Gerenciar conteúdo personalizado com repositórios do Microsoft Sentinel (visualização pública)
O recurso de repositórios do Microsoft Sentinel fornece uma experiência central para a implantação e o gerenciamento de conteúdo do Sentinel como código. Os repositórios permitem conexões com um controle de fonte externo para integração contínua / entrega contínua (CI/CD). Essa automação elimina a carga de processos manuais para atualizar e implantar seu conteúdo personalizado em espaços de trabalho. Para obter mais informações sobre o conteúdo do Sentinel, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel.
Importante
O recurso Repositórios do Microsoft Sentinel está atualmente em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Planeje sua conexão com o repositório
Os repositórios do Microsoft Sentinel exigem um planejamento cuidadoso para garantir que você tenha as permissões adequadas do seu espaço de trabalho para o repositório (repo) que deseja conectar.
- Somente conexões com repositórios do GitHub e do Azure DevOps são suportadas.
- É necessário o acesso do colaborador ao repositório do GitHub ou o acesso do Administrador do Projeto ao repositório do Azure DevOps.
- O aplicativo Microsoft Sentinel precisa de autorização para seu repositório.
- As ações devem ser habilitadas para o GitHub.
- Os pipelines devem ser habilitados para o Azure DevOps.
- Uma conexão de DevOps do Azure deve estar no mesmo locatário que seu espaço de trabalho do Microsoft Sentinel.
Criar uma conexão com um repositório requer uma função de Proprietário no grupo de recursos que contém seu espaço de trabalho do Microsoft Sentinel. Se você não conseguir usar a função Proprietário em seu ambiente, use a combinação das funções de Administrador de Acesso de Usuário e Colaborador Sentinela para criar a conexão.
Se você encontrar conteúdo em um repositório público onde não seja um colaborador, primeiro importe, bifurque ou clone o conteúdo para um repositório onde você é um colaborador. Em seguida, conecte seu repositório ao seu espaço de trabalho do Microsoft Sentinel. Para obter mais informações, consulte Implantar conteúdo personalizado do repositório.
Planeje o conteúdo do repositório
O conteúdo do repositório deve ser armazenado como arquivos Bicep ou modelos do Azure Resource Manager (ARM). No entanto, o Bicep é mais intuitivo e facilita a descrição dos recursos do Azure e do conteúdo do Microsoft Sentinel.
Implante modelos de arquivo Bicep ao lado ou em vez de modelos JSON ARM. Se você está considerando a infraestrutura como opções de código, recomendamos que você consulte o Bicep. Para obter mais informações, consulte O que é Bicep?.
Importante
Para usar modelos Bicep, sua conexão de repositórios precisa ser atualizada se sua conexão foi criada antes de 1º de novembro de 2024. As conexões de repositórios devem ser removidas e recriadas para serem atualizadas.
Mesmo que seu conteúdo original seja um modelo ARM, considere converter para Bicep para tornar os processos de revisão e atualização menos complexos. O Bicep está intimamente relacionado ao ARM porque durante uma implantação, cada arquivo Bicep é convertido em um modelo ARM. Para obter mais informações sobre como converter modelos ARM, consulte Descompilando JSON de modelo ARM para Bicep.
Nota
Limitações conhecidas de Bicep:
- Os modelos de bíceps não suportam a
idpropriedade. Ao descompilar ARM JSON para Bicep, certifique-se de não ter essa propriedade. Por exemplo, os modelos de regras analíticas exportados do Microsoft Sentinel têm aidpropriedade que precisa ser removida. - Altere o esquema JSON ARM para versão
2019-04-01para obter melhores resultados ao descompilar.
Valide o seu conteúdo
Os seguintes tipos de conteúdo do Microsoft Sentinel podem ser implantados por meio de uma conexão de repositório:
- Regras de análise
- Regras de automatização
- Consultas de investigação
- Analisadores
- Manuais de Procedimentos
- Livros
Gorjeta
Este artigo não descreve como criar esses tipos de conteúdo do zero. Para obter mais informações, consulte o wiki relevante do Microsoft Sentinel GitHub para cada tipo de conteúdo.
A implantação de repositórios não valida o conteúdo, exceto para confirmar que ele está no formato JSON ou Bicep correto. Certifique-se de testar seu conteúdo no Microsoft Sentinel antes de implantar.
Um repositório de exemplo está disponível com modelos para cada um dos tipos de conteúdo listados. O repositório também demonstra como usar recursos avançados de conexões de repositório. Para obter mais informações, consulte Exemplo de repositórios de CI/CD do Microsoft Sentinel.
Máximo de conexões e implantações
- Cada espaço de trabalho do Microsoft Sentinel está atualmente limitado a cinco conexões de repositório.
- Cada grupo de recursos do Azure é limitado a 800 implantações em seu histórico de implantação. Se você tiver um grande volume de implantações de modelo um ou mais de seus grupos de recursos, poderá ver o
Deployment QuotaExceedederro. Para obter mais informações, consulte DeploymentQuotaExceeded na documentação de modelos do Azure Resource Manager.
Melhore o desempenho com implantações inteligentes
Gorjeta
Para garantir que as implantações inteligentes funcionem no GitHub, os fluxos de trabalho devem ter permissões de leitura e gravação em seu repositório. Consulte Gerenciando configurações de ações do GitHub para um repositório para obter mais detalhes.
O recurso de implantações inteligentes é um recurso de back-end que melhora o desempenho rastreando ativamente as modificações feitas nos arquivos de conteúdo de um repositório conectado. Ele usa um arquivo CSV dentro da .sentinel pasta em seu repositório para auditar cada confirmação. O fluxo de trabalho evita a reimplantação de conteúdo que não foi modificado desde a última implantação. Esse processo melhora o desempenho da implantação e evita a adulteração de conteúdo inalterado em seu espaço de trabalho, como a redefinição de agendas dinâmicas de suas regras de análise.
As implantações inteligentes são habilitadas por padrão em conexões recém-criadas. Se você preferir todo o conteúdo de controle do código-fonte implantado sempre que uma implantação for acionada, independentemente de esse conteúdo ter sido modificado ou não, modifique seu fluxo de trabalho para desabilitar implantações inteligentes. Para obter mais informações, consulte Personalizar o fluxo de trabalho ou pipeline.
Considere as opções de personalização de implantação
Considere as seguintes opções de personalização ao implantar conteúdo com repositórios do Microsoft Sentinel.
Personalizar o fluxo de trabalho ou pipeline
Personalize o fluxo de trabalho ou pipeline de uma das seguintes maneiras:
- Configurar diferentes gatilhos de implantação
- implantar conteúdo somente de uma pasta raiz específica para um determinado espaço de trabalho
- Agendar a execução periódica do fluxo de trabalho
- combinar diferentes eventos de fluxo de trabalho juntos
- Desativar implantações inteligentes
Essas personalizações são definidas em um arquivo de .yml específico para seu fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar, consulte Personalizar implantações de repositório
Personalizar a implantação
Depois que o fluxo de trabalho ou pipeline é acionado, a implantação oferece suporte aos seguintes cenários:
- Priorizar o conteúdo a ser implantado antes do restante do conteúdo de repositório
- Excluir conteúdo da implantação
- especificar arquivos de parâmetro de modelo ARM
Essas opções estão disponíveis por meio de um recurso do script de implantação do PowerShell chamado a partir do fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar essas personalizações, consulte Personalizar implantações de repositório.
Próximos passos
Obtenha mais exemplos e instruções passo a passo sobre como implantar repositórios do Microsoft Sentinel.