Używanie repozytoriów do wdrożenia

  • 3 min

Podczas tworzenia zawartości niestandardowej można przechowywać zawartość i zarządzać nią we własnych obszarach roboczych usługi Microsoft Sentinel lub w zewnętrznym repozytorium kontroli źródła, w tym repozytoriach GitHub i Azure DevOps. Zarządzanie zawartością w repozytorium zewnętrznym umożliwia aktualizowanie tej zawartości poza usługą Microsoft Sentinel i automatyczne wdrażanie jej w obszarach roboczych.

Wymagania wstępne i zakres

Przed połączeniem obszaru roboczego usługi Microsoft Sentinel z zewnętrznym repozytorium kontroli źródła upewnij się, że:

  • Dostęp do repozytorium GitHub lub Azure DevOps z dowolnymi niestandardowymi plikami zawartości, które chcesz wdrożyć w swoich obszarach roboczych, w odpowiednich szablonach usługi Azure Resource Manager (ARM).

    Usługa Microsoft Sentinel obecnie obsługuje połączenia tylko z repozytoriami GitHub i Azure DevOps.

  • Rola właściciela w grupie zasobów, która zawiera obszar roboczy usługi Microsoft Sentinel. Ta rola jest wymagana do utworzenia połączenia między usługą Microsoft Sentinel i repozytorium kontroli źródła. Jeśli nie możesz użyć roli Właściciel w swoim środowisku, możesz zamiast tego użyć kombinacji ról Administracja istratora dostępu użytkowników i współautora usługi Sentinel w celu utworzenia połączenia.

Maksymalna liczba połączeń i wdrożeń

Każdy obszar roboczy usługi Microsoft Sentinel ma obecnie ograniczenie do pięciu połączeń.

Każda grupa zasobów platformy Azure może mieć maksymalnie 800 wdrożeń w swojej historii wdrażania. Jeśli masz dużą liczbę wdrożeń szablonów usługi ARM w grupach zasobów, może zostać wyświetlony błąd Deployment QuotaExceededed( Limit przydziału wdrożenia).

Weryfikowanie zawartości

Wdrażanie zawartości w usłudze Microsoft Sentinel za pośrednictwem połączenia repozytorium nie weryfikuje zawartości innej niż sprawdzanie, czy dane są w poprawnym formacie szablonu usługi ARM.

Zalecamy zweryfikowanie szablonów zawartości przy użyciu zwykłego procesu weryfikacji. Aby skonfigurować własny proces weryfikacji, możesz użyć procesu weryfikacji usługi GitHub w usłudze Microsoft Sentinel.

Połączenie repozytorium

W tej procedurze opisano sposób łączenia repozytorium GitHub lub Azure DevOps z obszarem roboczym usługi Microsoft Sentinel, w którym można zapisywać zawartość niestandardową i zarządzać nią zamiast w usłudze Microsoft Sentinel.

Każde połączenie może obsługiwać wiele typów zawartości niestandardowej, w tym reguły analizy, reguły automatyzacji, zapytania wyszukiwania zagrożeń, analizatory, podręczniki i skoroszyty. Aby uzyskać więcej informacji, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel.

Aby utworzyć połączenie:

  • Upewnij się, że logujesz się do aplikacji kontroli źródła przy użyciu poświadczeń, których chcesz użyć na potrzeby połączenia. Jeśli obecnie logujesz się przy użyciu różnych poświadczeń, najpierw wyloguj się.

  • W usłudze Microsoft Sentinel po lewej stronie w obszarze Zarządzanie zawartością wybierz pozycję Repozytoria.

  • Wybierz pozycję Dodaj nową, a następnie na stronie Tworzenie nowego połączenia wprowadź zrozumiałą nazwę i opis połączenia.

  • Z listy rozwijanej Kontrola źródła wybierz typ repozytorium, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Autoryzuj.

  • Wybierz jedną z następujących kart w zależności od typu połączenia:

GitHub

  • Po wyświetleniu monitu wprowadź poświadczenia usługi GitHub.

    Po pierwszym dodaniu połączenia zostanie wyświetlone nowe okno przeglądarki lub karta z monitem o autoryzowanie połączenia z usługą Microsoft Sentinel. Jeśli już zalogowano się do konta usługi GitHub w tej samej przeglądarce, poświadczenia usługi GitHub zostaną wypełnione automatycznie.

  • Obszar Repozytorium jest teraz wyświetlany na stronie Tworzenie nowego połączenia, z którym można wybrać istniejące repozytorium, z którym ma zostać nawiązane połączenie. Wybierz repozytorium z listy, a następnie wybierz pozycję Dodaj repozytorium.

    Przy pierwszym połączeniu z określonym repozytorium zostanie wyświetlone nowe okno przeglądarki lub karta z monitem o zainstalowanie aplikacji Azure-Sentinel w repozytorium. Jeśli masz wiele repozytoriów, wybierz te, w których chcesz zainstalować aplikację Azure-Sentinel, i zainstaluj ją.

    Nastąpi przekierowanie do usługi GitHub, aby kontynuować instalację aplikacji.

  • Po zainstalowaniu aplikacji Azure-Sentinel w repozytorium lista rozwijana Gałąź na stronie Tworzenie nowego połączenia zostanie wypełniona gałęziami. Wybierz gałąź, z którą chcesz nawiązać połączenie z obszarem roboczym usługi Microsoft Sentinel.

  • Z listy rozwijanej Typy zawartości wybierz typ wdrażanej zawartości.

    • Zarówno analizatory, jak i zapytania wyszukiwania zagrożeń używają interfejsu API zapisane wyszukiwania do wdrażania zawartości w usłudze Microsoft Sentinel. Jeśli wybierzesz jeden z tych typów zawartości, a także zawartość innego typu w gałęzi, oba typy zawartości zostaną wdrożone.

    • W przypadku wszystkich innych typów zawartości wybranie typu zawartości w okienku Tworzenie nowego połączenia umożliwia wdrożenie tylko tej zawartości w usłudze Microsoft Sentinel. Zawartość innych typów nie jest wdrażana.

  • Wybierz pozycję Utwórz, aby utworzyć połączenie.

Po utworzeniu połączenia w repozytorium zostanie wygenerowany nowy przepływ pracy lub potok, a zawartość przechowywana w repozytorium zostanie wdrożona w obszarze roboczym usługi Microsoft Sentinel.

Czas wdrażania może się różnić w zależności od ilości wdrażanej zawartości.

Azure DevOps

  • Masz automatyczne uprawnienia do usługi Azure DevOps przy użyciu bieżących poświadczeń platformy Azure. Aby zapewnić prawidłową łączność, sprawdź, czy masz autoryzację do tej samej organizacji usługi Azure DevOps, z którą nawiązujesz połączenie z usługi Microsoft Sentinel, lub użyj okna przeglądarki InPrivate, aby utworzyć połączenie.

  • W usłudze Microsoft Sentinel na wyświetlonych listach rozwijanych wybierz typy zawartości: Organizacja, Projekt, Repozytorium, Gałąź i Typy zawartości.

    • Zarówno analizatory, jak i zapytania wyszukiwania zagrożeń używają interfejsu API zapisane wyszukiwania do wdrażania zawartości w usłudze Microsoft Sentinel. Jeśli wybierzesz jeden z tych typów zawartości, a także zawartość innego typu w gałęzi, oba typy zawartości zostaną wdrożone.

    • W przypadku wszystkich innych typów zawartości wybranie typu zawartości w okienku Tworzenie nowego połączenia umożliwia wdrożenie tylko tej zawartości w usłudze Microsoft Sentinel. Zawartość innych typów nie jest wdrażana.

  • Wybierz pozycję Utwórz, aby utworzyć połączenie. Na przykład:

Po utworzeniu połączenia w repozytorium zostanie wygenerowany nowy przepływ pracy lub potok, a zawartość przechowywana w repozytorium zostanie wdrożona w obszarze roboczym usługi Microsoft Sentinel.

Czas wdrażania może się różnić w zależności od ilości wdrażanej zawartości.