro del mouse sulla cartella contenente il modello arm e selezionare Microsoft Sentinel>Test Connector.
Nel riquadro Connettore di test immettere i dettagli di autenticazione per l'API origine dati e quindi selezionare Connetti.
Il polling viene avviato in base alle impostazioni nel file JSON di configurazione del polling.
Nella scheda Eventi esaminare le intestazioni della richiesta e gli eventi restituiti dall'API.
Nota
Questo test conferma che la chiamata API ha avuto esito positivo e restituisce eventi. Non conferma che gli eventi vengano scritti nella tabella Sentinel. L'inserimento di tabelle viene convalidato al termine della configurazione del connettore nella pagina Connettori dati in Microsoft Sentinel.
Dopo aver convalidato la connessione, selezionare Disconnetti per arrestare la sessione di polling.
Passaggio 5: Distribuire
Dopo aver completato il test di convalida, selezionare Distribuisci nella finestra della chat per avviare la distribuzione del connettore.
L'estensione apre un pannello in cui è possibile scegliere tra le aree di lavoro Microsoft Sentinel disponibili.
Selezionare un'area di lavoro, quindi selezionare Distribuisci per distribuire il connettore in tale area di lavoro.
In alternativa, fare clic con il pulsante destro del mouse sulla cartella contenente i file generati, selezionare Microsoft Sentinel>Deploy Connector.
Al termine della distribuzione, nella finestra Output viene visualizzato un messaggio di esito positivo.
Nota
Dopo la distribuzione in un'area di lavoro Sentinel, questo connettore è incentrato sull'inserimento di dati in tabelle Microsoft Sentinel. Non include un pacchetto di soluzione completo o flussi di lavoro SOAR end-to-end predefiniti per la copertura della sicurezza. Se è necessaria l'automazione, creare i playbook e i flussi di lavoro necessari per lo scenario.
Visualizzazione della Guida in linea
- Per i partner ISV che creano integrazioni, contattare: azuresentinelpartner@microsoft.com
- Per domande tecniche, usare Microsoft Q&A con il tag "azure-sentinel"