Udostępnij za pośrednictwem


Zarządzanie zawartością niestandardową za pomocą repozytoriów usługi Microsoft Sentinel (publiczna wersja zapoznawcza)

Funkcja repozytoriów usługi Microsoft Sentinel zapewnia centralne środowisko wdrażania zawartości usługi Sentinel i zarządzania nią jako kodu. Repozytoria umożliwiają nawiązywanie połączeń z zewnętrzną kontrolą źródła na potrzeby ciągłej integracji/ciągłego dostarczania (CI/CD). Ta automatyzacja eliminuje obciążenie procesów ręcznych do aktualizowania i wdrażania niestandardowej zawartości w obszarach roboczych. Aby uzyskać więcej informacji na temat zawartości usługi Sentinel, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel.

Ważne

Funkcja repozytoriów usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Planowanie połączenia repozytorium

Repozytoria usługi Microsoft Sentinel wymagają starannego planowania, aby upewnić się, że masz odpowiednie uprawnienia z obszaru roboczego do repozytorium (repozytorium), z którym chcesz nawiązać połączenie. Obecnie obsługiwane są tylko połączenia z repozytoriami GitHub i Azure DevOps z dostępem współautora. Aplikacja Usługi Microsoft Sentinel będzie potrzebować autoryzacji do repozytorium i ma włączoną obsługę akcji dla usług GitHub i Pipelines dla usługi Azure DevOps.

Repozytoria wymagają roli Właściciel w grupie zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. Ta rola jest wymagana do utworzenia połączenia między usługą Microsoft Sentinel i repozytorium kontroli źródła. Jeśli nie możesz użyć roli Właściciel w danym środowisku, możesz zamiast tego użyć kombinacji ról Administrator dostępu użytkowników i Współautor usługi Sentinel, aby utworzyć połączenie.

Jeśli znajdziesz zawartość w repozytorium publicznym, w którym nie jesteś współautorem, musisz najpierw pobrać zawartość do repozytorium. Możesz to zrobić za pomocą importowania, rozwidlenia lub klonowania zawartości do repozytorium, w którym jesteś współautorem. Następnie możesz połączyć repozytorium z obszarem roboczym usługi Sentinel. Aby uzyskać więcej informacji, zobacz Wdrażanie zawartości niestandardowej z repozytorium.

Weryfikowanie zawartości

Następujące typy zawartości usługi Microsoft Sentinel można wdrożyć za pośrednictwem połączenia repozytorium:

  • Reguły analizy
  • Reguły automatyzacji
  • Zapytania dotyczące wyszukiwania zagrożeń
  • Parsery
  • Podręczniki
  • Skoroszyty

Napiwek

W tym artykule nie opisano sposobu tworzenia tego typu zawartości od podstaw. Aby uzyskać więcej informacji, zobacz odpowiednią witrynę wiki usługi GitHub usługi Microsoft Sentinel dla każdego typu zawartości.

Zawartość repozytoriów musi być przechowywana jako szablony usługi ARM. Wdrożenie repozytoriów nie weryfikuje zawartości z wyjątkiem potwierdzenia, że jest w poprawnym formacie JSON.

Pierwszym krokiem do zweryfikowania zawartości jest przetestowanie jej w usłudze Microsoft Sentinel. Możesz również zastosować proces weryfikacji usługi GitHub usługi Microsoft Sentinel i narzędzia, aby uzupełnić proces weryfikacji.

Przykładowe repozytorium jest dostępne z szablonami usługi ARM dla każdego z typów zawartości wymienionych powyżej. W repozytorium pokazano również, jak używać zaawansowanych funkcji połączeń repozytorium. Aby uzyskać więcej informacji, zobacz Przykładowe repozytoria CICD usługi Sentinel.

Zrzut ekranu przedstawiający pomyślne połączenie repozytorium. Zostaną wyświetlone repozytoriaSampleContent. Ten zrzut ekranu znajduje się po zaimportowaniu przykładu z repozytorium SentinelCICD do prywatnego repozytorium GitHub w organizacji FourthCoffee.

Maksymalna liczba połączeń i wdrożeń

  • Każdy obszar roboczy usługi Microsoft Sentinel jest obecnie ograniczony do pięciu połączeń repozytorium.

  • Każda grupa zasobów platformy Azure jest ograniczona do 800 wdrożeń w historii wdrażania. Jeśli masz dużą liczbę wdrożeń szablonów usługi ARM w grupach zasobów, może zostać wyświetlony Deployment QuotaExceeded błąd. Aby uzyskać więcej informacji, zobacz DeploymentQuotaExceeded w dokumentacji szablonów usługi Azure Resource Manager.

Zwiększanie wydajności za pomocą inteligentnych wdrożeń

Napiwek

Aby zapewnić, że inteligentne wdrożenia działają w usłudze GitHub, przepływy pracy muszą mieć uprawnienia do odczytu i zapisu w repozytorium. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami funkcji GitHub Actions dla repozytorium .

Funkcja wdrożeń inteligentnych to funkcja zaplecza, która poprawia wydajność dzięki aktywnemu śledzeniu modyfikacji wprowadzonych w plikach zawartości połączonego repozytorium. Używa on pliku CSV w folderze ".sentinel" w repozytorium do inspekcji każdego zatwierdzenia. Przepływ pracy unika ponownego wdrażania zawartości, która nie została zmodyfikowana od czasu ostatniego wdrożenia. Ten proces poprawia wydajność wdrożenia i uniemożliwia manipulowanie niezmienioną zawartością w obszarze roboczym, na przykład resetowanie dynamicznych harmonogramów reguł analizy.

Wdrożenia inteligentne są domyślnie włączone na nowo utworzonych połączeniach. Jeśli wolisz wdrożyć całą zawartość kontroli źródła za każdym razem, gdy wdrożenie zostanie wyzwolone, niezależnie od tego, czy ta zawartość została zmodyfikowana, czy nie, możesz zmodyfikować przepływ pracy, aby wyłączyć inteligentne wdrożenia. Aby uzyskać więcej informacji, zobacz Dostosowywanie przepływu pracy lub potoku.

Uwaga

Ta funkcja została uruchomiona w publicznej wersji zapoznawczej 20 kwietnia 2022 r. Połączenia utworzone przed uruchomieniem muszą zostać zaktualizowane lub utworzone ponownie w celu włączenia inteligentnych wdrożeń.

Rozważ opcje dostosowywania wdrożenia

Dostępnych jest wiele opcji dostosowywania, które należy wziąć pod uwagę podczas wdrażania zawartości za pomocą repozytoriów usługi Microsoft Sentinel.

Dostosowywanie przepływu pracy lub potoku

Możesz dostosować przepływ pracy lub potok w jeden z następujących sposobów:

  • konfigurowanie różnych wyzwalaczy wdrażania
  • wdrażanie zawartości tylko z określonego folderu głównego dla danego obszaru roboczego
  • zaplanuj okresowe uruchamianie przepływu pracy
  • Łączenie różnych zdarzeń przepływu pracy
  • wyłączanie wdrożeń inteligentnych

Te dostosowania są definiowane w pliku .yml specyficznym dla przepływu pracy lub potoku. Aby uzyskać więcej informacji na temat implementowania, zobacz Dostosowywanie wdrożeń repozytorium

Dostosowywanie wdrożenia

Po wyzwoleniu przepływu pracy lub potoku wdrożenie obsługuje następujące scenariusze:

  • Określanie priorytetów zawartości do wdrożenia przed resztą zawartości repozytorium
  • wykluczanie zawartości z wdrożenia
  • określanie plików parametrów szablonu usługi ARM

Te opcje są dostępne za pośrednictwem funkcji skryptu wdrażania programu PowerShell wywoływanego z przepływu pracy lub potoku. Aby uzyskać więcej informacji na temat implementowania tych dostosowań, zobacz Dostosowywanie wdrożeń repozytorium.

Następne kroki

Uzyskaj więcej przykładów i instrukcje krok po kroku dotyczące wdrażania repozytoriów usługi Microsoft Sentinel.