Sdílet prostřednictvím

Správa vlastního obsahu pomocí úložišť Microsoft Sentinelu (Public Preview)

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Funkce úložišť Microsoft Sentinel poskytuje centrální prostředí pro nasazení a správu obsahu služby Sentinel jako kódu. Úložiště umožňují připojení k externí správě zdrojového kódu pro kontinuální integraci nebo průběžné doručování (CI/CD). Tato automatizace eliminuje zátěž ručních procesů pro aktualizaci a nasazení vlastního obsahu napříč pracovními prostory. Další informace o obsahu služby Sentinel najdete v tématu o obsahu a řešeních služby Microsoft Sentinel.

Důležité

Funkce úložiště Služby Microsoft Sentinel je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Plánování připojení úložiště

Úložiště Microsoft Sentinel vyžadují pečlivé plánování, abyste měli správná oprávnění z pracovního prostoru k úložišti, které chcete připojit.

  • Podporují se jenom připojení k úložištím GitHub a Azure DevOps.
  • Vyžaduje se přístup spolupracovníka k úložišti GitHub nebo správci projektu k vašemu úložišti Azure DevOps.
  • Aplikace Microsoft Sentinel potřebuje autorizaci k vašemu úložišti.
  • Pro GitHub musí být povolené akce.
  • Kanály musí být povolené pro Azure DevOps.
  • Připojení Azure DevOps musí být ve stejném tenantovi jako váš pracovní prostor Microsoft Sentinelu.

Vytvoření připojení k úložišti vyžaduje roli Vlastník ve skupině prostředků, která obsahuje váš pracovní prostor Služby Microsoft Sentinel. Pokud ve svém prostředí nemůžete použít roli Vlastník, vytvořte připojení pomocí kombinace rolí Správce uživatelských přístupů a Přispěvatel služby Sentinel.

Pokud najdete obsah ve veřejném úložišti, kde nejste přispěvatelem, nejprve importujte, fork nebo naklonujte obsah do úložiště, kde jste přispěvatelem. Pak připojte úložiště k pracovnímu prostoru Microsoft Sentinelu. Další informace najdete v tématu Nasazení vlastního obsahu z úložiště.

Plánování obsahu úložiště

Obsah úložiště musí být uložený jako soubory Bicep nebo šablony Azure Resource Manageru (ARM). Bicep je ale intuitivnější a usnadňuje popis prostředků Azure a obsahu Služby Microsoft Sentinel.

Nasaďte šablony souborů Bicep společně nebo místo šablon JSON ARM. Pokud uvažujete o infrastruktuře jako možnostech kódu, doporučujeme se podívat na Bicep. Další informace najdete v tématu Co je Bicep?.

Důležité

Pokud chcete použít šablony Bicep, je potřeba aktualizovat připojení k úložištím, pokud bylo připojení vytvořeno před 1. listopadem 2024. Aby bylo možné aktualizovat připojení úložišť, je potřeba odebrat a znovu vytvořit.

I když je původní obsah šablonou ARM, zvažte převod na Bicep, aby byl proces kontroly a aktualizace méně složitý. Bicep úzce souvisí s ARM, protože během nasazení se každý soubor Bicep převede na šablonu ARM. Další informace o převodu šablon ARM najdete v tématu Dekompilování KÓDU JSON šablony ARM na Bicep.

Poznámka:

Známá omezení Bicep:

  • Šablony Bicep vlastnost nepodporují id . Při dekompilování JSON ARM na Bicep se ujistěte, že tuto vlastnost nemáte. Například šablony analytických pravidel exportované z Microsoft Sentinelu id mají vlastnost, která vyžaduje odebrání.
  • Změňte schéma JSON ARM na verzi 2019-04-01 pro nejlepší výsledky při dekompilování.

Ověření obsahu

Následující typy obsahu služby Microsoft Sentinel je možné nasadit prostřednictvím připojení úložiště:

  • Analytická pravidla
  • Pravidla automatizace
  • Proaktivní dotazy
  • Analyzátory
  • Playbooky
  • Workbooks

Tip

Tento článek nepopisuje, jak vytvářet tyto typy obsahu od začátku. Další informace najdete na příslušném wikiwebu GitHubu pro Microsoft Sentinel pro každý typ obsahu.

Nasazení úložišť neověřuje obsah s výjimkou potvrzení, že je ve správném formátu JSON nebo Bicep. Před nasazením nezapomeňte svůj obsah otestovat v Rámci služby Microsoft Sentinel.

Ukázkové úložiště je k dispozici se šablonami pro každý z uvedených typů obsahu. Úložiště také ukazuje, jak používat pokročilé funkce připojení úložiště. Další informace najdete v ukázce úložišť CI/CD služby Microsoft Sentinel.

Snímek obrazovky s úspěšným připojením k úložišti Zobrazí se úložištěSampleContent. Tento snímek obrazovky je po importu ukázky z úložiště SentinelCICD do privátního úložiště GitHubu v organizaci FourthCoffee.

Maximální počet připojení a nasazení

  • Každý pracovní prostor Služby Microsoft Sentinel je v současné době omezený na pět připojení úložiště.
  • Každá skupina prostředků Azure je v historii nasazení omezená na 800 nasazení . Pokud máte velký objem nasazení šablony jedné nebo více skupin prostředků, může se Deployment QuotaExceeded zobrazit chyba. Další informace najdete v tématu DeploymentQuotaExceededed v dokumentaci šablon Azure Resource Manageru.

Zlepšení výkonu pomocí inteligentních nasazení

Tip

Aby bylo zajištěno, že inteligentní nasazení funguje na GitHubu, musí mít pracovní postupy oprávnění ke čtení a zápisu ve vašem úložišti. Další podrobnosti najdete v tématu Správa nastavení GitHub Actions pro úložiště .

Funkce inteligentních nasazení je back-endová funkce, která zlepšuje výkon aktivním sledováním změn souborů obsahu připojeného úložiště. K auditování každého potvrzení používá soubor CSV ve .sentinel složce ve vašem úložišti. Pracovní postup se vyhne opětovnému nasazení obsahu, který se od posledního nasazení nezměnil. Tento proces zlepšuje výkon nasazení a zabraňuje manipulaci s nezměněným obsahem v pracovním prostoru, například resetováním dynamických plánů analytických pravidel.

Inteligentní nasazení jsou ve výchozím nastavení povolená u nově vytvořených připojení. Pokud dáváte přednost veškerému obsahu správy zdrojového kódu nasazeného při každém spuštění nasazení bez ohledu na to, jestli byl tento obsah změněn nebo ne, upravte pracovní postup tak, aby zakázal inteligentní nasazení. Další informace naleznete v tématu Přizpůsobení pracovního postupu nebo kanálu.

Zvažte možnosti přizpůsobení nasazení.

Při nasazování obsahu s úložišti Microsoft Sentinel zvažte následující možnosti přizpůsobení.

Přizpůsobení pracovního postupu nebo kanálu

Přizpůsobte si pracovní postup nebo kanál jedním z následujících způsobů:

  • konfigurace různých aktivačních událostí nasazení
  • Nasazení obsahu pouze z konkrétní kořenové složky pro daný pracovní prostor
  • naplánování pravidelného spuštění pracovního postupu
  • zkombinování různých událostí pracovního postupu
  • vypnutí inteligentních nasazení

Tato přizpůsobení jsou definována v souboru .yml specifickém pro váš pracovní postup nebo kanál. Další informace o tom, jak implementovat, najdete v tématu Přizpůsobení nasazení úložiště.

Přizpůsobení nasazení

Po aktivaci pracovního postupu nebo kanálu podporuje nasazení následující scénáře:

  • určete prioritu obsahu, který se má nasadit před zbytkem obsahu úložiště.
  • vyloučit obsah z nasazení
  • zadání souborů parametrů šablony ARM

Tyto možnosti jsou k dispozici prostřednictvím funkce skriptu nasazení PowerShellu volaného z pracovního postupu nebo kanálu. Další informace o implementaci těchto přizpůsobení najdete v tématu Přizpůsobení nasazení úložiště.

Další kroky

Získejte další příklady a podrobné pokyny k nasazení úložišť Microsoft Sentinel.