Správa vlastního obsahu pomocí úložišť Microsoft Sentinelu (Public Preview)
Funkce úložišť Microsoft Sentinel poskytuje centrální prostředí pro nasazení a správu obsahu služby Sentinel jako kódu. Úložiště umožňují připojení k externí správě zdrojového kódu pro kontinuální integraci nebo průběžné doručování (CI/CD). Tato automatizace eliminuje zátěž ručních procesů pro aktualizaci a nasazení vlastního obsahu napříč pracovními prostory. Další informace o obsahu služby Sentinel najdete v tématu o obsahu a řešeních služby Microsoft Sentinel.
Důležité
Funkce úložiště Služby Microsoft Sentinel je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Plánování připojení úložiště
Úložiště Microsoft Sentinel vyžadují pečlivé plánování, abyste měli správná oprávnění z pracovního prostoru k úložišti, které chcete připojit. V současné době se podporují jenom připojení k úložištím GitHub a Azure DevOps s přístupem přispěvatele. Aplikace Microsoft Sentinel bude potřebovat autorizaci k vašemu úložišti a bude mít povolené akce pro GitHub a Pipelines pro Azure DevOps.
Úložiště vyžadují roli Vlastník ve skupině prostředků, která obsahuje váš pracovní prostor Služby Microsoft Sentinel. Tato role se vyžaduje k vytvoření připojení mezi Službou Microsoft Sentinel a úložištěm správy zdrojového kódu. Pokud ve svém prostředí nemůžete použít roli Vlastník, můžete k vytvoření připojení použít kombinaci rolí Správce uživatelských přístupů a Přispěvatel služby Sentinel.
Pokud najdete obsah ve veřejném úložišti, kde nejste přispěvatelem, budete ho nejdřív muset dostat do svého úložiště. Můžete to udělat pomocí importu, forku nebo klonování obsahu do úložiště, kde jste přispěvatelem. Pak můžete úložiště připojit k pracovnímu prostoru služby Sentinel. Další informace najdete v tématu Nasazení vlastního obsahu z úložiště.
Ověření obsahu
Následující typy obsahu služby Microsoft Sentinel je možné nasadit prostřednictvím připojení úložiště:
- Analytická pravidla
- Pravidla automatizace
- Proaktivní dotazy
- Analyzátory
- Playbooky
- Workbooks
Tip
Tento článek nepopisuje, jak vytvářet tyto typy obsahu od začátku. Další informace najdete na příslušném wikiwebu GitHubu pro Microsoft Sentinel pro každý typ obsahu.
Obsah úložišť musí být uložený jako šablony ARM. Nasazení úložišť neověřuje obsah s výjimkou potvrzení, že je ve správném formátu JSON.
Prvním krokem k ověření obsahu je jeho otestování v rámci Služby Microsoft Sentinel. Ověřovací proces a nástroje GitHubu pro Microsoft Sentinel můžete použít také k doplnění procesu ověřování.
Ukázkové úložiště je k dispozici se šablonami ARM pro každý z výše uvedených typů obsahu. Úložiště také ukazuje, jak používat pokročilé funkce připojení úložiště. Další informace najdete v ukázce úložišť CICD služby Sentinel.
Maximální počet připojení a nasazení
Každý pracovní prostor Služby Microsoft Sentinel je v současné době omezený na pět připojení úložiště.
Každá skupina prostředků Azure je v historii nasazení omezená na 800 nasazení . Pokud máte ve skupinách prostředků velký objem nasazení šablon ARM, může se
Deployment QuotaExceededzobrazit chyba. Další informace najdete v tématu DeploymentQuotaExceededed v dokumentaci šablon Azure Resource Manageru.
Zlepšení výkonu pomocí inteligentních nasazení
Tip
Aby bylo zajištěno, že inteligentní nasazení funguje na GitHubu, musí mít pracovní postupy oprávnění ke čtení a zápisu ve vašem úložišti. Další podrobnosti najdete v tématu Správa nastavení GitHub Actions pro úložiště .
Funkce inteligentních nasazení je back-endová funkce, která zlepšuje výkon aktivním sledováním změn souborů obsahu připojeného úložiště. K auditování každého potvrzení používá soubor CSV ve složce .sentinel ve vašem úložišti. Pracovní postup se vyhne opětovnému nasazení obsahu, který se od posledního nasazení nezměnil. Tento proces zlepšuje výkon nasazení a zabraňuje manipulaci s nezměněným obsahem v pracovním prostoru, například resetováním dynamických plánů analytických pravidel.
Inteligentní nasazení jsou ve výchozím nastavení povolená u nově vytvořených připojení. Pokud dáváte přednost nasazení veškerého obsahu správy zdrojového kódu při každém aktivaci nasazení bez ohledu na to, jestli byl tento obsah změněn nebo ne, můžete pracovní postup upravit tak, aby se inteligentní nasazení zakázala. Další informace naleznete v tématu Přizpůsobení pracovního postupu nebo kanálu.
Poznámka:
Tato funkce byla spuštěna ve verzi Public Preview 20. dubna 2022. Připojení vytvořená před spuštěním by se museli aktualizovat nebo znovu vytvořit, aby bylo možné zapnout inteligentní nasazení.
Zvažte možnosti přizpůsobení nasazení.
Při nasazování obsahu s úložišti Microsoft Sentinel je k dispozici celá řada možností přizpůsobení.
Přizpůsobení pracovního postupu nebo kanálu
Pracovní postup nebo kanál můžete přizpůsobit jedním z následujících způsobů:
- konfigurace různých aktivačních událostí nasazení
- Nasazení obsahu pouze z konkrétní kořenové složky pro daný pracovní prostor
- naplánování pravidelného spuštění pracovního postupu
- zkombinování různých událostí pracovního postupu
- vypnutí inteligentních nasazení
Tato přizpůsobení jsou definována v souboru .yml specifickém pro váš pracovní postup nebo kanál. Další podrobnosti o implementaci najdete v tématu Přizpůsobení nasazení úložiště.
Přizpůsobení nasazení
Po aktivaci pracovního postupu nebo kanálu podporuje nasazení následující scénáře:
- určete prioritu obsahu, který se má nasadit před zbytkem obsahu úložiště.
- vyloučit obsah z nasazení
- zadání souborů parametrů šablony ARM
Tyto možnosti jsou k dispozici prostřednictvím funkce skriptu nasazení PowerShellu volaného z pracovního postupu nebo kanálu. Další podrobnosti o implementaci těchto přizpůsobení najdete v tématu Přizpůsobení nasazení úložiště.
Další kroky
Získejte další příklady a podrobné pokyny k nasazení úložišť Microsoft Sentinel.