Wdrażanie zawartości niestandardowej z repozytorium (publiczna wersja zapoznawcza)

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Podczas tworzenia zawartości niestandardowej możesz zarządzać nią z własnych obszarów roboczych usługi Microsoft Sentinel lub zewnętrznego repozytorium kontroli źródła. W tym artykule opisano sposób tworzenia połączeń między usługami Microsoft Sentinel i GitHub lub Azure DevOps oraz zarządzania nimi. Zarządzanie zawartością w repozytorium zewnętrznym umożliwia aktualizowanie tej zawartości poza usługą Microsoft Sentinel i automatyczne wdrażanie jej w obszarach roboczych. Aby uzyskać więcej informacji, zobacz Aktualizowanie niestandardowej zawartości za pomocą połączeń repozytorium.

Ważne

• Funkcja repozytoriów usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
• Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne i zakres

Usługa Microsoft Sentinel obecnie obsługuje połączenia z repozytoriami GitHub i Azure DevOps. Przed połączeniem obszaru roboczego usługi Microsoft Sentinel z repozytorium kontroli źródła upewnij się, że masz następujące elementy:

• Rola właściciela w grupie zasobów, która zawiera obszar roboczy usługi Microsoft Sentinel lub kombinację ról administratora dostępu użytkowników i współautora usługi Sentinel w celu utworzenia połączenia
• Dostęp współpracownika do repozytorium GitHub lub administratora projektu do repozytorium Usługi Azure DevOps
• Akcje włączone dla usług GitHub i Pipelines w usłudze Azure DevOps
• Dostęp do aplikacji innych firm za pośrednictwem protokołu OAuth włączonego dla zasad połączeń aplikacji usługi Azure DevOps.
• Upewnij się, że niestandardowe pliki zawartości, które chcesz wdrożyć w obszarach roboczych, znajdują się w odpowiednich szablonach usługi Azure Resource Manager (ARM).

Aby uzyskać więcej informacji, zobacz Weryfikowanie zawartości.

Łączenie repozytorium

W tej procedurze opisano sposób łączenia repozytorium GitHub lub Azure DevOps z obszarem roboczym usługi Microsoft Sentinel.

Każde połączenie może obsługiwać wiele typów zawartości niestandardowej, w tym reguły analizy, reguły automatyzacji, zapytania wyszukiwania zagrożeń, analizatory, podręczniki i skoroszyty. Aby uzyskać więcej informacji, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel.

W jednym obszarze roboczym usługi Microsoft Sentinel nie można tworzyć zduplikowanych połączeń z tym samym repozytorium i gałęzią.

Utwórz połączenie:

1. Upewnij się, że logujesz się do aplikacji kontroli źródła przy użyciu poświadczeń, których chcesz użyć na potrzeby połączenia. Jeśli obecnie logujesz się przy użyciu różnych poświadczeń, najpierw wyloguj się.

2. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Repozytoria.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Repozytoria zarządzania zawartością>usługi Microsoft Sentinel.>

3. Wybierz pozycję Dodaj nową, a następnie na stronie Tworzenie nowego połączenia wdrożenia wprowadź zrozumiałą nazwę i opis połączenia.

4. Z listy rozwijanej Kontrola źródła wybierz typ repozytorium, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Autoryzuj.

5. Wybierz jedną z następujących kart w zależności od typu połączenia:

   GitHub

   1. Po wyświetleniu monitu wprowadź poświadczenia usługi GitHub.

      Po pierwszym dodaniu połączenia zostanie wyświetlony monit o autoryzowanie połączenia z usługą Microsoft Sentinel. Jeśli już zalogowano się do konta usługi GitHub w tej samej przeglądarce, poświadczenia usługi GitHub są wypełniane automatycznie.

   2. Obszar Repozytorium jest teraz wyświetlany na stronie Tworzenie nowego połączenia wdrożenia, z którym można wybrać istniejące repozytorium do nawiązania połączenia. Wybierz repozytorium z listy, a następnie wybierz pozycję Dodaj repozytorium.

      Przy pierwszym połączeniu z określonym repozytorium zostanie wyświetlone nowe okno przeglądarki lub karta z monitem o zainstalowanie aplikacji Azure-Sentinel w repozytorium. Jeśli masz wiele repozytoriów, wybierz te, w których chcesz zainstalować aplikację Azure-Sentinel , i zainstaluj ją.

      Możesz przejść do usługi GitHub, aby kontynuować instalację aplikacji.

   3. Po zainstalowaniu aplikacji Azure-Sentinel w repozytorium lista rozwijana Gałąź na stronie Tworzenie nowego połączenia wdrożenia zostanie wypełniona gałęziami. Wybierz gałąź, z którą chcesz nawiązać połączenie z obszarem roboczym usługi Microsoft Sentinel.

   4. Z listy rozwijanej Typy zawartości wybierz typ wdrażanej zawartości.

      • Zarówno analizatory, jak i zapytania wyszukiwania zagrożeń używają interfejsu API zapisane wyszukiwania do wdrażania zawartości w usłudze Microsoft Sentinel. Jeśli wybierzesz jeden z tych typów zawartości, a także zawartość innego typu w gałęzi, oba typy zawartości zostaną wdrożone.

      • W przypadku wszystkich innych typów zawartości wybranie typu zawartości w okienku Tworzenie nowego połączenia wdrożenia umożliwia wdrożenie tylko tej zawartości w usłudze Microsoft Sentinel. Zawartość innych typów nie jest wdrażana.

   5. Wybierz pozycję Utwórz , aby utworzyć połączenie. Na przykład:

      

   Azure DevOps

   Masz automatyczne uprawnienia do usługi Azure DevOps przy użyciu bieżących poświadczeń platformy Azure. Sprawdź, czy masz autoryzację do tej samej organizacji usługi Azure DevOps, z którą nawiązujesz połączenie z usługi Microsoft Sentinel, lub użyj okna przeglądarki InPrivate, aby utworzyć połączenie.

   Ze względu na ograniczenia między dzierżawami, jeśli tworzysz połączenie jako użytkownik-gość w obszarze roboczym, adres URL usługi Azure DevOps nie jest wyświetlany na liście rozwijanej. Wprowadź go ręcznie.

   1. W usłudze Microsoft Sentinel na wyświetlonych listach rozwijanych wybierz typy zawartości: Organizacja, Projekt, Repozytorium, Gałąź i Typy zawartości.

      • Zarówno analizatory, jak i zapytania wyszukiwania zagrożeń używają interfejsu API zapisane wyszukiwania do wdrażania zawartości w usłudze Microsoft Sentinel. Jeśli wybierzesz jeden z tych typów zawartości, a także zawartość innego typu w gałęzi, oba typy zawartości zostaną wdrożone.

      • W przypadku wszystkich innych typów zawartości wybranie typu zawartości w okienku Tworzenie nowego połączenia wdrożenia umożliwia wdrożenie tylko tej zawartości w usłudze Microsoft Sentinel. Zawartość innych typów nie jest wdrażana.

   2. Wybierz pozycję Utwórz , aby utworzyć połączenie. Na przykład:

      

Po utworzeniu połączenia w repozytorium zostanie wygenerowany nowy przepływ pracy lub potok. Zawartość przechowywana w repozytorium jest wdrażana w obszarze roboczym usługi Microsoft Sentinel.

Czas wdrażania może się różnić w zależności od ilości wdrażanej zawartości.

Wyświetlanie stanu wdrożenia

W usłudze GitHub: na karcie Akcje repozytorium wybierz plik yaml przepływu pracy, aby uzyskać dostęp do szczegółowych dzienników wdrażania i wszelkich określonych komunikatów o błędach.

W usłudze Azure DevOps: wyświetl stan wdrożenia na karcie Potoki repozytorium.

Po zakończeniu wdrażania:

• Zawartość przechowywana w repozytorium jest wyświetlana w obszarze roboczym usługi Microsoft Sentinel na odpowiedniej stronie usługi Microsoft Sentinel.

• Szczegóły połączenia na stronie Repozytoria są aktualizowane za pomocą linku do dzienników wdrażania połączenia oraz stanu i czasu ostatniego wdrożenia. Na przykład:

  

Domyślny przepływ pracy wdraża tylko zawartość, która jest modyfikowana od ostatniego wdrożenia na podstawie zatwierdzeń w repozytorium. Możesz jednak wyłączyć inteligentne wdrożenia lub wykonać inne dostosowania. Można na przykład skonfigurować różne wyzwalacze wdrażania lub wdrożyć zawartość wyłącznie z określonego folderu głównego. Aby dowiedzieć się więcej, zobacz Dostosowywanie wdrożeń repozytorium.

Edytuj zawartość

Po pomyślnym utworzeniu połączenia z repozytorium kontroli źródła zawartość zostanie wdrożona w usłudze Sentinel. Zalecamy edytowanie zawartości przechowywanej w połączonym repozytorium tylko w repozytorium, a nie w usłudze Microsoft Sentinel. Aby na przykład wprowadzić zmiany w regułach analizy, należy to zrobić bezpośrednio w usłudze GitHub lub Azure DevOps.

Jeśli zamiast tego edytujesz zawartość w usłudze Microsoft Sentinel, pamiętaj, aby wyeksportować ją do repozytorium kontroli źródła, aby zapobiec zastąpieniu zmian przy następnym wdrożeniu zawartości repozytorium w obszarze roboczym.

Usuń zawartość

Usunięcie zawartości z repozytorium nie powoduje usunięcia jej z obszaru roboczego usługi Microsoft Sentinel. Jeśli chcesz usunąć zawartość wdrożona za pośrednictwem repozytoriów, usuń ją zarówno z repozytorium, jak i z usługi Microsoft Sentinel. Na przykład ustaw filtr zawartości na podstawie nazwy źródłowej, aby ułatwić identyfikowanie zawartości z repozytoriów.

Usuwanie połączenia repozytorium

W tej procedurze opisano sposób usuwania połączenia z repozytorium kontroli źródła z usługi Microsoft Sentinel.

Aby usunąć połączenie:

1. W usłudze Microsoft Sentinel w obszarze Zarządzanie zawartością wybierz pozycję Repozytoria.
2. W siatce wybierz połączenie, które chcesz usunąć, a następnie wybierz pozycję Usuń.
3. Wybierz Tak, aby potwierdzić usunięcie.

Po usunięciu połączenia zawartość, która została wcześniej wdrożona za pośrednictwem połączenia, pozostaje w obszarze roboczym usługi Microsoft Sentinel. Zawartość dodana do repozytorium po usunięciu połączenia nie zostanie wdrożona.

Jeśli wystąpią problemy lub komunikat o błędzie podczas usuwania połączenia, zalecamy sprawdzenie kontroli źródła. Upewnij się, że przepływ pracy usługi GitHub lub potok usługi Azure DevOps skojarzony z połączeniem został usunięty.

Usuwanie aplikacji Microsoft Sentinel z repozytorium GitHub

Jeśli zamierzasz usunąć aplikację Usługi Microsoft Sentinel z repozytorium GitHub, zalecamy najpierw usunięcie wszystkich skojarzonych połączeń ze strony Repozytoria usługi Microsoft Sentinel.

Każda instalacja aplikacji usługi Microsoft Sentinel ma unikatowy identyfikator używany podczas dodawania i usuwania połączenia. Jeśli brakuje lub zmienisz identyfikator, usuń połączenie ze strony Repozytoria usługi Microsoft Sentinel i ręcznie usuń przepływ pracy z repozytorium GitHub, aby zapobiec wszelkim przyszłym wdrożeniom zawartości.

Następne kroki

Użyj zawartości niestandardowej w usłudze Microsoft Sentinel w taki sam sposób, jak w przypadku korzystania z gotowej zawartości.

Aby uzyskać więcej informacji, zobacz:

• Dostosowywanie wdrożeń repozytorium
• Odnajdywanie i wdrażanie rozwiązań usługi Microsoft Sentinel (publiczna wersja zapoznawcza)
• Łączniki danych usługi Microsoft Sentinel