Использование репозиториев для развертывания

3 мин

Для хранения созданного настраиваемого содержимого и управления им можно использовать ваши собственные рабочие области Microsoft Sentinel либо внешний репозиторий системы управления версиями, в том числе репозитории GitHub и Azure DevOps. Управление содержимым во внешнем репозитории позволяет вносить обновления в содержимое за пределами Microsoft Sentinel и автоматически развертывать его в ваших рабочих областях.

Предварительные требования и область действия

Прежде чем подключить рабочую область Microsoft Sentinel к внешнему репозиторию системы управления версиями, убедитесь, что у вас есть:

Доступ к репозиторию GitHub или Azure DevOps с любыми файлами настраиваемого содержимого, которые требуется развернуть в рабочих областях, в соответствующих шаблонах Azure Resource Manager (ARM).

В настоящее время Microsoft Sentinel поддерживает подключения только с репозиториями GitHub и Azure DevOps.
Роль владельца в группе ресурсов, которая содержит рабочую область Microsoft Sentinel. Эта роль требуется для создания подключения между Microsoft Sentinel и репозиторием системы управления версиями. Если вы не можете использовать роль владельца в своей среде, для создания подключения можно воспользоваться сочетанием ролей "Администратор доступа пользователей" и "Участник Sentinel".

Максимальное число подключений и развертываний

Каждая рабочая область Microsoft Sentinel в настоящее время ограничена пятью подключениями.

Каждая группа ресурсов Azure ограничена 800 развертываниями в журнале развертывания. Если в ваших группах ресурсов много развертываний шаблонов ARM, может возникнуть ошибка Deployment QuotaExceeded (Превышена квота развертываний).

Проверка содержимого

При развертывании содержимого в Microsoft Sentinel через подключение к репозиторию выполняется только одна проверка: имеют ли данные правильный формат шаблона ARM.

Рекомендуется проверить шаблоны содержимого с помощью обычного процесса проверки. Также можно воспользоваться процессом проверки GitHub для Microsoft Sentinel и средствами для настройки собственного процесса проверки.

Подключение репозитория

В этой процедуре описывается, как подключить репозиторий GitHub или Azure DevOps к рабочей области Microsoft Sentinel. Вы можете сохранять настраиваемое содержимое и управлять им в этой рабочей области, а не в Microsoft Sentinel.

Каждое подключение может поддерживать несколько типов настраиваемого содержимого, включая правила аналитики и автоматизации, запросы охоты на угрозы, средства синтаксического анализа, сборники схем и книги. Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel.

Чтобы создать подключение, выполните следующие действия.

Убедитесь, что вы вошли в приложение системы управления версиями с учетными данными, которые вы хотите использовать для подключения. Если вы вошли в систему с другими учетными данными, выйдите и зайдите снова.
В Microsoft Sentinel в разделе Управление содержимым слева выберите элемент Репозитории.
Выберите Добавить новый, а затем на странице Создание нового подключения введите значимое имя и описание для подключения.
В раскрывающемся списке Система управления версиями выберите тип репозитория, к которому необходимо подключиться, а затем щелкните Авторизация.
Выберите одну из следующих таблиц зависимости от вашего типа подключения.

GitHub

При появлении запроса введите свои учетные данные GitHub.

При первом добавлении подключения отобразится новое окно или вкладка браузера с предложением авторизовать подключение к Microsoft Sentinel. Если вы уже вошли в учетную запись GitHub в том же браузере, учетные данные GitHub будут заполнены автоматически.
Теперь на странице Создание нового подключения отображается область Репозиторий, где можно выбрать существующий репозиторий для подключения. Выберите репозиторий из списка и щелкните Добавить репозиторий.

При первом подключении к определенному репозиторию вы увидите новое окно или вкладку браузера, предлагающие установить приложение Azure-Sentinel в репозитории. Если у вас несколько репозиториев, выберите те, в которых нужно установить приложение Azure-Sentinel, и установите его.

Вы будете направлены в GitHub, чтобы продолжить установку приложения.
Когда приложение Azure-Sentinel будет установлено в репозитории, ваши ветви появятся в раскрывающемся списке Ветви на странице Создание нового подключения. Выберите ветвь, которую нужно подключить к рабочей области Microsoft Sentinel.
В раскрывающемся списке Типы содержимого выберите тип развертываемого содержимого.
- Средства синтаксического анализа и запросы охоты на угрозы используют API сохраненных поисковых запросов для развертывания содержимого в Microsoft Sentinel. Если выбрать один из этих типов содержимого и при наличии содержимого другого типа в ветви, будут развернуты оба типа содержимого.
- Для всех других типов контента при выборе типа содержимого в области Создание нового подключения в Microsoft Sentinel развертывается только это содержимое. Содержимое других типов не развертывается.
Щелкните Создать, чтобы создать подключение.

После создания подключения в репозитории создается новый рабочий процесс или конвейер, и содержимое, хранящееся в репозитории, развертывается в рабочей области Microsoft Sentinel.

Время развертывания может различаться в зависимости от объема развертываемого содержимого.

Azure DevOps

Вы автоматически авторизуетесь в Azure DevOps с помощью ваших текущих учетных данных Azure. Чтобы обеспечить допустимое подключение, убедитесь, что у вас есть авторизация для той организации Azure DevOps, к которой вы подключаетесь из Microsoft Sentinel, или создайте подключение в приватном (InPrivate) окне браузера.
В раскрывающихся списках Microsoft Sentinel выберите организацию, проект, репозиторий, ветвь и типы содержимого.
- Средства синтаксического анализа и запросы охоты на угрозы используют API сохраненных поисковых запросов для развертывания содержимого в Microsoft Sentinel. Если выбрать один из этих типов содержимого и при наличии содержимого другого типа в ветви, будут развернуты оба типа содержимого.
- Для всех других типов контента при выборе типа содержимого в области Создание нового подключения в Microsoft Sentinel развертывается только это содержимое. Содержимое других типов не развертывается.
Щелкните Создать, чтобы создать подключение. Например: