Verwenden von Repositorys für die Bereitstellung

  • 3 Minuten

Wenn Sie benutzerdefinierte Inhalte erstellen, können Sie sie in Ihren eigenen Microsoft Sentinel-Arbeitsbereichen oder in einem externen Repository für die Quellcodeverwaltung speichern und verwalten – beispielsweise in einem GitHub- oder Azure DevOps-Repository. Wenn Sie Ihre Inhalte in einem externen Repository verwalten, können Sie die Inhalte außerhalb von Microsoft Sentinel aktualisieren und automatisch in Ihren Arbeitsbereichen bereitstellen lassen.

Voraussetzungen und Umfang

Stellen Sie sicher, dass Sie über Folgendes verfügen, bevor Sie Ihren Microsoft Sentinel-Arbeitsbereich mit einem externen Repository für die Quellcodeverwaltung verbinden:

  • Zugriff auf ein GitHub- oder Azure DevOps-Repository mit allen benutzerdefinierten Inhaltsdateien, die Sie in Ihren Arbeitsbereichen bereitstellen möchten, in relevanten ARM-Vorlagen (Azure Resource Manager).

    Microsoft Sentinel unterstützt derzeit nur Verbindungen mit GitHub- und Azure DevOps-Repositorys.

  • Die Rolle Besitzer in der Ressourcengruppe, die Ihren Microsoft Sentinel-Arbeitsbereich enthält. Diese Rolle ist erforderlich, um die Verbindung zwischen Microsoft Sentinel und Ihrem Repository für die Quellcodeverwaltung herstellen zu können. Wenn Sie die Rolle „Besitzer“ in Ihrer Umgebung nicht verwenden können, können Sie stattdessen die Kombination aus den Rollen „Benutzerzugriffsadministrator“ und „Sentinel-Mitwirkender“ verwenden, um die Verbindung zu erstellen.

Maximale Anzahl von Verbindungen und Bereitstellungen

Jeder Microsoft Sentinel-Arbeitsbereich ist derzeit auf fünf Verbindungen beschränkt.

Jede Azure-Ressourcengruppe ist im Laufe ihrer Bereitstellung auf 800 Bereitstellungen beschränkt. Wenn Ihre Ressourcengruppen sehr viele ARM-Vorlagenbereitstellungen enthalten, wird möglicherweise ein Deployment QuotaExceeded-Fehler zurückgegeben.

Überprüfen Ihrer Inhalte

Wenn Sie Inhalte für Microsoft Sentinel über eine Repositoryverbindung bereitstellen, wird lediglich überprüft, ob die Daten im korrekten ARM-Vorlagenformat vorliegen, eine weitere Inhaltsvalidierung findet nicht statt.

Es wird empfohlen, die Inhaltsvorlagen mithilfe Ihres regulären Überprüfungsprozesses zu überprüfen. Sie können den Microsoft Sentinel-GitHub-Validierungsprozess sowie die entsprechenden Tools nutzen, um einen eigenen Validierungsprozess einzurichten.

Verbinden eines Repositorys

Hier erfahren Sie, wie Sie ein GitHub- oder Azure DevOps-Repository mit Ihrem Microsoft Sentinel-Arbeitsbereich verbinden, um Ihre benutzerdefinierten Inhalte dort zu speichern und zu verwalten anstatt in Microsoft Sentinel.

Jede Verbindung kann mehrere Arten von benutzerdefinierten Inhalten unterstützen, einschließlich Analyseregeln, Automatisierungsregeln, Hunting-Abfragen, Parser, Playbooks und Arbeitsmappen. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel-Inhalt und -Lösungen.

So erstellen Sie die Verbindung:

  • Stellen Sie sicher, dass Sie bei Ihrer Quellcodeverwaltungs-App mit den Anmeldeinformationen angemeldet sind, die Sie für Ihre Verbindung verwenden möchten. Wenn Sie derzeit mit anderen Anmeldeinformationen angemeldet sind, melden Sie sich zuerst ab.

  • Wählen Sie in Microsoft Sentinel links unter Inhaltsverwaltung die Option Repositorys aus.

  • Wählen Sie Neu hinzufügen aus, und geben Sie dann auf der Seite Neue Verbindung erstellen einen aussagekräftigen Namen und eine Beschreibung für Ihre Verbindung ein.

  • Wählen Sie in der Dropdownliste Quellcodeverwaltung die Art des Repositorys aus, mit dem Sie eine Verbindung herstellen möchten, und wählen Sie anschließend Autorisieren aus.

  • Wählen Sie je nach Verbindungstyp eine der folgenden Registerkarten aus:

GitHub

  • Geben Sie bei entsprechender Aufforderung Ihre GitHub-Anmeldeinformationen ein.

    Wenn Sie erstmals eine Verbindung hinzufügen, wird ein neues Browserfenster oder ein neuer Tab geöffnet, in dem Sie aufgefordert werden, die Verbindung mit Microsoft Sentinel zu autorisieren. Falls Sie im gleichen Browser bereits bei Ihrem GitHub-Konto angemeldet sind, werden Ihre GitHub-Anmeldeinformationen automatisch aufgefüllt.

  • Auf der Seite Neue Verbindung erstellen wird nun ein Bereich vom Typ Repository angezeigt. Dort können Sie ein vorhandenes Repository auswählen, mit dem eine Verbindung hergestellt werden soll. Wählen Sie in der Liste Ihr Repository und anschließend Repository hinzufügen aus.

    Wenn Sie erstmals eine Verbindung mit einem Repository herstellen, wird ein neues Browserfenster oder ein neuer Tab geöffnet, in dem Sie aufgefordert werden, die App Azure-Sentinel in Ihrem Repository zu installieren. Sollten Sie über mehrere Repositorys verfügen, wählen Sie die Repositorys aus, in denen Sie die App Azure-Sentinel installieren möchten, und installieren Sie sie.

    Daraufhin werden Sie zu GitHub weitergeleitet, um mit der App-Installation fortzufahren.

  • Nachdem die App Azure-Sentinel in Ihrem Repository installiert wurde, wird die Dropdownliste Branch auf der Seite Neue Verbindung erstellen mit Ihren Branches aufgefüllt. Wählen Sie den Branch aus, den Sie mit Ihrem Microsoft Sentinel-Arbeitsbereich verbinden möchten.

  • Wählen Sie in der Dropdownliste Inhaltstypen den Inhaltstyp aus, den Sie bereitstellen möchten.

    • Sowohl Parser als auch Hunting-Abfragen verwenden die API Gespeicherte Suchvorgänge, um Inhalte für Microsoft Sentinel bereitzustellen. Wenn Sie einen dieser Inhaltstypen auswählen und in Ihrem Branch auch Inhalte des anderen Typs vorhanden sind, werden beide Inhaltstypen bereitgestellt.

    • Bei allen anderen Inhaltstypen führt die Wahl eines Inhaltstyps im Bereich Neue Verbindung erstellen dazu, dass nur diese Inhalte für Microsoft Sentinel bereitgestellt werden. Inhalte anderer Art werden nicht bereitgestellt.

  • Wählen Sie Erstellen aus, um die Verbindung zu erstellen.

Nachdem die Verbindung erstellt wurde, wird ein neuer Workflow oder eine neue Pipeline in Ihrem Repository generiert, und die in Ihrem Repository gespeicherten Inhalte werden in Ihrem Microsoft Sentinel-Arbeitsbereich bereitgestellt.

Die Bereitstellungszeit kann abhängig vom Volumen des von Ihnen bereitgestellten Inhalts variieren.

Azure DevOps

  • Sie sind mit Ihren aktuellen Azure-Anmeldeinformationen automatisch für Azure DevOps autorisiert. Um die Gültigkeit der Konnektivität sicherzustellen, überprüfen Sie, ob Sie für dieselbe Azure DevOps-Organisation autorisiert sind, mit der Sie von Microsoft Sentinel aus eine Verbindung herstellen, oder verwenden Sie ein InPrivate-Browserfenster, um Ihre Verbindung herzustellen.

  • Wählen Sie in den in Microsoft Sentinel angezeigten Dropdownlisten Ihre Organisation, Ihr Projekt, Ihr Repository, Ihren Branch und Ihre Inhaltstypen aus.

    • Sowohl Parser als auch Hunting-Abfragen verwenden die API Gespeicherte Suchvorgänge, um Inhalte für Microsoft Sentinel bereitzustellen. Wenn Sie einen dieser Inhaltstypen auswählen und in Ihrem Branch auch Inhalte des anderen Typs vorhanden sind, werden beide Inhaltstypen bereitgestellt.

    • Bei allen anderen Inhaltstypen führt die Wahl eines Inhaltstyps im Bereich Neue Verbindung erstellen dazu, dass nur diese Inhalte für Microsoft Sentinel bereitgestellt werden. Inhalte anderer Art werden nicht bereitgestellt.

  • Wählen Sie Erstellen aus, um die Verbindung zu erstellen. Zum Beispiel:

Nachdem die Verbindung erstellt wurde, wird ein neuer Workflow oder eine neue Pipeline in Ihrem Repository generiert, und die in Ihrem Repository gespeicherten Inhalte werden in Ihrem Microsoft Sentinel-Arbeitsbereich bereitgestellt.

Die Bereitstellungszeit kann abhängig vom Volumen des von Ihnen bereitgestellten Inhalts variieren.