Freigeben über

Verwalten von benutzerdefinierten Inhalten mit Microsoft Sentinel-Repositorys (öffentliche Vorschau)

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Das Feature „Repositorys“ von Microsoft Sentinel bietet eine zentrale Erfahrung für die Bereitstellung und Verwaltung von Sentinel-Inhalten als Code. Repositorys ermöglichen Verbindungen mit einer externen Quellcodeverwaltung für CI/CD (Continuous Integration/Continuous Delivery). Diese Automatisierung entfernt die Last der manuellen Prozesse zum Aktualisieren und Bereitstellen Ihrer benutzerdefinierten Inhalte in allen Arbeitsbereichen. Weitere Informationen über Sentinel-Inhalte finden Sie unter Informationen zu Microsoft Sentinel-Inhalt und -Lösungen.

Wichtig

Das Microsoft Sentinel-Feature Repositorys befindet sich derzeit in der Vorschauphase. Die ergänzenden Nutzungsbedingungen für Microsoft Azure-Vorschauversionen enthalten weitere rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Planen der Repositoryverbindung

Microsoft Sentinel-Repositorys erfordern eine sorgfältige Planung, um sicherzustellen, dass Sie über die richtigen Berechtigungen von Ihrem Arbeitsbereich zu dem Repository verfügen, das Sie verbinden möchten.

  • Es werden nur Verbindungen mit GitHub- und Azure DevOps-Repositorys unterstützt.
  • Der Zugriff als Mitwirkende auf Ihr GitHub-Repository oder der Zugriff als Projektadministratoren auf Ihr Azure DevOps-Repository ist erforderlich.
  • Die Microsoft Sentinel-Anwendung benötigt eine Autorisierung für Ihr Repository.
  • Aktionen müssen für GitHub aktiviert sein.
  • Pipelines müssen für Azure DevOps aktiviert sein.
  • Eine Azure DevOps-Verbindung muss sich im selben Mandanten wie Ihr Microsoft Sentinel-Arbeitsbereich befinden.

Das Herstellen einer Verbindung mit einem Repository erfordert eine Besitzer-Rolle in der Ressourcengruppe, die Ihren Microsoft Sentinel-Arbeitsbereich enthält. Wenn Sie die Rolle „Besitzer“ in Ihrer Umgebung nicht verwenden können, verwenden Sie stattdessen die Kombination aus den Rollen Benutzerzugriffsadministrator und Sentinel-Mitwirkender, um die Verbindung herzustellen.

Wenn Sie Inhalte in einem öffentlichen Repository finden, für das Sie nicht über die Rolle „Mitwirkender“ verfügen, importieren, forken oder klonen Sie zunächst den Inhalt in ein Repository, in dem Sie über die Rolle „Mitwirkender“ verfügen. Verbinden Sie dann Ihr Repository mit Ihrem Microsoft Sentinel-Arbeitsbereich. Weitere Informationen finden Sie unter Bereitstellen benutzerdefinierter Inhalte aus Ihrem Repository.

Planen des Repositoryinhalts

Repositoryinhalte müssen als Bicep-Dateien oder Azure Resource Manager(ARM)-Vorlagen gespeichert werden. Bicep ist jedoch intuitiver und erleichtert die Beschreibung von Azure-Ressourcen und Microsoft Sentinel-Inhalten.

Stellen Sie Bicep-Dateivorlagen zusammen mit oder anstelle von ARM-JSON-Vorlagen bereit. Wenn Sie die Infrastruktur als Codeoptionen in Erwägung ziehen, empfehlen wir, Bicep zu verwenden. Weitere Informationen finden Sie unter Was ist Bicep?.

Wichtig

Um Bicep-Vorlagen verwenden zu können, muss Ihre Repositoryverbindung aktualisiert werden, wenn Ihre Verbindung vor dem 1. November 2024 erstellt wurde. Repositoryverbindungen müssen entfernt und neu erstellt werden, um sie zu aktualisieren.

Auch wenn der ursprüngliche Inhalt eine ARM-Vorlage ist, sollten Sie in Bicep konvertieren, um die Überprüfungs- und Aktualisierungsprozesse weniger komplex zu gestalten. Bicep steht in engem Zusammenhang mit ARM, da während einer Bereitstellung jede Bicep-Datei in eine ARM-Vorlage konvertiert wird. Weitere Informationen zum Konvertieren von ARM-Vorlagen finden Sie unter Dekompilieren des JSON-Codes einer ARM-Vorlage in Bicep.

Hinweis

Bekannte Bicep-Einschränkungen:

  • Bicep-Vorlagen unterstützen die id-Eigenschaft nicht. Stellen Sie beim Dekompilieren des JSON-Codes einer ARM-Vorlage in Bicep sicher, dass Sie nicht über diese Eigenschaft verfügen. Beispielsweise verfügen aus Microsoft Sentinel exportierte Analyseregelvorlagen über die id-Eigenschaft, die entfernt werden muss.
  • Ändern Sie das ARM-JSON-Schema in Version 2019-04-01, um optimale Ergebnisse beim Dekompilieren zu erzielen.

Überprüfen Ihrer Inhalte

Die folgenden Microsoft Sentinel-Inhaltstypen können über eine Repositoryverbindung bereitgestellt werden:

  • Analyseregeln
  • Automatisierungsregeln
  • Hunting-Abfragen
  • Parser
  • Playbooks
  • Arbeitsmappen

Tipp

In diesem Artikel wird nicht beschrieben, wie Sie diese Inhaltstypen von Grund auf neu erstellen. Weitere Informationen finden Sie im entsprechenden Microsoft Sentinel-GitHub-Wiki für den jeweiligen Inhaltstyp.

Bei der Bereitstellung des Repositorys wird der Inhalt nicht überprüft, sondern es wird nur bestätigt, dass er im richtigen JSON- oder Bicep-Format vorliegt. Testen Sie unbedingt Ihre Inhalte in Microsoft Sentinel vor der Bereitstellung.

Es steht ein Beispielrepository mit Vorlagen für jeden der aufgeführten Inhaltstypen zur Verfügung. Das Repository demonstriert auch, wie Sie erweiterte Features von Repositoryverbindungen verwenden können. Weitere Informationen finden Sie im Beispiel für Microsoft Sentinel CI/CD-Repositorys.

Screenshot: Erfolgreiche Repositoryverbindung. RepositoriesSampleContent wird angezeigt. Der Screenshot zeigt, wie das Beispiel aus dem SentinelCICD-Repository in ein privates GitHub-Repository der FourthCoffee-Organisation importiert wurde

Maximale Anzahl von Verbindungen und Bereitstellungen

  • Jeder Microsoft Sentinel-Arbeitsbereich ist derzeit auf fünf Repositoryverbindungen beschränkt.
  • Jede Azure-Ressourcengruppe ist im Laufe ihrer Bereitstellung auf 800 Bereitstellungen beschränkt. Wenn mindestens eine Ihrer Ressourcengruppen eine hohe Anzahl von Vorlagenbereitstellungen enthält, tritt möglicherweise ein Fehler vom Typ Deployment QuotaExceeded auf. Weitere Informationen finden Sie in der Dokumentation zu Azure Resource Manager-Vorlagen unter DeploymentQuotaExceeded.

Verbessern der Leistung mit intelligenten Bereitstellungen

Tipp

Damit intelligente Bereitstellungen in GitHub funktionieren, müssen Workflows über Lese- und Schreibberechtigungen für Ihr Repository verfügen. Weitere Informationen finden Sie unter Verwalten von GitHub Actions-Einstellungen für ein Repository.

Das Feature Intelligente Bereitstellungen ist eine Back-End-Funktion, die die Leistung verbessert, indem sie aktiv Änderungen an den Inhaltsdateien eines verbundenen Repositorys nachverfolgt. Es verwendet eine CSV-Datei im Ordner .sentinel in Ihrem Repository, um jeden Commit zu überwachen. Der Workflow vermeidet die erneute Bereitstellung von Inhalten, die seit der letzten Bereitstellung nicht geändert wurden. Dieser Prozess verbessert die Leistung Ihrer Bereitstellung und verhindert Manipulationen an unveränderten Inhalten in Ihrem Arbeitsbereich, z. B. das Zurücksetzen dynamischer Zeitpläne Ihrer Analyseregeln.

Intelligente Bereitstellungen sind standardmäßig für neu erstellte Verbindungen aktiviert. Wenn Sie es vorziehen, dass alle Inhalte der Quellcodeverwaltung jedes Mal, wenn eine Bereitstellung ausgelöst wird, bereitgestellt werden, unabhängig davon, ob diese Inhalte geändert wurden oder nicht, können Sie Ihren Workflow ändern, um intelligente Bereitstellungen zu deaktivieren. Weitere Informationen dazu finden Sie unter Anpassen des Workflows oder der Pipeline.

Berücksichtigen von Anpassungsoptionen bei der Bereitstellung

Ziehen Sie beim Bereitstellen von Inhalten mit Microsoft Sentinel-Repositorys die folgenden Anpassungsoptionen in Betracht.

Anpassen des Workflows oder der Pipeline

Passen Sie den Workflow oder die Pipeline auf eine der folgenden Arten an:

  • Konfigurieren verschiedener Bereitstellungstrigger
  • Bereitstellen von Inhalten, die nur aus einem bestimmten Stammordner für einen bestimmten Arbeitsbereich stammen
  • Planen der regelmäßigen Ausführung des Workflows
  • Kombinieren verschiedener Workflowereignisse
  • Deaktivieren von intelligenten Bereitstellungen

Diese Anpassungen werden in einer YML-Datei definiert, die für Ihren Workflow oder Ihre Pipeline spezifisch ist. Weitere Informationen zum Implementieren finden Sie unter Anpassen von Repositorybereitstellungen

Anpassen der Bereitstellung

Nachdem der Workflow oder die Pipeline ausgelöst wurde, unterstützt die Bereitstellung die folgenden Szenarien:

  • Priorisieren von Inhalten, die vor dem übrigen Repositoryinhalt bereitgestellt werden sollen
  • Ausschließen von Inhalten aus der Bereitstellung
  • Angeben von ARM-Vorlagenparameterdateien

Diese Optionen sind über ein Feature des PowerShell-Bereitstellungsskripts verfügbar, das über den Workflow oder die Pipeline aufgerufen wird. Weitere Informationen zum Implementieren dieser Anpassungen finden Sie unter Anpassen von Repositorybereitstellungen.

Nächste Schritte

Hier finden Sie weitere Beispiele und schrittweise Anleitungen für die Bereitstellung von Microsoft Sentinel-Repositorys.