Partilhar via

Gerenciar conteúdo personalizado com repositórios do Microsoft Sentinel (visualização pública)

  • Artigo

O recurso de repositórios do Microsoft Sentinel fornece uma experiência central para a implantação e o gerenciamento de conteúdo do Sentinel como código. Os repositórios permitem conexões com um controle de fonte externo para integração contínua / entrega contínua (CI/CD). Essa automação elimina a carga de processos manuais para atualizar e implantar seu conteúdo personalizado em espaços de trabalho. Para obter mais informações sobre o conteúdo do Sentinel, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel.

Importante

O recurso Repositórios do Microsoft Sentinel está atualmente em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Planeje sua conexão com o repositório

Os repositórios do Microsoft Sentinel exigem um planejamento cuidadoso para garantir que você tenha as permissões adequadas do seu espaço de trabalho para o repositório (repo) que deseja conectar. Atualmente, há suporte apenas para conexões com repositórios do GitHub e do Azure DevOps com acesso de colaborador. O aplicativo Microsoft Sentinel precisará de autorização para seu repositório e terá Ações habilitadas para GitHub e Pipelines habilitados para Azure DevOps.

Os repositórios exigem uma função de Proprietário no grupo de recursos que contém seu espaço de trabalho do Microsoft Sentinel. Essa função é necessária para criar a conexão entre o Microsoft Sentinel e seu repositório de controle do código-fonte. Se você não puder usar a função Proprietário em seu ambiente, poderá usar a combinação das funções de Administrador de Acesso de Usuário e Colaborador do Sentinel para criar a conexão.

Se você encontrar conteúdo em um repositório público onde não seja um contribuidor, precisará primeiro colocar esse conteúdo em seu repositório. Você pode fazer isso com uma importação, bifurcação ou clone do conteúdo para um repositório no qual você é um colaborador. Em seguida, você pode conectar seu repositório ao seu espaço de trabalho do Sentinel. Para obter mais informações, consulte Implantar conteúdo personalizado do repositório.

Valide o seu conteúdo

Os seguintes tipos de conteúdo do Microsoft Sentinel podem ser implantados por meio de uma conexão de repositório:

  • Regras de análise
  • Regras de automatização
  • Consultas de investigação
  • Analisadores
  • Manuais de Procedimentos
  • Livros

Gorjeta

Este artigo não descreve como criar esses tipos de conteúdo do zero. Para obter mais informações, consulte o wiki relevante do Microsoft Sentinel GitHub para cada tipo de conteúdo.

O conteúdo dos repositórios precisa ser armazenado como modelos ARM. A implantação dos repositórios não valida o conteúdo, exceto para confirmar que ele está no formato JSON correto.

A primeira etapa para validar seu conteúdo é testá-lo no Microsoft Sentinel. Você também pode aplicar o processo de validação e as ferramentas do Microsoft Sentinel GitHub para complementar seu processo de validação.

Um repositório de exemplo está disponível com modelos ARM para cada um dos tipos de conteúdo listados acima. O repositório também demonstra como usar recursos avançados de conexões de repositório. Para obter mais informações, consulte Exemplo de repositórios CICD do Sentinel.

Captura de tela de uma conexão de repositório bem-sucedida. O RepositoriesSampleContent é mostrado. Esta captura de tela é depois que a amostra foi importada do repositório SentinelCICD para um repositório GitHub privado na organização FourthCoffee.

Máximo de conexões e implantações

  • Cada espaço de trabalho do Microsoft Sentinel está atualmente limitado a cinco conexões de repositório.

  • Cada grupo de recursos do Azure é limitado a 800 implantações em seu histórico de implantação. Se você tiver um grande volume de implantações de modelo ARM no(s) seu(s) grupo(s) de recursos, poderá ver o Deployment QuotaExceeded erro. Para obter mais informações, consulte DeploymentQuotaExceeded na documentação de modelos do Azure Resource Manager.

Melhore o desempenho com implantações inteligentes

Gorjeta

Para garantir que as implantações inteligentes funcionem no GitHub, os fluxos de trabalho devem ter permissões de leitura e gravação em seu repositório. Consulte Gerenciando configurações de ações do GitHub para um repositório para obter mais detalhes.

O recurso de implantações inteligentes é um recurso de back-end que melhora o desempenho rastreando ativamente as modificações feitas nos arquivos de conteúdo de um repositório conectado. Ele usa um arquivo CSV dentro da pasta '.sentinel' em seu repositório para auditar cada confirmação. O fluxo de trabalho evita a reimplantação de conteúdo que não foi modificado desde a última implantação. Esse processo melhora o desempenho da implantação e evita a adulteração de conteúdo inalterado em seu espaço de trabalho, como a redefinição de agendas dinâmicas de suas regras de análise.

As implantações inteligentes são habilitadas por padrão em conexões recém-criadas. Se preferir que todo o conteúdo de controle do código-fonte seja implantado sempre que uma implantação for acionada, independentemente de esse conteúdo ter sido modificado ou não, você poderá modificar seu fluxo de trabalho para desabilitar implantações inteligentes. Para obter mais informações, consulte Personalizar o fluxo de trabalho ou pipeline.

Nota

Este recurso foi lançado em pré-visualização pública em 20 de abril de 2022. As conexões criadas antes do lançamento precisariam ser atualizadas ou recriadas para que as implantações inteligentes fossem ativadas.

Considere as opções de personalização de implantação

Várias opções de personalização estão disponíveis para considerar ao implantar conteúdo com repositórios do Microsoft Sentinel.

Personalizar o fluxo de trabalho ou pipeline

Talvez você queira personalizar o fluxo de trabalho ou pipeline de uma das seguintes maneiras:

  • Configurar diferentes gatilhos de implantação
  • implantar conteúdo somente de uma pasta raiz específica para um determinado espaço de trabalho
  • Agendar a execução periódica do fluxo de trabalho
  • combinar diferentes eventos de fluxo de trabalho juntos
  • Desativar implantações inteligentes

Essas personalizações são definidas em um arquivo de .yml específico para seu fluxo de trabalho ou pipeline. Para obter mais detalhes sobre como implementar, consulte Personalizar implantações de repositório

Personalizar a implantação

Depois que o fluxo de trabalho ou pipeline é acionado, a implantação oferece suporte aos seguintes cenários:

  • Priorizar o conteúdo a ser implantado antes do restante do conteúdo de repositório
  • Excluir conteúdo da implantação
  • especificar arquivos de parâmetro de modelo ARM

Essas opções estão disponíveis por meio de um recurso do script de implantação do PowerShell chamado a partir do fluxo de trabalho ou pipeline. Para obter mais detalhes sobre como implementar essas personalizações, consulte Personalizar implantações de repositório.

Próximos passos

Obtenha mais exemplos e instruções passo a passo sobre como implantar repositórios do Microsoft Sentinel.