Управление пользовательским содержимым с помощью репозиториев Microsoft Sentinel (общедоступная предварительная версия)
Функция репозиториев Microsoft Sentinel обеспечивает централизованное развертывание и управление содержимым Sentinel в виде кода. Репозитории позволяют подключаться к функциям внешнего управления версиями для непрерывной интеграции и непрерывной поставки (CI/CD). Эта автоматизация устраняет необходимость выполнять процессы обновления и развертывания вашего пользовательского содержимого в рабочих областях вручную. Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel.
Внимание
Функция Репозитории Microsoft Sentinel сейчас предоставляется в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Планирование подключения к репозиторию
Для работы с репозиториями Microsoft Sentinel требуются тщательное планирование, так как у вас должны быть надлежащие разрешения на доступ из вашей рабочей области к репозиторию, который вы хотите подключить.
- Поддерживаются только подключения к репозиториям GitHub и Azure DevOps.
- Требуется доступ к репозиторию GitHub или администратору проекта к репозиторию Azure DevOps.
- Приложению Microsoft Sentinel требуется авторизация в репозитории.
- Действия должны быть включены для GitHub.
- Конвейеры должны быть включены для Azure DevOps.
- Подключение Azure DevOps должно находиться в том же клиенте, что и рабочая область Microsoft Sentinel.
Для создания подключения к репозиторию требуется роль владельца в группе ресурсов, содержащей рабочую область Microsoft Sentinel. Если вы не можете использовать роль владельца в вашей среде, используйте сочетание ролей администратора доступа пользователей и участника Sentinel для создания подключения.
Если вы найдете содержимое в общедоступный репозиторий, где вы не являетесь участником, сначала импортируйте, вилку или клонируйте содержимое в репозиторий, где вы являетесь участником. Затем подключите репозиторий к рабочей области Microsoft Sentinel. Дополнительные сведения см. в статье Развертывание пользовательского содержимого из репозитория.
Планирование содержимого репозитория
Содержимое репозитория должно храниться как файлы Bicep или шаблоны Azure Resource Manager (ARM). Однако Bicep более интуитивно понятен и упрощает описание ресурсов Azure и содержимого Microsoft Sentinel.
Разверните шаблоны файлов Bicep вместе с шаблонами ARM JSON или вместо шаблонов ARM. Если вы рассматриваете инфраструктуру в качестве параметров кода, рекомендуем Bicep. Дополнительные сведения см. в статье Что такое Bicep.
Внимание
Чтобы использовать шаблоны Bicep, необходимо обновить подключение репозиториев, если подключение было создано до 1 ноября 2024 г. Для обновления необходимо удалить и воссоздать подключения репозиториев.
Даже если исходное содержимое является шаблоном ARM, рекомендуется преобразовать в Bicep, чтобы сделать процессы проверки и обновления менее сложными. Bicep тесно связан с ARM, так как во время развертывания каждый файл Bicep преобразуется в шаблон ARM. Дополнительные сведения о преобразовании шаблонов ARM см. в разделе "Декомпилирование шаблона ARM" в Bicep.
Примечание.
Известные ограничения Bicep:
- Шаблоны Bicep не поддерживают
idсвойство. При декомпиляции JSON ARM в Bicep убедитесь, что у вас нет этого свойства. Например, шаблоны правил аналитики, экспортированные из Microsoft Sentinel, имеютidсвойство, которое требует удаления. - Измените схему JSON ARM на версию
2019-04-01для получения наилучших результатов при декомпиляции.
Проверка содержимого
Следующие типы содержимого Microsoft Sentinel можно развернуть через подключение к репозиторию:
- Правила аналитики
- Правила автоматизации
- Запросы слежения
- Средства синтаксического анализа
- Сборники схем
- Workbooks
Совет
В этой статье не описывается, как создавать определенные типы содержимого. Дополнительные сведения о каждом типе содержимого см. на соответствующей вики-странице GitHub Microsoft Sentinel.
Развертывание репозиториев не проверяет содержимое, кроме подтверждения его в правильном формате JSON или Bicep. Перед развертыванием обязательно протестируйте содержимое в Microsoft Sentinel.
Пример репозитория доступен с шаблонами для каждого из перечисленных типов контента. В репозитории также показано, как использовать расширенные функции подключения к репозиторию. Дополнительные сведения см . в примере репозиториев CI/CD Microsoft Sentinel.
Максимальное число подключений и развертываний
- Каждая рабочая область Microsoft Sentinel сейчас может иметь не более пяти подключений к репозиторию.
- В журнале развертывания у каждой группы ресурсов Azure может быть не больше 800 развертываний. При наличии большого объема развертываний шаблонов одной или нескольких групп ресурсов может возникнуть
Deployment QuotaExceededошибка. Дополнительные сведения см. в разделе DeploymentQuotaExceeded в документации по шаблонам Azure Resource Manager.
Повышение производительности с помощью интеллектуальных развертываний
Совет
Чтобы обеспечить работу смарт-развертываний в GitHub, рабочие процессы должны иметь разрешения на чтение и запись в репозитории. Дополнительные сведения см. в разделе "Управление параметрами GitHub Actions" для репозитория .
Интеллектуальные развертывания — это серверная возможность, которая повышает производительность за счет активного отслеживания изменений, внесенных в файлы содержимого подключенного репозитория. Он использует CSV-файл в папке .sentinel в репозитории для аудита каждой фиксации. Рабочий процесс позволяет избежать повторного развертывания содержимого, которое не было изменено с момента последнего развертывания. Этот процесс повышает производительность развертывания и предотвращает незаконное изменение неизменного содержимого в рабочей области, например сброс динамических расписаний правил аналитики.
Интеллектуальные развертывания включены по умолчанию для созданных подключений. Если вы предпочитаете все содержимое системы управления версиями, развернутое каждый раз при активации развертывания, независимо от того, было ли изменено или нет, измените рабочий процесс, чтобы отключить интеллектуальные развертывания. Дополнительные сведения см. в разделе "Настройка рабочего процесса или конвейера".
Возможность использования настройки развертывания
При развертывании содержимого с помощью репозиториев Microsoft Sentinel следует учитывать следующие параметры настройки.
Настройка рабочего процесса или конвейера
Настройте рабочий процесс или конвейер одним из следующих способов:
- настройка различных триггеров развертывания;
- развертывание содержимого только из определенной корневой папки для указанной рабочей области;
- планирование задания для периодического выполнения;
- объединение различных событий рабочего процесса вместе;
- отключение интеллектуальных развертываний;
Эти настройки определены в файле .yml, относямся к рабочему процессу или конвейеру. Дополнительные сведения о реализации см. в разделе "Настройка развертываний репозитория"
Настройка развертывания
После активации рабочего процесса или конвейера развертывание поддерживает следующие сценарии:
- приоритеты содержимого для развертывания до остальной части содержимого репозитория
- исключение содержимого из развертывания
- указание файлов параметров шаблона ARM
Эти параметры доступны с помощью функции сценария развертывания PowerShell, вызываемого из рабочего процесса или конвейера. Дополнительные сведения о реализации этих настроек см. в разделе "Настройка развертываний репозитория".
Следующие шаги
Получите дополнительные примеры и пошаговые инструкции по развертыванию репозиториев Microsoft Sentinel.