Zarządzanie zawartością niestandardową za pomocą repozytoriów usługi Microsoft Sentinel (publiczna wersja zapoznawcza)
Funkcja repozytoriów usługi Microsoft Sentinel zapewnia centralne środowisko wdrażania zawartości usługi Sentinel i zarządzania nią jako kodu. Repozytoria umożliwiają nawiązywanie połączeń z zewnętrzną kontrolą źródła na potrzeby ciągłej integracji/ciągłego dostarczania (CI/CD). Ta automatyzacja eliminuje obciążenie procesów ręcznych do aktualizowania i wdrażania niestandardowej zawartości w obszarach roboczych. Aby uzyskać więcej informacji na temat zawartości usługi Sentinel, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel.
Ważne
Funkcja repozytoriów usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Planowanie połączenia repozytorium
Repozytoria usługi Microsoft Sentinel wymagają starannego planowania, aby upewnić się, że masz odpowiednie uprawnienia z obszaru roboczego do repozytorium (repozytorium), z którym chcesz nawiązać połączenie.
- Obsługiwane są tylko połączenia z repozytoriami GitHub i Azure DevOps.
- Wymagany jest dostęp współpracownika do repozytorium GitHub lub administratora projektu do repozytorium Usługi Azure DevOps.
- Aplikacja Microsoft Sentinel musi mieć autoryzację do repozytorium.
- Akcje muszą być włączone dla usługi GitHub.
- Potoki muszą być włączone dla usługi Azure DevOps.
- Połączenie usługi Azure DevOps musi znajdować się w tej samej dzierżawie co obszar roboczy usługi Microsoft Sentinel.
Utworzenie połączenia z repozytorium wymaga roli Właściciel w grupie zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. Jeśli nie możesz użyć roli Właściciel w swoim środowisku, użyj kombinacji ról Administrator dostępu użytkowników i Współautor usługi Sentinel, aby utworzyć połączenie.
Jeśli znajdziesz zawartość w repozytorium publicznym, w którym nie jesteś współautorem, najpierw zaimportuj, rozwidlenie lub sklonuj zawartość do repozytorium, w którym jesteś współautorem. Następnie połącz repozytorium z obszarem roboczym usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wdrażanie zawartości niestandardowej z repozytorium.
Planowanie zawartości repozytorium
Zawartość repozytorium musi być przechowywana jako pliki Bicep lub szablony usługi Azure Resource Manager (ARM). Jednak Bicep jest bardziej intuicyjny i ułatwia opisywanie zasobów platformy Azure i zawartości usługi Microsoft Sentinel.
Wdróż szablony plików Bicep obok szablonów JSON usługi ARM lub zamiast tych szablonów. Jeśli rozważasz opcję infrastruktury jako kodu, zalecamy zapoznanie się z Bicep. Aby uzyskać więcej informacji, zobacz Co to jest Bicep?.
Ważne
Aby można było używać szablonów Bicep, należy zaktualizować połączenie repozytoriów, jeśli połączenie zostało utworzone przed 1 listopada 2024 r. Aby można było zaktualizować, należy usunąć i ponownie utworzyć połączenia repozytoriów.
Nawet jeśli oryginalna zawartość jest szablonem usługi ARM, rozważ konwersję na Bicep, aby przegląd i aktualizacja procesów był mniej złożony. Bicep jest ściśle związany z usługą ARM, ponieważ podczas wdrażania każdy plik Bicep jest konwertowany na szablon usługi ARM. Aby uzyskać więcej informacji na temat konwertowania szablonów usługi ARM, zobacz Decompiling ARM template JSON to Bicep (Decompiling ARM template JSON to Bicep).
Uwaga
Znane ograniczenia Bicep:
- Szablony Bicep nie obsługują
idwłaściwości . Podczas dekompilowania kodu JSON usługi ARM na wartość Bicep upewnij się, że nie masz tej właściwości. Na przykład szablony reguł analitycznych wyeksportowane z usługi Microsoft Sentinel mająidwłaściwość, która wymaga usunięcia. - Zmień schemat JSON usługi ARM na wersję
2019-04-01, aby uzyskać najlepsze wyniki podczas dekompilowania.
Weryfikowanie zawartości
Następujące typy zawartości usługi Microsoft Sentinel można wdrożyć za pośrednictwem połączenia repozytorium:
- Reguły analizy
- Reguły automatyzacji
- Zapytania dotyczące wyszukiwania zagrożeń
- Parsery
- Podręczniki
- Skoroszyty
Napiwek
W tym artykule nie opisano sposobu tworzenia tego typu zawartości od podstaw. Aby uzyskać więcej informacji, zobacz odpowiednią witrynę wiki usługi GitHub usługi Microsoft Sentinel dla każdego typu zawartości.
Wdrożenie repozytoriów nie weryfikuje zawartości z wyjątkiem potwierdzenia, że jest w poprawnym formacie JSON lub Bicep. Przed wdrożeniem upewnij się, że zawartość została przetestowana w usłudze Microsoft Sentinel.
Przykładowe repozytorium jest dostępne z szablonami dla każdego z wymienionych typów zawartości. W repozytorium pokazano również, jak używać zaawansowanych funkcji połączeń repozytorium. Aby uzyskać więcej informacji, zobacz Przykładowe repozytoria ciągłej integracji/ciągłego wdrażania usługi Microsoft Sentinel.
Maksymalna liczba połączeń i wdrożeń
- Każdy obszar roboczy usługi Microsoft Sentinel jest obecnie ograniczony do pięciu połączeń repozytorium.
- Każda grupa zasobów platformy Azure jest ograniczona do 800 wdrożeń w historii wdrażania. Jeśli masz dużą liczbę wdrożeń szablonów co najmniej jednej grupy zasobów, może zostać wyświetlony
Deployment QuotaExceededbłąd. Aby uzyskać więcej informacji, zobacz DeploymentQuotaExceeded w dokumentacji szablonów usługi Azure Resource Manager.
Zwiększanie wydajności za pomocą inteligentnych wdrożeń
Napiwek
Aby zapewnić, że inteligentne wdrożenia działają w usłudze GitHub, przepływy pracy muszą mieć uprawnienia do odczytu i zapisu w repozytorium. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami funkcji GitHub Actions dla repozytorium .
Funkcja wdrożeń inteligentnych to funkcja zaplecza, która poprawia wydajność dzięki aktywnemu śledzeniu modyfikacji wprowadzonych w plikach zawartości połączonego repozytorium. Używa pliku CSV w .sentinel folderze w repozytorium do inspekcji każdego zatwierdzenia. Przepływ pracy unika ponownego wdrażania zawartości, która nie została zmodyfikowana od czasu ostatniego wdrożenia. Ten proces poprawia wydajność wdrożenia i uniemożliwia manipulowanie niezmienioną zawartością w obszarze roboczym, na przykład resetowanie dynamicznych harmonogramów reguł analizy.
Wdrożenia inteligentne są domyślnie włączone na nowo utworzonych połączeniach. Jeśli wolisz całą zawartość kontroli źródła wdrożoną za każdym razem, gdy wdrożenie zostanie wyzwolone, niezależnie od tego, czy ta zawartość została zmodyfikowana, czy nie, zmodyfikuj przepływ pracy, aby wyłączyć wdrożenia inteligentne. Aby uzyskać więcej informacji, zobacz Dostosowywanie przepływu pracy lub potoku.
Rozważ opcje dostosowywania wdrożenia
Podczas wdrażania zawartości za pomocą repozytoriów usługi Microsoft Sentinel należy wziąć pod uwagę następujące opcje dostosowywania.
Dostosowywanie przepływu pracy lub potoku
Dostosuj przepływ pracy lub potok w jeden z następujących sposobów:
- konfigurowanie różnych wyzwalaczy wdrażania
- wdrażanie zawartości tylko z określonego folderu głównego dla danego obszaru roboczego
- zaplanuj okresowe uruchamianie przepływu pracy
- Łączenie różnych zdarzeń przepływu pracy
- wyłączanie wdrożeń inteligentnych
Te dostosowania są definiowane w pliku .yml specyficznym dla przepływu pracy lub potoku. Aby uzyskać więcej informacji na temat implementowania, zobacz Dostosowywanie wdrożeń repozytorium
Dostosowywanie wdrożenia
Po wyzwoleniu przepływu pracy lub potoku wdrożenie obsługuje następujące scenariusze:
- Określanie priorytetów zawartości do wdrożenia przed resztą zawartości repozytorium
- wykluczanie zawartości z wdrożenia
- określanie plików parametrów szablonu usługi ARM
Te opcje są dostępne za pośrednictwem funkcji skryptu wdrażania programu PowerShell wywoływanego z przepływu pracy lub potoku. Aby uzyskać więcej informacji na temat implementowania tych dostosowań, zobacz Dostosowywanie wdrożeń repozytorium.
Następne kroki
Uzyskaj więcej przykładów i instrukcje krok po kroku dotyczące wdrażania repozytoriów usługi Microsoft Sentinel.