Použití úložišť pro nasazení

3 min

Při vytváření vlastního obsahu ho můžete ukládat a spravovat ve vlastních pracovních prostorech Microsoft Sentinelu nebo v úložišti externí správy zdrojového kódu, včetně úložišť GitHub a Azure DevOps. Správa obsahu v externím úložišti umožňuje provádět aktualizace tohoto obsahu mimo Microsoft Sentinel a automaticky ho nasazovat do vašich pracovních prostorů.

Požadavky a obor

Před připojením pracovního prostoru Microsoft Sentinelu k externímu úložišti správy zdrojového kódu se ujistěte, že máte:

Přístup k úložišti GitHub nebo Azure DevOps s libovolnými vlastními soubory obsahu, které chcete nasadit do pracovních prostorů, v příslušných šablonách Azure Resource Manageru (ARM).

Microsoft Sentinel v současné době podporuje připojení jenom s úložišti GitHub a Azure DevOps.
Role Vlastník ve skupině prostředků, která obsahuje váš pracovní prostor Microsoft Sentinelu. Tato role se vyžaduje k vytvoření připojení mezi Službou Microsoft Sentinel a úložištěm správy zdrojového kódu. Pokud ve svém prostředí nemůžete použít roli Vlastník, můžete k vytvoření připojení použít kombinaci rolí Přispěvatel uživatelských přístupů Správa istrator a Přispěvatel služby Sentinel.

Maximální počet připojení a nasazení

Každý pracovní prostor služby Microsoft Sentinel je v současnosti omezen na pět připojení.

V historii nasazení jsou všechny skupiny prostředků Azure omezeny na 800 nasazení. Pokud máte ve skupinách prostředků velké množství nasazení šablon ARM, může se zobrazit chyba Deployment QuotaExceeded.

Ověření obsahu

Nasazení obsahu do Microsoft Sentinelu prostřednictvím připojení úložiště neověřuje obsah jiný než ověření, že data jsou ve správném formátu šablony ARM.

Doporučujeme, abyste pomocí běžného procesu ověřování ověřili šablony obsahu. K nastavení vlastního procesu ověřování můžete použít ověřovací proces a nástroje GitHubu pro Microsoft Sentinel.

Připojení úložiště

Tento postup popisuje, jak připojit úložiště GitHub nebo Azure DevOps k pracovnímu prostoru Microsoft Sentinelu, kde můžete ukládat a spravovat vlastní obsah místo v Microsoft Sentinelu.

Každé připojení může podporovat více typů vlastního obsahu, včetně analytických pravidel, pravidel automatizace, dotazů proaktivního vyhledávání, analyzátorů, playbooků a sešitů. Další informace najdete v tématu O obsahu a řešeních služby Microsoft Sentinel.

Vytvoření připojení:

Ujistěte se, že jste přihlášení k aplikaci správy zdrojového kódu pomocí přihlašovacích údajů, které chcete použít pro připojení. Pokud jste aktuálně přihlášení pomocí různých přihlašovacích údajů, nejprve se odhlaste.
V Microsoft Sentinelu na levé straně v části Správa obsahu vyberte Úložiště.
Vyberte Přidat nový a potom na stránce Vytvořit nové připojení zadejte smysluplný název a popis připojení.
V rozevíracím seznamu Správa zdrojového kódu vyberte typ úložiště, ke kterému se chcete připojit, a pak vyberte Autorizovat.
V závislosti na typu připojení vyberte jednu z následujících karet:

GitHubu

Po zobrazení výzvy zadejte svoje přihlašovací údaje GitHubu.

Při prvním přidání připojení se zobrazí nové okno nebo karta prohlížeče s výzvou k autorizaci připojení k Microsoft Sentinelu. Pokud jste už přihlášení ke svému účtu GitHubu ve stejném prohlížeči, přihlašovací údaje GitHubu se vyplní automaticky.
Oblast Úložiště se teď zobrazuje na stránce Vytvořit nové připojení, kde můžete vybrat existující úložiště, ke kterému se chcete připojit. V seznamu vyberte své úložiště a pak vyberte Přidat úložiště.

Při prvním připojení k určitému úložišti se zobrazí nové okno nebo karta prohlížeče s výzvou k instalaci aplikace Azure-Sentinel do úložiště. Pokud máte více úložišť, vyberte úložiště, do kterého chcete nainstalovat aplikaci Azure-Sentinel, a nainstalujte ji.

Budete přesměrováni na GitHub, abyste mohli pokračovat v instalaci aplikace.
Po instalaci aplikace Azure-Sentinel do vašeho úložiště se ve větvích naplní rozevírací seznam Větve na stránce Vytvořit nové připojení. Vyberte větev, kterou chcete připojit k pracovnímu prostoru Služby Microsoft Sentinel.
V rozevíracím seznamu Typy obsahu vyberte typ obsahu, který budete nasazovat.
- Analyzátory i dotazy proaktivního vyhledávání používají k nasazení obsahu do Služby Microsoft Sentinel rozhraní API uloženého vyhledávání. Pokud vyberete jeden z těchto typů obsahu a zároveň máte ve větvi obsah druhého typu, nasadí se oba typy obsahu.
- U všech ostatních typů obsahu se výběrem typu obsahu v podokně Vytvořit nové připojení nasadí jenom tento obsah do Služby Microsoft Sentinel. Obsah jiných typů není nasazený.
Vyberte Vytvořit a vytvořte připojení.

Po vytvoření připojení se v úložišti vygeneruje nový pracovní postup nebo kanál a obsah uložený v úložišti se nasadí do pracovního prostoru Microsoft Sentinelu.

Doba nasazení se může lišit v závislosti na objemu obsahu, který nasazujete.

Azure DevOps

K Azure DevOps máte automaticky oprávnění pomocí aktuálních přihlašovacích údajů Azure. Pokud chcete zajistit platné připojení, ověřte, že jste autorizovali stejnou organizaci Azure DevOps, ke které se připojujete z Microsoft Sentinelu, nebo vytvořte připojení pomocí okna prohlížeče InPrivate.
V Microsoft Sentinelu v rozevíracích seznamech, které se zobrazí, vyberte vaši organizaci, projekt, úložiště, větev a typy obsahu.
- Analyzátory i dotazy proaktivního vyhledávání používají k nasazení obsahu do Služby Microsoft Sentinel rozhraní API uloženého vyhledávání. Pokud vyberete jeden z těchto typů obsahu a zároveň máte ve větvi obsah druhého typu, nasadí se oba typy obsahu.
- U všech ostatních typů obsahu se výběrem typu obsahu v podokně Vytvořit nové připojení nasadí jenom tento obsah do Služby Microsoft Sentinel. Obsah jiných typů není nasazený.
Vyberte Vytvořit a vytvořte připojení. Příklad: