Condividi tramite

Gestire contenuto personalizzato con i repository di Microsoft Sentinel (anteprima pubblica)

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

La funzionalità repository di Microsoft Sentinel offre un'esperienza centrale per la distribuzione e la gestione del contenuto di Sentinel come codice. I repository consentono connessioni a un controllo del codice sorgente esterno per l'integrazione continua/il recapito continuo (CI/CD). Questa automazione elimina il carico di lavoro dei processi manuali per aggiornare e distribuire il contenuto personalizzato tra aree di lavoro. Per altre informazioni sul contenuto di Sentinel, vedere Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.

Importante

La funzionalità Repository di Microsoft Sentinel è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Pianificare la connessione al repository

I repository di Microsoft Sentinel richiedono un'attenta pianificazione per assicurarsi di disporre delle autorizzazioni appropriate dall'area di lavoro al repository (repository) che si vuole connettere.

  • Sono supportate solo le connessioni ai repository GitHub e Azure DevOps.
  • È necessario l'accesso collaboratore al repository GitHub o all'amministratore del progetto all'archivio Azure DevOps.
  • L'applicazione Microsoft Sentinel deve disporre dell'autorizzazione per il repository.
  • Le azioni devono essere abilitate per GitHub.
  • Le pipeline devono essere abilitate per Azure DevOps.
  • Una connessione di Azure DevOps deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel.

La creazione di una connessione a un repository richiede un ruolo Proprietario nel gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. Se non è possibile usare il ruolo Proprietario nell'ambiente in uso, usare la combinazione di ruoli Amministratore accesso utenti e Collaboratore Sentinel per creare la connessione.

Se si trova contenuto in un repository pubblico in cui non si è un collaboratore, prima importare, creare fork o clonare il contenuto in un repository in cui si è un collaboratore. Connettere quindi il repository all'area di lavoro di Microsoft Sentinel. Per altre informazioni, vedere Distribuire contenuto personalizzato dal repository.

Pianificare il contenuto del repository

Il contenuto del repository deve essere archiviato come file Bicep o modelli di Azure Resource Manager (ARM). Tuttavia, Bicep è più intuitivo e semplifica la descrizione delle risorse di Azure e del contenuto di Microsoft Sentinel.

Distribuire modelli di file Bicep insieme o invece di modelli JSON ARM. Se si considera l'infrastruttura come opzioni di codice, raccomandiamo di dare un’occhiata Bicep. Per ulteriori informazioni, vedere Che cos'è Bicep?.

Importante

Per usare i modelli Bicep, la connessione dei repository deve essere aggiornata se la connessione è stata creata prima del 1° novembre 2024. Per eseguire l'aggiornamento, è necessario rimuovere e ricreare le connessioni dei repository.

Anche se il contenuto originale è un modello arm, valutare la possibilità di eseguire la conversione in Bicep per rendere i processi di revisione e aggiornamento meno complessi. Bicep è strettamente correlato ad ARM perché durante una distribuzione, ogni file Bicep viene convertito in un modello di Resource Manager. Per altre informazioni sulla conversione dei modelli di Resource Manager, vedere Decompilazione di JSON del modello arm in Bicep.

Nota

Limitazioni di Bicep note:

  • I modelli Bicep non supportano la id proprietà . Quando si decompila JSON ARM in Bicep, assicurarsi di non avere questa proprietà. Ad esempio, i modelli di regola analitica esportati da Microsoft Sentinel hanno la proprietà che richiede la id rimozione.
  • Modificare lo schema JSON arm in versione 2019-04-01 per ottenere risultati ottimali durante la decompilazione.

Convalidare il contenuto

I tipi di contenuto di Microsoft Sentinel seguenti possono essere distribuiti tramite una connessione al repository:

  • Regole di Analytics
  • Regole di automazione
  • Query di ricerca
  • Parser
  • Playbook
  • Cartelle di lavoro

Suggerimento

Questo articolo non descrive come creare questi tipi di contenuto da zero. Per altre informazioni, vedere il wiki di GitHub di Microsoft Sentinel pertinente per ogni tipo di contenuto.

La distribuzione dei repository non convalida il contenuto, tranne per verificare che sia nel formato JSON o Bicep corretto. Assicurarsi di testare il contenuto all'interno di Microsoft Sentinel prima della distribuzione.

Un repository di esempio è disponibile con i modelli per ognuno dei tipi di contenuto elencati. Il repository illustra anche come usare le funzionalità avanzate delle connessioni al repository. Per altre informazioni, vedere l'esempio di repository CI/CD di Microsoft Sentinel.

Screenshot di una connessione al repository riuscita. Viene visualizzato RepositorySampleContent. Questo screenshot è dopo l'importazione dell'esempio dal repository SentinelCICD in un repository GitHub privato nell'organizzazione FourthCoffee.

Numero massimo di connessioni e distribuzioni

  • Ogni area di lavoro di Microsoft Sentinel è attualmente limitata a cinque connessioni al repository.
  • Ogni gruppo di risorse di Azure è limitato a 800 distribuzioni nella cronologia di distribuzione. Se si dispone di un volume elevato di distribuzioni di modelli uno o più gruppi di risorse, è possibile che venga visualizzato l'errore Deployment QuotaExceeded . Per altre informazioni, vedere DeploymentQuotaExceeded nella documentazione dei modelli di Azure Resource Manager.

Migliorare le prestazioni con le distribuzioni intelligenti

Suggerimento

Per garantire il funzionamento delle distribuzioni intelligenti in GitHub, i flussi di lavoro devono disporre delle autorizzazioni di lettura e scrittura per il repository. Per altri dettagli, vedere Gestione delle impostazioni di GitHub Actions per un repository .

La funzionalità di distribuzione intelligente è una funzionalità back-end che migliora le prestazioni monitorando attivamente le modifiche apportate ai file di contenuto di un repository connesso. Usa un file CSV all'interno della .sentinel cartella nel repository per controllare ogni commit. Il flusso di lavoro evita la ridistribuzione del contenuto che non è stato modificato dopo l'ultima distribuzione. Questo processo migliora le prestazioni della distribuzione e impedisce la manomissione del contenuto invariato nell'area di lavoro, ad esempio la reimpostazione delle pianificazioni dinamiche delle regole di analisi.

Le distribuzioni intelligenti sono abilitate per impostazione predefinita nelle connessioni appena create. Se si preferisce che tutto il contenuto del controllo del codice sorgente distribuito ogni volta che viene attivata una distribuzione, indipendentemente dal fatto che il contenuto sia stato modificato o meno, modificare il flusso di lavoro per disabilitare le distribuzioni intelligenti. Per altre informazioni, vedere Personalizzare il flusso di lavoro o la pipeline.

Prendere in considerazione le opzioni di personalizzazione della distribuzione

Quando si distribuisce contenuto con i repository di Microsoft Sentinel, prendere in considerazione le opzioni di personalizzazione seguenti.

Personalizzare il flusso di lavoro o la pipeline

Personalizzare il flusso di lavoro o la pipeline in uno dei modi seguenti:

  • configurare trigger di distribuzione diversi
  • distribuire il contenuto solo da una cartella radice specifica per una determinata area di lavoro
  • pianificare l'esecuzione periodica del flusso di lavoro
  • combinare eventi del flusso di lavoro diversi
  • disattivare le distribuzioni intelligenti

Queste personalizzazioni vengono definite in un file .yml specifico del flusso di lavoro o della pipeline. Per altre informazioni su come implementare, vedere Personalizzare le distribuzioni di repository

Personalizzare la distribuzione

Dopo l'attivazione del flusso di lavoro o della pipeline, la distribuzione supporta gli scenari seguenti:

  • assegnare priorità al contenuto da distribuire prima del resto del contenuto del repository
  • escludere il contenuto dalla distribuzione
  • specificare i file dei parametri del modello di Resource Manager

Queste opzioni sono disponibili tramite una funzionalità dello script di distribuzione di PowerShell chiamato dal flusso di lavoro o dalla pipeline. Per altre informazioni su come implementare queste personalizzazioni, vedere Personalizzare le distribuzioni del repository.

Passaggi successivi

Ottenere altri esempi e istruzioni dettagliate sulla distribuzione dei repository di Microsoft Sentinel.