Condividi tramite

Gestire contenuto personalizzato con i repository di Microsoft Sentinel (anteprima pubblica)

  • Articolo

La funzionalità repository di Microsoft Sentinel offre un'esperienza centrale per la distribuzione e la gestione del contenuto di Sentinel come codice. I repository consentono connessioni a un controllo del codice sorgente esterno per l'integrazione continua/il recapito continuo (CI/CD). Questa automazione elimina il carico di lavoro dei processi manuali per aggiornare e distribuire il contenuto personalizzato tra aree di lavoro. Per altre informazioni sul contenuto di Sentinel, vedere Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.

Importante

La funzionalità Repository di Microsoft Sentinel è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Pianificare la connessione al repository

I repository di Microsoft Sentinel richiedono un'attenta pianificazione per assicurarsi di disporre delle autorizzazioni appropriate dall'area di lavoro al repository (repository) che si vuole connettere. Attualmente sono supportate solo le connessioni ai repository GitHub e Azure DevOps con accesso collaboratore. L'applicazione Microsoft Sentinel dovrà disporre dell'autorizzazione per il repository e avrà azioni abilitate per GitHub e pipeline per Azure DevOps.

I repository richiedono un ruolo Proprietario nel gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. Questo ruolo è necessario per creare la connessione tra Microsoft Sentinel e il repository di controllo del codice sorgente. Se non è possibile usare il ruolo Proprietario nell'ambiente in uso, è invece possibile usare la combinazione di ruoli Amministratore accesso utenti e Collaboratore sentinel per creare la connessione.

Se trovi il contenuto in un repository pubblico in cui non sei un collaboratore, dovrai prima ottenere il contenuto nel repository. È possibile eseguire questa operazione con un'importazione, una copia tramite fork o un clone del contenuto in un repository in cui si è un collaboratore. È quindi possibile connettere il repository all'area di lavoro di Sentinel. Per altre informazioni, vedere Distribuire contenuto personalizzato dal repository.

Convalidare il contenuto

I tipi di contenuto di Microsoft Sentinel seguenti possono essere distribuiti tramite una connessione al repository:

  • Regole di Analytics
  • Regole di automazione
  • Query di ricerca
  • Parser
  • Playbook
  • Cartelle di lavoro

Suggerimento

Questo articolo non descrive come creare questi tipi di contenuto da zero. Per altre informazioni, vedere il wiki di GitHub di Microsoft Sentinel pertinente per ogni tipo di contenuto.

Il contenuto dei repository deve essere archiviato come modelli di Resource Manager. La distribuzione dei repository non convalida il contenuto tranne per verificare che sia nel formato JSON corretto.

Il primo passaggio per convalidare il contenuto consiste nel testarlo all'interno di Microsoft Sentinel. È anche possibile applicare il processo e gli strumenti di convalida di GitHub di Microsoft Sentinel per integrare il processo di convalida.

Un repository di esempio è disponibile con i modelli di Resource Manager per ognuno dei tipi di contenuto elencati in precedenza. Il repository illustra anche come usare le funzionalità avanzate delle connessioni al repository. Per altre informazioni, vedere l'esempio di repository CICD di Sentinel.

Screenshot di una connessione al repository riuscita. Viene visualizzato RepositorySampleContent. Questo screenshot è dopo l'importazione dell'esempio dal repository SentinelCICD in un repository GitHub privato nell'organizzazione FourthCoffee.

Numero massimo di connessioni e distribuzioni

  • Ogni area di lavoro di Microsoft Sentinel è attualmente limitata a cinque connessioni al repository.

  • Ogni gruppo di risorse di Azure è limitato a 800 distribuzioni nella cronologia di distribuzione. Se si dispone di un volume elevato di distribuzioni di modelli arm nei gruppi di risorse, è possibile che venga visualizzato l'errore Deployment QuotaExceeded . Per altre informazioni, vedere DeploymentQuotaExceeded nella documentazione dei modelli di Azure Resource Manager.

Migliorare le prestazioni con le distribuzioni intelligenti

Suggerimento

Per garantire il funzionamento delle distribuzioni intelligenti in GitHub, i flussi di lavoro devono disporre delle autorizzazioni di lettura e scrittura per il repository. Per altri dettagli, vedere Gestione delle impostazioni di GitHub Actions per un repository .

La funzionalità di distribuzione intelligente è una funzionalità back-end che migliora le prestazioni monitorando attivamente le modifiche apportate ai file di contenuto di un repository connesso. Usa un file CSV all'interno della cartella '.sentinel' nel repository per controllare ogni commit. Il flusso di lavoro evita la ridistribuzione del contenuto che non è stato modificato dopo l'ultima distribuzione. Questo processo migliora le prestazioni della distribuzione e impedisce la manomissione del contenuto invariato nell'area di lavoro, ad esempio la reimpostazione delle pianificazioni dinamiche delle regole di analisi.

Le distribuzioni intelligenti sono abilitate per impostazione predefinita nelle connessioni appena create. Se si preferisce distribuire tutto il contenuto del controllo del codice sorgente ogni volta che viene attivata una distribuzione, indipendentemente dal fatto che il contenuto sia stato modificato o meno, è possibile modificare il flusso di lavoro per disabilitare le distribuzioni intelligenti. Per altre informazioni, vedere Personalizzare il flusso di lavoro o la pipeline.

Nota

Questa funzionalità è stata lanciata in anteprima pubblica il 20 aprile 2022. Le connessioni create prima dell'avvio devono essere aggiornate o ricreate per attivare le distribuzioni intelligenti.

Prendere in considerazione le opzioni di personalizzazione della distribuzione

Sono disponibili diverse opzioni di personalizzazione per la distribuzione del contenuto con i repository di Microsoft Sentinel.

Personalizzare il flusso di lavoro o la pipeline

È possibile personalizzare il flusso di lavoro o la pipeline in uno dei modi seguenti:

  • configurare trigger di distribuzione diversi
  • distribuire il contenuto solo da una cartella radice specifica per una determinata area di lavoro
  • pianificare l'esecuzione periodica del flusso di lavoro
  • combinare eventi del flusso di lavoro diversi
  • disattivare le distribuzioni intelligenti

Queste personalizzazioni vengono definite in un file .yml specifico del flusso di lavoro o della pipeline. Per altre informazioni su come implementare, vedere Personalizzare le distribuzioni del repository

Personalizzare la distribuzione

Dopo l'attivazione del flusso di lavoro o della pipeline, la distribuzione supporta gli scenari seguenti:

  • assegnare priorità al contenuto da distribuire prima del resto del contenuto del repository
  • escludere il contenuto dalla distribuzione
  • specificare i file dei parametri del modello di Resource Manager

Queste opzioni sono disponibili tramite una funzionalità dello script di distribuzione di PowerShell chiamato dal flusso di lavoro o dalla pipeline. Per altre informazioni su come implementare queste personalizzazioni, vedere Personalizzare le distribuzioni del repository.

Passaggi successivi

Ottenere altri esempi e istruzioni dettagliate sulla distribuzione dei repository di Microsoft Sentinel.