Freigeben über

Verwalten von benutzerdefinierten Inhalten mit Microsoft Sentinel-Repositorys (öffentliche Vorschau)

  • Artikel

Das Feature „Repositorys“ von Microsoft Sentinel bietet eine zentrale Erfahrung für die Bereitstellung und Verwaltung von Sentinel-Inhalten als Code. Repositorys ermöglichen Verbindungen mit einer externen Quellcodeverwaltung für CI/CD (Continuous Integration/Continuous Delivery). Diese Automatisierung entfernt die Last der manuellen Prozesse zum Aktualisieren und Bereitstellen Ihrer benutzerdefinierten Inhalte in allen Arbeitsbereichen. Weitere Informationen über Sentinel-Inhalte finden Sie unter Informationen zu Microsoft Sentinel-Inhalt und -Lösungen.

Wichtig

Das Microsoft Sentinel-Feature Repositorys befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Planen der Repositoryverbindung

Microsoft Sentinel-Repositorys erfordern eine sorgfältige Planung, um sicherzustellen, dass Sie über die richtigen Berechtigungen von Ihrem Arbeitsbereich zu dem Repository verfügen, das Sie verbinden möchten. Derzeit werden nur Verbindungen mit GitHub- und Azure DevOps-Repositorys mit Zugriff vom Typ „Mitwirkender“ unterstützt. Die Microsoft Sentinel-Anwendung benötigt eine Autorisierung für Ihr Repository und muss Aktionen für GitHub und Pipelines für Azure DevOps aktiviert haben.

Repositorys erfordern eine Besitzer-Rolle in der Ressourcengruppe, die Ihren Microsoft Sentinel-Arbeitsbereich enthält. Diese Rolle ist erforderlich, um die Verbindung zwischen Microsoft Sentinel und Ihrem Repository für die Quellcodeverwaltung herstellen zu können. Wenn Sie die Rolle „Besitzer“ in Ihrer Umgebung nicht verwenden können, können Sie stattdessen die Kombination aus den Rollen Benutzerzugriffsadministrator und Sentinel-Mitwirkender verwenden, um die Verbindung zu erstellen.

Wenn Sie Inhalte in einem öffentlichen Repository finden, für das Sie nicht über die Berechtigung „Mitwirkender“ verfügen, müssen Sie diese Inhalte zunächst in Ihr Repository abrufen. Das können Sie mit einem Import, einem Fork oder einem Klon des Inhalts in ein Repositorys erreichen, zu dem Sie beitragen. Dann können Sie Ihr Repository mit Ihrem Sentinel-Arbeitsbereich verbinden. Weitere Informationen finden Sie unter Bereitstellen benutzerdefinierter Inhalte aus Ihrem Repository.

Überprüfen Ihrer Inhalte

Die folgenden Microsoft Sentinel-Inhaltstypen können über eine Repositoryverbindung bereitgestellt werden:

  • Analyseregeln
  • Automatisierungsregeln
  • Hunting-Abfragen
  • Parser
  • Playbooks
  • Arbeitsmappen

Tipp

In diesem Artikel wird nicht beschrieben, wie Sie diese Inhaltstypen von Grund auf neu erstellen. Weitere Informationen finden Sie im entsprechenden Microsoft Sentinel-GitHub-Wiki für den jeweiligen Inhaltstyp.

Die Inhalte des Repositorys müssen als ARM-Vorlagen gespeichert werden. Bei der Bereitstellung des Repositorys wird der Inhalt nicht überprüft, sondern es wird nur bestätigt, dass er im richtigen JSON-Format vorliegt.

Der erste Schritt zum Überprüfen Ihrer Inhalte besteht darin, sie in Microsoft Sentinel zu testen. Sie können auch den Microsoft Sentinel-GitHub-Validierungsprozess sowie die entsprechenden Tools anwenden, um einen eigenen Validierungsprozess zu ergänzen.

Es steht ein Beispielrepository mit ARM-Vorlagen für jeden der oben aufgeführten Inhaltstypen zur Verfügung. Das Repository demonstriert auch, wie Sie erweiterte Features von Repositoryverbindungen verwenden können. Weitere Informationen finden Sie im Beispiel für Sentinel CICD-Repositorys.

Screenshot: Erfolgreiche Repositoryverbindung. RepositoriesSampleContent wird angezeigt. Der Screenshot zeigt, wie das Beispiel aus dem SentinelCICD-Repository in ein privates GitHub-Repository der FourthCoffee-Organisation importiert wurde

Maximale Anzahl von Verbindungen und Bereitstellungen

  • Jeder Microsoft Sentinel-Arbeitsbereich ist derzeit auf fünf Repositoryverbindungen beschränkt.

  • Jede Azure-Ressourcengruppe ist im Laufe ihrer Bereitstellung auf 800 Bereitstellungen beschränkt. Wenn Ihre Ressourcengruppen eine hohe Anzahl von ARM-Vorlagenbereitstellungen enthalten, tritt möglicherweise ein Fehler vom Typ Deployment QuotaExceeded auf. Weitere Informationen finden Sie in der Dokumentation zu Azure Resource Manager-Vorlagen unter DeploymentQuotaExceeded.

Verbessern der Leistung mit intelligenten Bereitstellungen

Tipp

Damit intelligente Bereitstellungen in GitHub funktionieren, müssen Workflows über Lese- und Schreibberechtigungen für Ihr Repository verfügen. Weitere Informationen finden Sie unter Verwalten von GitHub Actions-Einstellungen für ein Repository.

Das Feature Intelligente Bereitstellungen ist eine Back-End-Funktion, die die Leistung verbessert, indem sie aktiv Änderungen an den Inhaltsdateien eines verbundenen Repositorys nachverfolgt. Es verwendet eine CSV-Datei im Ordner „.sentinel“ in Ihrem Repository, um jeden Commit zu überwachen. Der Workflow vermeidet die erneute Bereitstellung von Inhalten, die seit der letzten Bereitstellung nicht geändert wurden. Dieser Prozess verbessert die Leistung Ihrer Bereitstellung und verhindert Manipulationen an unveränderten Inhalten in Ihrem Arbeitsbereich, z. B. das Zurücksetzen dynamischer Zeitpläne Ihrer Analyseregeln.

Intelligente Bereitstellungen sind standardmäßig für neu erstellte Verbindungen aktiviert. Wenn Sie es vorziehen, dass alle Inhalte der Quellcodeverwaltung jedes Mal, wenn eine Bereitstellung ausgelöst wird, bereitgestellt werden, unabhängig davon, ob diese Inhalte geändert wurden oder nicht, können Sie Ihren Workflow ändern, um intelligente Bereitstellungen zu deaktivieren. Weitere Informationen dazu finden Sie unter Anpassen des Workflows oder der Pipeline.

Hinweis

Diese Funktion wurde am 20. April 2022 in der öffentlichen Vorschau gestartet. Verbindungen, die vor dem Start erstellt wurden, müssen aktualisiert oder neu erstellt werden, damit intelligente Bereitstellungen aktiviert werden.

Berücksichtigen von Anpassungsoptionen bei der Bereitstellung

Bei der Bereitstellung von Inhalten mit Microsoft Sentinel-Repositorys stehen eine Reihe von Anpassungsoptionen zur Verfügung.

Anpassen des Workflows oder der Pipeline

Es wird empfohlen, den Workflow oder die Pipeline auf eine der folgenden Arten anzupassen:

  • Konfigurieren verschiedener Bereitstellungstrigger
  • Bereitstellen von Inhalten, die nur aus einem bestimmten Stammordner für einen bestimmten Arbeitsbereich stammen
  • Planen der regelmäßigen Ausführung des Workflows
  • Kombinieren verschiedener Workflowereignisse
  • Deaktivieren von intelligenten Bereitstellungen

Diese Anpassungen werden in einer YML-Datei definiert, die für Ihren Workflow oder Ihre Pipeline spezifisch ist. Ausführlichere Informationen zum Implementieren finden Sie unter Anpassen von Repositorybereitstellungen.

Anpassen der Bereitstellung

Nachdem der Workflow oder die Pipeline ausgelöst wurde, unterstützt die Bereitstellung die folgenden Szenarien:

  • Priorisieren von Inhalten, die vor dem übrigen Repositoryinhalt bereitgestellt werden sollen
  • Ausschließen von Inhalten aus der Bereitstellung
  • Angeben von ARM-Vorlagenparameterdateien

Diese Optionen sind über ein Feature des PowerShell-Bereitstellungsskripts verfügbar, das über den Workflow oder die Pipeline aufgerufen wird. Ausführlichere Informationen zum Implementieren dieser Anpassungen finden Sie unter Anpassen von Repositorybereitstellungen.

Nächste Schritte

Hier finden Sie weitere Beispiele und schrittweise Anleitungen für die Bereitstellung von Microsoft Sentinel-Repositorys.