Wdrażanie zawartości niestandardowej z repozytorium (publiczna wersja zapoznawcza)
Podczas tworzenia zawartości niestandardowej możesz zarządzać nią z własnych obszarów roboczych usługi Microsoft Sentinel lub zewnętrznego repozytorium kontroli źródła. W tym artykule opisano sposób tworzenia połączeń między usługami Microsoft Sentinel i GitHub lub Azure DevOps oraz zarządzania nimi. Zarządzanie zawartością w repozytorium zewnętrznym umożliwia aktualizowanie tej zawartości poza usługą Microsoft Sentinel i automatyczne wdrażanie jej w obszarach roboczych. Aby uzyskać więcej informacji, zobacz Aktualizowanie niestandardowej zawartości za pomocą połączeń repozytorium.
Ważne
- Funkcja repozytoriów usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne i zakres
Usługa Microsoft Sentinel obecnie obsługuje połączenia z repozytoriami GitHub i Azure DevOps. Przed połączeniem obszaru roboczego usługi Microsoft Sentinel z repozytorium kontroli źródła upewnij się, że masz następujące elementy:
- Rola właściciela w grupie zasobów, która zawiera obszar roboczy usługi Microsoft Sentinel lub kombinację ról administratora dostępu użytkowników i współautora usługi Sentinel w celu utworzenia połączenia
- Dostęp współpracownika do repozytorium GitHub lub administratora projektu do repozytorium Usługi Azure DevOps
- Akcje włączone dla usług GitHub i Pipelines w usłudze Azure DevOps
- Dostęp do aplikacji innych firm za pośrednictwem protokołu OAuth włączonego dla zasad połączeń aplikacji usługi Azure DevOps.
- Upewnij się, że niestandardowe pliki zawartości, które chcesz wdrożyć w obszarach roboczych, znajdują się w odpowiednich szablonach usługi Azure Resource Manager (ARM).
Aby uzyskać więcej informacji, zobacz Weryfikowanie zawartości.
Łączenie repozytorium
W tej procedurze opisano sposób łączenia repozytorium GitHub lub Azure DevOps z obszarem roboczym usługi Microsoft Sentinel.
Każde połączenie może obsługiwać wiele typów zawartości niestandardowej, w tym reguły analizy, reguły automatyzacji, zapytania wyszukiwania zagrożeń, analizatory, podręczniki i skoroszyty. Aby uzyskać więcej informacji, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel.
W jednym obszarze roboczym usługi Microsoft Sentinel nie można tworzyć zduplikowanych połączeń z tym samym repozytorium i gałęzią.
Utwórz połączenie:
Upewnij się, że logujesz się do aplikacji kontroli źródła przy użyciu poświadczeń, których chcesz użyć na potrzeby połączenia. Jeśli obecnie logujesz się przy użyciu różnych poświadczeń, najpierw wyloguj się.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Repozytoria.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Repozytoria zarządzania zawartością>usługi Microsoft Sentinel.>Wybierz pozycję Dodaj nową, a następnie na stronie Tworzenie nowego połączenia wdrożenia wprowadź zrozumiałą nazwę i opis połączenia.
Z listy rozwijanej Kontrola źródła wybierz typ repozytorium, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Autoryzuj.
Wybierz jedną z następujących kart w zależności od typu połączenia:
Po wyświetleniu monitu wprowadź poświadczenia usługi GitHub.
Po pierwszym dodaniu połączenia zostanie wyświetlony monit o autoryzowanie połączenia z usługą Microsoft Sentinel. Jeśli już zalogowano się do konta usługi GitHub w tej samej przeglądarce, poświadczenia usługi GitHub są wypełniane automatycznie.
Obszar Repozytorium jest teraz wyświetlany na stronie Tworzenie nowego połączenia wdrożenia, z którym można wybrać istniejące repozytorium do nawiązania połączenia. Wybierz repozytorium z listy, a następnie wybierz pozycję Dodaj repozytorium.
Przy pierwszym połączeniu z określonym repozytorium zostanie wyświetlone nowe okno przeglądarki lub karta z monitem o zainstalowanie aplikacji Azure-Sentinel w repozytorium. Jeśli masz wiele repozytoriów, wybierz te, w których chcesz zainstalować aplikację Azure-Sentinel , i zainstaluj ją.
Możesz przejść do usługi GitHub, aby kontynuować instalację aplikacji.
Po zainstalowaniu aplikacji Azure-Sentinel w repozytorium lista rozwijana Gałąź na stronie Tworzenie nowego połączenia wdrożenia zostanie wypełniona gałęziami. Wybierz gałąź, z którą chcesz nawiązać połączenie z obszarem roboczym usługi Microsoft Sentinel.
Z listy rozwijanej Typy zawartości wybierz typ wdrażanej zawartości.
Zarówno analizatory, jak i zapytania wyszukiwania zagrożeń używają interfejsu API zapisane wyszukiwania do wdrażania zawartości w usłudze Microsoft Sentinel. Jeśli wybierzesz jeden z tych typów zawartości, a także zawartość innego typu w gałęzi, oba typy zawartości zostaną wdrożone.
W przypadku wszystkich innych typów zawartości wybranie typu zawartości w okienku Tworzenie nowego połączenia wdrożenia umożliwia wdrożenie tylko tej zawartości w usłudze Microsoft Sentinel. Zawartość innych typów nie jest wdrażana.
Wybierz pozycję Utwórz , aby utworzyć połączenie. Na przykład:
Po utworzeniu połączenia w repozytorium zostanie wygenerowany nowy przepływ pracy lub potok. Zawartość przechowywana w repozytorium jest wdrażana w obszarze roboczym usługi Microsoft Sentinel.
Czas wdrażania może się różnić w zależności od ilości wdrażanej zawartości.
Wyświetlanie stanu wdrożenia
W usłudze GitHub: na karcie Akcje repozytorium wybierz plik yaml przepływu pracy, aby uzyskać dostęp do szczegółowych dzienników wdrażania i wszelkich określonych komunikatów o błędach.
W usłudze Azure DevOps: wyświetl stan wdrożenia na karcie Potoki repozytorium.
Po zakończeniu wdrażania:
Zawartość przechowywana w repozytorium jest wyświetlana w obszarze roboczym usługi Microsoft Sentinel na odpowiedniej stronie usługi Microsoft Sentinel.
Szczegóły połączenia na stronie Repozytoria są aktualizowane za pomocą linku do dzienników wdrażania połączenia oraz stanu i czasu ostatniego wdrożenia. Na przykład:
Domyślny przepływ pracy wdraża tylko zawartość, która jest modyfikowana od ostatniego wdrożenia na podstawie zatwierdzeń w repozytorium. Możesz jednak wyłączyć inteligentne wdrożenia lub wykonać inne dostosowania. Można na przykład skonfigurować różne wyzwalacze wdrażania lub wdrożyć zawartość wyłącznie z określonego folderu głównego. Aby dowiedzieć się więcej, zobacz Dostosowywanie wdrożeń repozytorium.
Edytuj zawartość
Po pomyślnym utworzeniu połączenia z repozytorium kontroli źródła zawartość zostanie wdrożona w usłudze Sentinel. Zalecamy edytowanie zawartości przechowywanej w połączonym repozytorium tylko w repozytorium, a nie w usłudze Microsoft Sentinel. Aby na przykład wprowadzić zmiany w regułach analizy, należy to zrobić bezpośrednio w usłudze GitHub lub Azure DevOps.
Jeśli zamiast tego edytujesz zawartość w usłudze Microsoft Sentinel, pamiętaj, aby wyeksportować ją do repozytorium kontroli źródła, aby zapobiec zastąpieniu zmian przy następnym wdrożeniu zawartości repozytorium w obszarze roboczym.
Usuń zawartość
Usunięcie zawartości z repozytorium nie powoduje usunięcia jej z obszaru roboczego usługi Microsoft Sentinel. Jeśli chcesz usunąć zawartość wdrożona za pośrednictwem repozytoriów, usuń ją zarówno z repozytorium, jak i z usługi Microsoft Sentinel. Na przykład ustaw filtr zawartości na podstawie nazwy źródłowej, aby ułatwić identyfikowanie zawartości z repozytoriów.
Usuwanie połączenia repozytorium
W tej procedurze opisano sposób usuwania połączenia z repozytorium kontroli źródła z usługi Microsoft Sentinel.
Aby usunąć połączenie:
- W usłudze Microsoft Sentinel w obszarze Zarządzanie zawartością wybierz pozycję Repozytoria.
- W siatce wybierz połączenie, które chcesz usunąć, a następnie wybierz pozycję Usuń.
- Wybierz Tak, aby potwierdzić usunięcie.
Po usunięciu połączenia zawartość, która została wcześniej wdrożona za pośrednictwem połączenia, pozostaje w obszarze roboczym usługi Microsoft Sentinel. Zawartość dodana do repozytorium po usunięciu połączenia nie zostanie wdrożona.
Jeśli wystąpią problemy lub komunikat o błędzie podczas usuwania połączenia, zalecamy sprawdzenie kontroli źródła. Upewnij się, że przepływ pracy usługi GitHub lub potok usługi Azure DevOps skojarzony z połączeniem został usunięty.
Usuwanie aplikacji Microsoft Sentinel z repozytorium GitHub
Jeśli zamierzasz usunąć aplikację Usługi Microsoft Sentinel z repozytorium GitHub, zalecamy najpierw usunięcie wszystkich skojarzonych połączeń ze strony Repozytoria usługi Microsoft Sentinel.
Każda instalacja aplikacji usługi Microsoft Sentinel ma unikatowy identyfikator używany podczas dodawania i usuwania połączenia. Jeśli brakuje lub zmienisz identyfikator, usuń połączenie ze strony Repozytoria usługi Microsoft Sentinel i ręcznie usuń przepływ pracy z repozytorium GitHub, aby zapobiec wszelkim przyszłym wdrożeniom zawartości.
Następne kroki
Użyj zawartości niestandardowej w usłudze Microsoft Sentinel w taki sam sposób, jak w przypadku korzystania z gotowej zawartości.
Aby uzyskać więcej informacji, zobacz: