Usar repositórios para implantação

3 minutos

Ao criar conteúdo personalizado, você pode armazená-lo e gerenciá-lo em seus próprios espaços de trabalho do Microsoft Sentinel ou em um repositório de controle de origem externo, incluindo repositórios GitHub e Azure DevOps. Gerenciar seu conteúdo em um repositório externo permite que você faça atualizações desse conteúdo fora do Microsoft Sentinel e o implante automaticamente em seus espaços de trabalho.

Pré-requisitos e âmbito

Antes de conectar seu espaço de trabalho do Microsoft Sentinel a um repositório de controle de origem externo, verifique se você tem:

Acesso a um repositório do GitHub ou do Azure DevOps, com quaisquer arquivos de conteúdo personalizados que você deseja implantar em seus espaços de trabalho, em modelos relevantes do Azure Resource Manager (ARM).

Atualmente, o Microsoft Sentinel oferece suporte a conexões apenas com repositórios GitHub e Azure DevOps.
Uma função Proprietário no grupo de recursos que contém seu espaço de trabalho do Microsoft Sentinel. Essa função é necessária para criar a conexão entre o Microsoft Sentinel e seu repositório de controle do código-fonte. Se você não conseguir usar a função Proprietário em seu ambiente, poderá usar a combinação das funções de Administrador de Acesso de Usuário e Colaborador Sentinela para criar a conexão.

Máximo de conexões e implantações

Cada área de trabalho do Microsoft Sentinel está atualmente limitada a cinco ligações.

Cada grupo de recursos do Azure está limitado a 800 implementações no histórico de implementações. Se você tiver um grande volume de implantações de modelo ARM no(s) seu(s) grupo(s) de recursos, poderá ver um erro Deployment QuotaExceededed.

Valide o seu conteúdo

A implantação de conteúdo no Microsoft Sentinel por meio de uma conexão de repositório não valida esse conteúdo, além de verificar se os dados estão no formato de modelo ARM correto.

Recomendamos que você valide seus modelos de conteúdo usando seu processo de validação regular. Você pode usar o processo e as ferramentas de validação do Microsoft Sentinel GitHub para configurar seu próprio processo de validação.

Conectar um repositório

Este procedimento descreve como conectar um repositório GitHub ou Azure DevOps ao seu espaço de trabalho do Microsoft Sentinel, onde você pode salvar e gerenciar seu conteúdo personalizado, em vez de no Microsoft Sentinel.

Cada conexão pode oferecer suporte a vários tipos de conteúdo personalizado, incluindo regras de análise, regras de automação, consultas de caça, analisadores, playbooks e pastas de trabalho. Para obter mais informações, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel.

Para criar a sua ligação:

Certifique-se de que tem sessão iniciada na aplicação de controlo do código-fonte com as credenciais que pretende utilizar para a sua ligação. Se você estiver conectado usando credenciais diferentes, saia primeiro.
No Microsoft Sentinel, à esquerda, em Gerenciamento de conteúdo, selecione Repositórios.
Selecione Adicionar novo e, em seguida, na página Criar uma nova ligação, introduza um nome e uma descrição significativos para a sua ligação.
Na lista suspensa Controle do código-fonte, selecione o tipo de repositório ao qual deseja se conectar e selecione Autorizar.
Selecione uma das seguintes guias, dependendo do seu tipo de conexão:

GitHub

Insira suas credenciais do GitHub quando solicitado.

Na primeira vez que adicionar uma conexão, você verá uma nova janela ou guia do navegador, solicitando que você autorize a conexão com o Microsoft Sentinel. Se você já estiver conectado à sua conta do GitHub no mesmo navegador, suas credenciais do GitHub serão preenchidas automaticamente.
Uma área de repositório agora é exibida na página Criar uma nova conexão, onde você pode selecionar um repositório existente ao qual se conectar. Selecione seu repositório na lista e, em seguida, selecione Adicionar repositório.

Na primeira vez que você se conectar a um repositório específico, verá uma nova janela ou guia do navegador, solicitando que você instale o aplicativo Azure-Sentinel em seu repositório. Se você tiver vários repositórios, selecione aqueles em que deseja instalar o aplicativo Azure-Sentinel e instale-o.

Você será direcionado para o GitHub para continuar a instalação do aplicativo.
Depois que o aplicativo Azure-Sentinel é instalado em seu repositório, a lista suspensa Ramificação na página Criar uma nova conexão é preenchida com suas ramificações. Selecione a ramificação que você deseja conectar ao seu espaço de trabalho do Microsoft Sentinel.
Na lista suspensa Tipos de conteúdo, selecione o tipo de conteúdo que você implantará.
- Tanto os analisadores quanto as consultas de caça usam a API de Pesquisas Salvas para implantar conteúdo no Microsoft Sentinel. Se você selecionar um desses tipos de conteúdo e também tiver conteúdo do outro tipo em sua ramificação, ambos os tipos de conteúdo serão implantados.
- Para todos os outros tipos de conteúdo, selecionar um tipo de conteúdo no painel Criar uma nova conexão implanta apenas esse conteúdo no Microsoft Sentinel. O conteúdo de outros tipos não é implantado.
Selecione Criar para criar sua conexão.

Depois que a conexão é criada, um novo fluxo de trabalho ou pipeline é gerado no repositório e o conteúdo armazenado no repositório é implantado no espaço de trabalho do Microsoft Sentinel.

O tempo de implantação pode variar dependendo do volume de conteúdo que você está implantando.

Azure DevOps

Você está automaticamente autorizado para o Azure DevOps usando suas credenciais atuais do Azure. Para garantir uma conectividade válida, verifique se você autorizou a mesma organização do Azure DevOps à qual está se conectando a partir do Microsoft Sentinel ou use uma janela do navegador InPrivate para criar sua conexão.
No Microsoft Sentinel, nas listas suspensas exibidas, selecione sua Organização, Projeto, Repositório, Ramificação e Tipos de Conteúdo.
- Tanto os analisadores quanto as consultas de caça usam a API de Pesquisas Salvas para implantar conteúdo no Microsoft Sentinel. Se você selecionar um desses tipos de conteúdo e também tiver conteúdo do outro tipo em sua ramificação, ambos os tipos de conteúdo serão implantados.
- Para todos os outros tipos de conteúdo, selecionar um tipo de conteúdo no painel Criar uma nova conexão implanta apenas esse conteúdo no Microsoft Sentinel. O conteúdo de outros tipos não é implantado.
Selecione Criar para criar sua conexão. Por exemplo: