Partager via

Gérer du contenu personnalisé avec des référentiels Microsoft Sentinel (préversion publique)

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

La fonctionnalité des référentiels Microsoft Sentinel offre une expérience centrale pour le déploiement et la gestion du contenu Sentinel en tant que code. Les référentiels autorisent les connexions à un contrôle de code source externe pour l’intégration continue/la livraison continue (CI/CD). Cette automatisation supprime la charge des processus manuels de mise à jour et de déploiement de votre contenu personnalisé dans les espaces de travail. Pour plus d’informations sur le contenu Sentinel, consultez À propos du contenu et des solutions Microsoft Sentinel.

Important

La fonctionnalité Référentiels de Microsoft Sentinel est actuellement en PRÉVERSION. Voir les Avenant aux conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure pour découvrir plus de conditions juridiques applicables aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui n’ont pas encore été mises en disponibilité générale.

Planifier la connexion de votre référentiel

Les référentiels Microsoft Sentinel nécessitent une planification minutieuse pour vous assurer que vous disposez des autorisations appropriées de votre espace de travail vers le référentiel (dépôt) que vous souhaitez connecter.

  • Seules les connexions aux référentiels GitHub et Azure DevOps sont prises en charge.
  • Un accès collaborateur à votre référentiel GitHub ou un accès administrateur de projet à votre référentiel Azure DevOps est requis.
  • L’application Microsoft Sentinel a besoin d’une autorisation pour accéder à votre référentiel.
  • La fonctionnalité Actions doit être activée pour GitHub.
  • Les pipelines doivent être activés pour Azure DevOps.
  • Une connexion Azure DevOps doit se trouver dans le même locataire que votre espace de travail Microsoft Sentinel.

La création d’une connexion à un référentiel demande d’avoir le rôle Propriétaire dans le groupe de ressources contenant votre espace de travail Microsoft Sentinel. Si vous ne pouvez pas utiliser le rôle Propriétaire dans votre environnement, utilisez les rôles Administrateur d’accès utilisateur et Contributeur Sentinel ensemble pour créer la connexion.

Si vous trouvez du contenu dans un référentiel public où vous n’êtes pas contributeur, commencez par importer, dupliquer (fork) ou cloner le contenu dans un référentiel où vous êtes contributeur. Connectez ensuite votre référentiel à votre espace de travail Microsoft Sentinel. Pour plus d’informations, consultez Déployer du contenu personnalisé à partir de votre référentiel.

Planifier le contenu de votre référentiel

Le contenu du référentiel doit être stocké en tant que fichiers Bicep ou modèles Azure Resource Manager (ARM). Toutefois, Bicep est plus intuitif et facilite la description des ressources Azure et du contenu Microsoft Sentinel.

Déployez des modèles de fichiers Bicep avec ou à la place des modèles ARM JSON. Si vous considérez des options d’infrastructure en tant que code, nous vous recommandons de vous pencher sur Bicep. Pour plus d’informations, voir Qu’est-ce que Bicep ?.

Important

Pour utiliser des modèles Bicep, votre connexion aux référentiels doit être mise à jour si votre connexion a été créée avant le 1er novembre 2024. Les connexions aux référentiels doivent être supprimées et recréées afin de les mettre à jour.

Même si votre contenu d’origine est un modèle ARM, envisagez une conversion en fichiers Bicep pour rendre les processus de révision et de mise à jour moins complexes. Bicep et ARM sont étroitement liés parce que chaque fichier Bicep est converti en modèle ARM pendant le déploiement. Pour plus d’informations sur la conversion de modèles ARM, consultez Décompiler un modèle ARM JSON en fichier Bicep.

Remarque

Limitations connues de Bicep :

  • Les modèles Bicep ne prennent pas en charge la propriété id. Lorsque vous décompilez des modèles ARM JSON en fichier Bicep, vérifiez que cette propriété n’y figure pas. Par exemple, les modèles de règle analytique exportés depuis Microsoft Sentinel comportent la propriété id, qui doit être supprimée.
  • Remplacez le schéma ARM JSON par la version 2019-04-01 pour obtenir des résultats optimaux lors de la décompilation.

Valider votre contenu

Les types de contenu Microsoft Sentinel suivants peuvent être déployés via une connexion de référentiel :

  • Règles analytiques
  • Règles d’automatisation
  • Requêtes de chasse
  • Analyseurs
  • Playbooks
  • Workbooks

Conseil

Cet article ne décrit pas comment créer ces types de contenu à partir de rien. Pour plus d’informations, consultez le wiki GitHub Microsoft Sentinel approprié pour chaque type de contenu.

Le déploiement de référentiels ne valide pas le contenu, sauf pour confirmer qu’il est au bon format JSON ou Bicep. Veillez à tester votre contenu dans Microsoft Sentinel avant de le déployer.

Un exemple de référentiel est disponible avec des modèles pour chacun des types de contenu répertoriés. Le référentiel montre également comment utiliser des fonctionnalités avancées des connexions de référentiel. Pour plus d’informations, consultez les exemples de référentiels CI/CD Microsoft Sentinel.

Capture d’écran d’une connexion réussie à un référentiel. Le contenu de RepositoriesSample est affiché. Cette capture d’écran a été réalisée après l’importation de l’échantillon du référentiel SentinelCICD vers un référentiel GitHub privé de l’organisation FourthCoffee.

Nombre maximal de connexions et de déploiements

  • Chaque espace de travail Microsoft Sentinel est actuellement limité à cinq connexions de référentiel.
  • L’historique de déploiement de chaque groupe de ressources Azure est limité à 800 déploiements. Si vous avez un grand nombre de déploiements de modèles dans un ou plusieurs de vos groupes de ressources, vous risquez de voir l’erreur Deployment QuotaExceeded. Pour plus d’informations, consultez DeploymentQuotaExceeded dans la documentation relative aux modèles Azure Resource Manager.

Améliorer les performances avec des déploiements intelligents

Conseil

Pour garantir le fonctionnement des déploiements intelligents dans GitHub, les workflows doivent disposer d’autorisations de lecture et d’écriture sur votre référentiel. Pour plus d’informations, reportez-vous à Gestion des paramètres de GitHub Actions pour un référentiel.

Les déploiements intelligents constituent une fonctionnalité back-end qui améliore les performances des déploiements en effectuant activement le suivi des modifications apportées aux fichiers de contenu d’un référentiel connecté. Elle utilise un fichier CSV dans le dossier .sentinel de votre référentiel pour auditer chaque validation. Le workflow évite de redéployer du contenu qui n’a pas été modifié depuis le dernier déploiement. Ce processus améliore les performances de votre déploiement et empêche l’altération du contenu inchangé de votre espace de travail, comme la réinitialisation des programmes dynamiques de vos règles d’analyse.

Les déploiements intelligents sont activés par défaut sur les connexions nouvellement créées. Si vous préférez que tout le contenu du contrôle de code source soit déployé chaque fois qu’un déploiement est déclenché, que ce contenu ait été modifié ou non, modifiez votre workflow pour désactiver les déploiements intelligents. Pour plus d’informations, consultez Personnaliser le workflow ou pipeline.

Envisager des options de personnalisation du déploiement

Envisagez les options de personnalisation suivantes lorsque vous déployez du contenu avec des référentiels Microsoft Sentinel.

Personnaliser le workflow ou le pipeline

Personnalisez le workflow ou le pipeline de l’une des façons suivantes :

  • configurer des déclencheurs de déploiement différents
  • déployer du contenu uniquement à partir d’un dossier racine spécifique pour un espace de travail donné
  • planifier l’exécution périodique du workflow
  • combiner différents événements de workflow
  • désactiver les déploiements intelligents

Ces personnalisations sont définies dans un fichier.yml spécifique à votre workflow ou pipeline. Pour plus d’informations sur l’implémentation, consultez Personnaliser les déploiements de référentiels.

Personnalisation du déploiement

Une fois le workflow ou pipeline déclenché, le déploiement prend en charge les scénarios suivants :

  • hiérarchiser le contenu à déployer avant le reste du contenu du référentiel
  • exclure du contenu du déploiement
  • spécifier des fichiers de paramètres de modèle ARM

Ces options sont disponibles via une fonctionnalité du script de déploiement PowerShell appelé à partir du workflow ou du pipeline. Pour plus d’informations sur l’implémentation de ces personnalisations, consultez Personnaliser les déploiements de référentiels.

Étapes suivantes

Obtenez d’autres exemples et instructions pas à pas sur le déploiement de référentiels Microsoft Sentinel.