Usar repositórios para implantação

3 minutos

Ao criar conteúdo personalizado, você pode armazená-lo e gerenciá-lo em seus workspaces do Microsoft Azure Sentinel ou em um repositório de controle do código-fonte externo, incluindo os repositórios do GitHub e do Azure DevOps. Gerenciar seu conteúdo em um repositório externo permite que você faça atualizações nesse conteúdo fora do Microsoft Azure Sentinel e faça com que ele seja implantado automaticamente em seus workspaces.

Pré-requisitos e escopo

Antes de conectar seu workspace do Microsoft Azure Sentinel a um repositório de controle do código-fonte externo, verifique se você tem:

Acesso a um repositório do GitHub ou do Azure DevOps, com todos os arquivos de conteúdo personalizados que você deseja implantar em seus workspaces, em Modelos do Azure Resource Manager (ARM).

Atualmente, o Microsoft Azure Sentinel dá suporte a conexões somente com repositórios do GitHub e do Azure DevOps.
Uma função de Proprietário no grupo de recursos que contenha seu workspace do Microsoft Azure Sentinel. Essa função é necessária para criar a conexão entre o Microsoft Sentinel e o repositório do controle do código-fonte. Se não for possível usar a função de Proprietário no ambiente, use a combinação das funções Administrador de acesso do usuário e Colaborador do Sentinel para criar a conexão.

Máximo de conexões e implantações

No momento, cada workspace do Microsoft Azure Sentinel está limitado a cinco conexões.

Cada grupo de recursos do Azure é limitado a 800 implantações no histórico. Se você tiver um alto volume de implantações de modelos do ARM em seus grupos de recursos, o erro Cota de Implantação Ultrapassada poderá ser exibido.

Validar seu conteúdo

Implantar conteúdo no Microsoft Azure Sentinel por meio de uma conexão de repositório não valida esse conteúdo além de verificar se os dados estão no formato de modelo do ARM correto.

Recomendamos que você valide seus modelos de conteúdo usando o processo de validação regular. Você pode usar as ferramentas e o processo de validação do GitHub do Microsoft Azure Sentinel para configurar seu próprio processo de validação.

Conectar um repositório

Este procedimento descreve como conectar um repositório do GitHub ou do Azure DevOps ao seu workspace do Microsoft Azure Sentinel, no qual você pode salvar e gerenciar seu conteúdo personalizado, em vez de no Microsoft Azure Sentinel.

Cada conexão pode dar suporte a vários tipos de conteúdo personalizado, incluindo regras de análise, regras de automação, consultas de busca, analisadores, guias estratégicos e pastas de trabalho. Para saber mais, confira Sobre o conteúdo e soluções do Microsoft Azure Sentinel.

Para criar sua conexão:

Verifique se você está conectado ao seu aplicativo de controle do código-fonte com as credenciais que deseja usar para a conexão. Se você estiver conectado no momento usando credenciais diferentes, saia primeiro.
No Microsoft Azure Sentinel, à esquerda, em Gerenciamento de conteúdo, selecione Repositórios.
Selecione Adicionar novo e, em seguida, na página Criar uma nova conexão, insira um nome e uma descrição significativos para a conexão.
Na lista suspensa Controle do código-fonte, selecione o tipo de repositório ao qual você deseja se conectar e, em seguida, selecione Autorizar.
Selecione uma das seguintes guias, dependendo do tipo de conexão:

GitHub

Inserir as credenciais do GitHub quando solicitado.

Na primeira vez que você adicionar uma conexão, você verá uma nova janela ou guia do navegador, solicitando que você autorize a conexão com o Microsoft Azure Sentinel. Se você já estiver conectado à sua conta do GitHub no mesmo navegador, suas credenciais do GitHub serão preenchidas automaticamente.
Uma área de Repositório agora é mostrada na página Criar uma nova conexão, na qual você pode selecionar um repositório existente ao qual se conectar. Selecione o repositório na lista e, em seguida, selecione Adicionar repositório.

Na primeira vez que você se conectar a um repositório específico, você verá uma nova janela ou guia do navegador, solicitando que você instale o aplicativo Azure-Sentinel em seu repositório. Se você tiver vários repositórios, selecione aqueles em que deseja instalar o aplicativo Azure-Sentinel e instale-o.

Você será direcionado para o GitHub para continuar a instalação do aplicativo.
Depois que o aplicativo Azure-Sentinel for instalado em seu repositório, a lista suspensa Ramificação na página Criar uma nova conexão será preenchida com suas ramificações. Selecione a ramificação que você deseja conectar ao seu workspace do Microsoft Azure Sentinel.
Na lista suspensa Tipos de conteúdo, selecione o tipo de conteúdo que você implantará.
- Os analisadores e as consultas de busca usam a API Pesquisas salvas para implantar o conteúdo no Microsoft Azure Sentinel. Se você selecionar um desses tipos de conteúdo e também tiver conteúdo do outro tipo em sua ramificação, ambos os tipos de conteúdo serão implantados.
- Para todos os outros tipos de conteúdo, a seleção de um tipo de conteúdo no painel Criar uma nova conexão implanta apenas esse conteúdo no Microsoft Azure Sentinel. O conteúdo de outros tipos não é implantado.
Selecione Criar para criar a conexão.

Depois que a conexão é criada, um novo fluxo de trabalho ou pipeline é gerado no repositório, e o conteúdo armazenado em seu repositório é implantado em seu workspace do Microsoft Azure Sentinel.

O tempo de implantação pode variar dependendo do volume de conteúdo que você está implantando.

Azure DevOps

Você é conectado automaticamente ao Azure DevOps usando suas credenciais atuais do Azure. Para garantir a conectividade válida, verifique se você está autorizado à mesma organização do Azure DevOps que está se conectando do Microsoft Azure Sentinel ou use uma janela do navegador InPrivate para criar sua conexão.
No Microsoft Azure Sentinel, nas listas suspensas que aparecem, selecione sua Organização, Projeto, Repositório, Ramificação e Tipos de conteúdo.
- Os analisadores e as consultas de busca usam a API Pesquisas salvas para implantar o conteúdo no Microsoft Azure Sentinel. Se você selecionar um desses tipos de conteúdo e também tiver conteúdo do outro tipo em sua ramificação, ambos os tipos de conteúdo serão implantados.
- Para todos os outros tipos de conteúdo, a seleção de um tipo de conteúdo no painel Criar uma nova conexão implanta apenas esse conteúdo no Microsoft Azure Sentinel. O conteúdo de outros tipos não é implantado.
Selecione Criar para criar a conexão. Por exemplo: