Aangepaste inhoud beheren met Microsoft Sentinel-opslagplaatsen (openbare preview)

• Van toepassing op:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

De functie Microsoft Sentinel-opslagplaatsen biedt een centrale ervaring voor de implementatie en het beheer van Sentinel-inhoud als code. Opslagplaatsen staan verbindingen met een extern broncodebeheer toe voor continue integratie/continue levering (CI/CD). Deze automatisering verwijdert de last van handmatige processen om uw aangepaste inhoud in werkruimten bij te werken en te implementeren. Zie Microsoft Sentinel-inhoud en -oplossingen voor meer informatie over Sentinel-inhoud.

Belangrijk

De functie Microsoft Sentinel-opslagplaatsen is momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

De verbinding met uw opslagplaats plannen

Microsoft Sentinel-opslagplaatsen vereisen zorgvuldige planning om ervoor te zorgen dat u over de juiste machtigingen van uw werkruimte beschikt naar de opslagplaats (opslagplaats) die u wilt verbinden.

• Alleen verbindingen met GitHub- en Azure DevOps-opslagplaatsen worden ondersteund.
• Samenwerkertoegang tot uw GitHub-opslagplaats of projectbeheerdertoegang tot uw Azure DevOps-opslagplaats is vereist.
• De Microsoft Sentinel-toepassing heeft autorisatie nodig voor uw opslagplaats.
• Acties moeten zijn ingeschakeld voor GitHub.
• Pijplijnen moeten zijn ingeschakeld voor Azure DevOps.
• Een Azure DevOps-verbinding moet zich in dezelfde tenant bevinden als uw Microsoft Sentinel-werkruimte.

Voor het maken van een verbinding met een opslagplaats is een rol eigenaar vereist in de resourcegroep die uw Microsoft Sentinel-werkruimte bevat. Als u de rol Eigenaar in uw omgeving niet kunt gebruiken, gebruikt u de combinatie van de rollen Administrator voor gebruikerstoegang en Sentinel-inzender om de verbinding te maken.

Als u inhoud vindt in een openbare opslagplaats waar u geen inzender bent, importeert, forkt of kloont u de inhoud naar een opslagplaats waar u inzender bent. Verbind uw opslagplaats vervolgens met uw Microsoft Sentinel-werkruimte. Zie Aangepaste inhoud implementeren vanuit uw opslagplaats voor meer informatie.

De inhoud van uw opslagplaats plannen

Inhoud van de opslagplaats moet worden opgeslagen als Bicep-bestanden of ARM-sjablonen (Azure Resource Manager). Bicep is echter intuïtiever en maakt het eenvoudiger om Azure-resources en Microsoft Sentinel-inhoud te beschrijven.

Bicep-bestandssjablonen naast of in plaats van ARM JSON-sjablonen implementeren. Als u infrastructuur als codeopties overweegt, raden we u aan Bicep te bekijken. Zie Wat is Bicep? voor meer informatie.

Belangrijk

Als u Bicep-sjablonen wilt gebruiken, moet de verbinding met uw opslagplaatsen worden bijgewerkt als uw verbinding vóór 1 november 2024 is gemaakt. Opslagplaatsverbindingen moeten worden verwijderd en opnieuw worden gemaakt om bij te werken.

Zelfs als uw oorspronkelijke inhoud een ARM-sjabloon is, kunt u overwegen om te converteren naar Bicep om de beoordelings- en updateprocessen minder complex te maken. Bicep is nauw verwant aan ARM, omdat elk Bicep-bestand tijdens een implementatie wordt geconverteerd naar een ARM-sjabloon. Zie Decompiling ARM-sjabloon JSON naar Bicep voor meer informatie over het converteren van ARM-sjablonen.

Notitie

Bekende Bicep-beperkingen:

• Bicep-sjablonen bieden geen ondersteuning voor de id eigenschap. Wanneer u ARM JSON decompileert met Bicep, controleert u of u deze eigenschap niet hebt. Analyseregelsjablonen die zijn geëxporteerd uit Microsoft Sentinel hebben bijvoorbeeld de id eigenschap die moet worden verwijderd.
• Wijzig het ARM JSON-schema in versie 2019-04-01 voor de beste resultaten bij het decompileren.

Uw inhoud valideren

De volgende Microsoft Sentinel-inhoudstypen kunnen worden geïmplementeerd via een opslagplaatsverbinding:

• Analyseregels
• Automatiseringsregels
• Opsporingsquery's
• Parsers
• Draaiboeken
• Werkmappen

Tip

In dit artikel wordt niet beschreven hoe u deze typen inhoud helemaal zelf maakt. Zie de relevante Microsoft Sentinel GitHub-wiki voor elk inhoudstype voor meer informatie.

De implementatie van opslagplaatsen valideert de inhoud niet, behalve om te bevestigen dat deze de juiste JSON- of Bicep-indeling heeft. Zorg ervoor dat u uw inhoud in Microsoft Sentinel test voordat u implementeert.

Er is een voorbeeldopslagplaats beschikbaar met sjablonen voor elk van de vermelde inhoudstypen. De opslagplaats laat ook zien hoe u geavanceerde functies van opslagplaatsverbindingen gebruikt. Zie het voorbeeld van Microsoft Sentinel CI/CD-opslagplaatsen voor meer informatie.

Maximum aantal verbindingen en implementaties

• Elke Microsoft Sentinel-werkruimte is momenteel beperkt tot vijf opslagplaatsverbindingen.
• Elke Azure-resourcegroep is beperkt tot 800 implementaties in de implementatiegeschiedenis. Als u een groot aantal sjabloonimplementaties hebt, ziet u mogelijk de Deployment QuotaExceeded fout. Zie DeploymentQuotaExceededed in de documentatie over Azure Resource Manager-sjablonen voor meer informatie.

Prestaties verbeteren met slimme implementaties

Tip

Om ervoor te zorgen dat slimme implementaties werken in GitHub, moeten werkstromen lees- en schrijfmachtigingen hebben voor uw opslagplaats. Zie Instellingen voor GitHub Actions beheren voor een opslagplaats voor meer informatie.

De functie slimme implementaties is een back-endfunctie die de prestaties verbetert door wijzigingen in de inhoudsbestanden van een verbonden opslagplaats actief bij te houden. Het maakt gebruik van een CSV-bestand in de .sentinel map in uw opslagplaats om elke doorvoering te controleren. De werkstroom vermijdt het opnieuw implementeren van inhoud die niet is gewijzigd sinds de laatste implementatie. Dit proces verbetert de implementatieprestaties en voorkomt manipulatie met ongewijzigde inhoud in uw werkruimte, zoals het opnieuw instellen van dynamische planningen van uw analyseregels.

Slimme implementaties zijn standaard ingeschakeld voor nieuw gemaakte verbindingen. Als u de voorkeur geeft aan alle inhoud voor broncodebeheer die wordt geïmplementeerd wanneer een implementatie wordt geactiveerd, of die inhoud nu is gewijzigd of niet, wijzigt u uw werkstroom om slimme implementaties uit te schakelen. Zie De werkstroom of pijplijn aanpassen voor meer informatie.

Opties voor implementatieaanpassing overwegen

Houd rekening met de volgende aanpassingsopties bij het implementeren van inhoud met Microsoft Sentinel-opslagplaatsen.

De werkstroom of pijplijn aanpassen

Pas de werkstroom of pijplijn op een van de volgende manieren aan:

• verschillende implementatietriggers configureren
• inhoud alleen implementeren vanuit een specifieke hoofdmap voor een bepaalde werkruimte
• de werkstroom periodiek uit te voeren
• Verschillende werkstroomevenementen combineren
• slimme implementaties uitschakelen

Deze aanpassingen worden gedefinieerd in een .yml bestand dat specifiek is voor uw werkstroom of pijplijn. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie over het implementeren

De implementatie aanpassen

Zodra de werkstroom of pijplijn is geactiveerd, ondersteunt de implementatie de volgende scenario's:

• prioriteit geven aan inhoud die moet worden geïmplementeerd vóór de rest van de opslagplaatsinhoud
• inhoud uitsluiten van implementatie
• parameterbestanden voor ARM-sjablonen opgeven

Deze opties zijn beschikbaar via een functie van het PowerShell-implementatiescript dat wordt aangeroepen vanuit de werkstroom of pijplijn. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie over het implementeren van deze aanpassingen.

Volgende stappen

Bekijk meer voorbeelden en stapsgewijze instructies voor het implementeren van Microsoft Sentinel-opslagplaatsen.

• Aangepaste inhoud implementeren vanuit uw opslagplaats
• Voorbeeldopslagplaats voor Microsoft Sentinel CI/CD
• Sentinel-integratie automatiseren met DevOps