Развертывание пользовательского содержимого из репозитория (общедоступная версия)
Вы можете администрировать созданное пользовательское содержимое из собственных рабочих областей Microsoft Sentinel или внешнего репозитория системы управления версиями. В этой статье описано, как создавать и администрировать подключения между Microsoft Sentinel и GitHub или репозиториями Azure DevOps. Управление содержимым во внешнем репозитории позволяет вносить обновления в содержимое за пределами Microsoft Sentinel и автоматически развертывать его в ваших рабочих областях. Дополнительные сведения см. в статье Обновление пользовательского содержимого с помощью подключений к репозиторию.
Внимание
- Функция Репозитории Microsoft Sentinel сейчас предоставляется в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
- Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Предварительные требования и область действия
Сейчас Microsoft Sentinel поддерживает подключения только к репозиториям GitHub и Azure DevOps. Прежде чем подключить рабочую область Microsoft Sentinel к репозиторию системы управления версиями, убедитесь, что у вас есть:
- Роль Владелец в группе ресурсов, которая содержит рабочую область Microsoft Sentinel, или комбинация ролей Администратор доступа пользователей и Участник Sentinel для создания подключения.
- Доступ участника совместной работы к репозиторию GitHub или администратору проекта к репозиторию Azure DevOps
- Включение GitHub Actions и Azure DevOps Pipelines.
- Доступ к сторонним приложениям через OAuth включен для политик подключения приложений Azure DevOps.
- Убедитесь, что файлы пользовательского содержимого, которые вы хотите развернуть в своих рабочих областях, находятся в соответствующих шаблонах Azure Resource Manager (ARM).
Дополнительные сведения см. в разделе "Проверка содержимого".
Подключение репозитория
В этой процедуре описывается подключение репозитория GitHub или Azure DevOps к рабочей области Microsoft Sentinel.
Каждое подключение может поддерживать несколько типов настраиваемого содержимого, включая правила аналитики и автоматизации, запросы охоты на угрозы, средства синтаксического анализа, сборники схем и книги. Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel.
В одной рабочей области Microsoft Sentinel нельзя создавать дублирующиеся подключения с одними и теми же репозиторием и ветвью.
Создайте подключение:
Убедитесь, что вы вошли в приложение системы управления версиями с учетными данными, которые вы хотите использовать для подключения. Если вы вошли в систему с другими учетными данными, выйдите и зайдите снова.
Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите репозитории.
Для Microsoft Sentinel на портале Defender выберите репозитории управления>содержимым Microsoft Sentinel>.Выберите " Добавить новое", а затем на странице "Создание подключения к развертыванию" введите понятное имя и описание подключения.
В раскрывающемся списке Система управления версиями выберите тип репозитория, к которому необходимо подключиться, а затем щелкните Авторизация.
Выберите одну из следующих таблиц зависимости от вашего типа подключения.
При появлении запроса введите свои учетные данные GitHub.
При первом добавлении подключения вам будет предложено авторизовать подключение к Microsoft Sentinel. Если вы уже вошли в учетную запись GitHub в том же браузере, учетные данные GitHub автоматически заполнены.
Область репозитория теперь отображается на странице "Создание подключения к развертыванию", где можно выбрать существующий репозиторий для подключения. Выберите репозиторий из списка и щелкните Добавить репозиторий.
При первом подключении к определенному репозиторию вы увидите новое окно или вкладку браузера, предлагающие установить приложение Azure-Sentinel в репозитории. Если у вас несколько репозиториев, выберите те, в которых нужно установить приложение Azure-Sentinel, и установите его.
Вы направляетесь на GitHub, чтобы продолжить установку приложения.
После установки приложения Azure-Sentinel в репозитории раскрывающийся список "Ветвь" на странице "Создание подключения к развертыванию" заполняется ветвями. Выберите ветвь, которую нужно подключить к рабочей области Microsoft Sentinel.
В раскрывающемся списке "Типы контента" выберите тип развернутого содержимого.
Средства синтаксического анализа и запросы охоты на угрозы используют API сохраненных поисковых запросов для развертывания содержимого в Microsoft Sentinel. Если выбрать один из этих типов содержимого и при наличии содержимого другого типа в ветви, будут развернуты оба типа содержимого.
Для всех других типов контента выбор типа контента в области подключения " Создать новое развертывание" развертывает только это содержимое в Microsoft Sentinel. Содержимое других типов не развертывается.
Щелкните Создать, чтобы создать подключение. Например:
После создания подключения в репозитории создается новый рабочий процесс или конвейер. Содержимое, хранящееся в репозитории, развертывается в рабочей области Microsoft Sentinel.
Время развертывания может отличаться в зависимости от объема развернутого содержимого.
Просмотр состояния развертывания
На вкладке "Действия репозитория" в GitHub выберите файл workflow .yaml, чтобы получить доступ к подробным журналам развертывания и любым определенным сообщениям об ошибках.
В Azure DevOps: просмотрите состояние развертывания на вкладке конвейеров репозитория.
После завершения развертывания:
Содержимое, хранящееся в репозитории, отображается в рабочей области Microsoft Sentinel на соответствующей странице Microsoft Sentinel.
Сведения о подключении на странице репозиториев обновляются со ссылкой на журналы развертывания подключения, а также состояние и время последнего развертывания. Например:
Рабочий процесс по умолчанию развертывает только содержимое, измененное с момента последнего развертывания на основе фиксаций в репозитории. Но вы можете отключить интеллектуальные развертывания или выполнить другие настройки. Например, вы можете настроить разные триггеры развертывания или развернуть содержимое исключительно из определенной корневой папки. Дополнительные сведения см. в статье о настройке развертываний репозитория.
Изменить содержимое
При успешном создании подключения к репозиторию системы управления версиями содержимое развертывается в Sentinel. Рекомендуется редактировать содержимое, хранящееся в подключенном репозитории, только в репозитории, а не в Microsoft Sentinel. Например, чтобы внести изменения в правила аналитики, сделайте это непосредственно в GitHub или Azure DevOps.
Если вместо этого изменить содержимое в Microsoft Sentinel, необходимо экспортировать его в репозиторий системы управления версиями, чтобы предотвратить перезапись изменений при следующем развертывании содержимого репозитория в рабочей области.
Удаление содержимого
Удаление содержимого из репозитория не приводит к его удалению из рабочей области Microsoft Sentinel. Если вы хотите удалить содержимое, развернутые через репозитории, удалите его из репозитория и Microsoft Sentinel. Например, задайте фильтр для содержимого на основе имени источника, чтобы упростить идентификацию содержимого из репозиториев.
Удаление подключения репозитория
Эта процедура описывает, как удалить подключение к репозиторию системы управления версиями из Microsoft Sentinel.
Чтобы удалить подключение, выполните следующие действия.
- В Microsoft Sentinel в разделе "Управление содержимым" выберите репозитории.
- В сетке выберите подключение, которое необходимо удалить, а затем щелкните Удалить.
- Выберите Да, чтобы подтвердить удаление.
После удаления подключения содержимое, которое ранее было развернуто через подключение, остается в рабочей области Microsoft Sentinel. Содержимое, добавленное в репозиторий после удаления подключения, не развертывается.
Если при удалении подключения возникают проблемы или сообщение об ошибке, рекомендуется проверить управление версиями. Убедитесь, что рабочий процесс GitHub или конвейер Azure DevOps, связанный с подключением, удаляется.
Удаление приложения Microsoft Sentinel из репозитория GitHub
Если вы планируете удалить приложение Microsoft Sentinel из репозитория GitHub, рекомендуется сначала удалить все связанные подключения на странице Репозитории Microsoft Sentinel.
Каждая установка приложения Microsoft Sentinel имеет уникальный идентификатор, который используется при добавлении и удалении подключения. Если идентификатор отсутствует или изменен, удалите подключение со страницы репозиториев Microsoft Sentinel и вручную удалите рабочий процесс из репозитория GitHub, чтобы предотвратить любые будущие развертывания содержимого.
Следующие шаги
Используйте настраиваемое содержимое в Microsoft Sentinel так же, как вы бы использовали готовый контент.
Дополнительные сведения см. в разделе: