Dela via

Hantera anpassat innehåll med Microsoft Sentinel-lagringsplatser (offentlig förhandsversion)

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Funktionen Microsoft Sentinel-lagringsplatser ger en central upplevelse för distribution och hantering av Sentinel-innehåll som kod. Lagringsplatser tillåter anslutningar till en extern källkontroll för kontinuerlig integrering/kontinuerlig leverans (CI/CD). Den här automatiseringen tar bort bördan av manuella processer för att uppdatera och distribuera ditt anpassade innehåll mellan arbetsytor. Mer information om Sentinel-innehåll finns i Om Microsoft Sentinel-innehåll och -lösningar.

Viktigt!

Funktionen Microsoft Sentinel-lagringsplatser finns för närvarande i FÖRHANDSVERSION. Mer juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt inte har släppts i allmän tillgänglighet finns i tilläggsvillkoren för Förhandsversioner av Microsoft Azure.

Planera din lagringsplatsanslutning

Microsoft Sentinel-lagringsplatser kräver noggrann planering för att säkerställa att du har rätt behörigheter från din arbetsyta till den lagringsplats (lagringsplats) som du vill ansluta.

  • Endast anslutningar till GitHub- och Azure DevOps-lagringsplatser stöds.
  • Samarbetspartners åtkomst till din GitHub-lagringsplats eller projektadministratörsåtkomst till din Azure DevOps-lagringsplats krävs.
  • Microsoft Sentinel-programmet behöver auktorisering till din lagringsplats.
  • Åtgärder måste vara aktiverade för GitHub.
  • Pipelines måste vara aktiverade för Azure DevOps.
  • En Azure DevOps-anslutning måste finnas i samma klientorganisation som din Microsoft Sentinel-arbetsyta.

För att skapa en anslutning till en lagringsplats krävs en ägarroll i resursgruppen som innehåller din Microsoft Sentinel-arbetsyta. Om du inte kan använda rollen Ägare i din miljö använder du kombinationen av rollerna Administratör för användaråtkomst och Sentinel-deltagare för att skapa anslutningen.

Om du hittar innehåll på en offentlig lagringsplats där du inte är deltagare kan du först importera, förgrena eller klona innehållet till en lagringsplats där du är deltagare. Anslut sedan lagringsplatsen till din Microsoft Sentinel-arbetsyta. Mer information finns i Distribuera anpassat innehåll från din lagringsplats.

Planera lagringsplatsens innehåll

Lagringsplatsens innehåll måste lagras som Bicep-filer eller ARM-mallar (Azure Resource Manager). Bicep är dock mer intuitivt och gör det enklare att beskriva Azure-resurser och Microsoft Sentinel-innehåll.

Distribuera Bicep-filmallar tillsammans med eller i stället för ARM JSON-mallar. Om du överväger infrastruktur som kodalternativ rekommenderar vi att du tittar på Bicep. Mer information finns i Vad är Bicep?.

Viktigt!

För att kunna använda Bicep-mallar måste anslutningen till lagringsplatserna uppdateras om anslutningen skapades före den 1 november 2024. Lagringsplatser måste tas bort och återskapas för att kunna uppdateras.

Även om ditt ursprungliga innehåll är en ARM-mall kan du överväga att konvertera till Bicep för att göra gransknings- och uppdateringsprocesserna mindre komplexa. Bicep är nära relaterat till ARM eftersom varje Bicep-fil konverteras till en ARM-mall under en distribution. Mer information om hur du konverterar ARM-mallar finns i Decompiling ARM template JSON to Bicep (Decompiling ARM template JSON to Bicep).

Kommentar

Kända Bicep-begränsningar:

  • Bicep-mallar stöder inte egenskapen id . När du dekompilerar ARM JSON till Bicep kontrollerar du att du inte har den här egenskapen. Analysregelmallar som exporteras från Microsoft Sentinel har till exempel den id egenskap som behöver tas bort.
  • Ändra ARM JSON-schemat till version 2019-04-01 för bästa resultat vid dekompilering.

Verifiera ditt innehåll

Följande Microsoft Sentinel-innehållstyper kan distribueras via en lagringsplatsanslutning:

  • Analysregler
  • Automatiseringsregler
  • Jaktfrågor
  • Tolkar
  • Spelböcker
  • Arbetsböcker

Dricks

Den här artikeln beskriver inte hur du skapar dessa typer av innehåll från grunden. Mer information finns i relevant Microsoft Sentinel GitHub-wiki för varje innehållstyp.

Distributionen av lagringsplatser validerar inte innehållet förutom för att bekräfta att det är i rätt JSON- eller Bicep-format. Se till att testa ditt innehåll i Microsoft Sentinel innan du distribuerar det.

En exempellagringsplats är tillgänglig med mallar för var och en av de innehållstyper som anges. Lagringsplatsen visar också hur du använder avancerade funktioner i lagringsplatsens anslutningar. Mer information finns i Exempel på Microsoft Sentinel CI/CD-lagringsplatser.

Skärmbild av en lyckad lagringsplatsanslutning. RepositoriesSampleContent visas. Den här skärmbilden är efter att exemplet har importerats från SentinelCICD-lagringsplatsen till en privat GitHub-lagringsplats i FourthCoffee-organisationen.

Maximalt antal anslutningar och distributioner

  • Varje Microsoft Sentinel-arbetsyta är för närvarande begränsad till fem lagringsplatsanslutningar.
  • Varje Azure-resursgrupp är begränsad till 800 distributioner i sin distributionshistorik . Om du har en stor mängd malldistributioner en eller flera av dina resursgrupper kan felet visas Deployment QuotaExceeded . Mer information finns i DeploymentQuotaExceeded i dokumentationen för Azure Resource Manager-mallar.

Förbättra prestanda med smarta distributioner

Dricks

För att säkerställa att smarta distributioner fungerar i GitHub måste arbetsflöden ha läs- och skrivbehörighet på lagringsplatsen. Mer information finns i Hantera GitHub Actions-inställningar för en lagringsplats .

Funktionen för smarta distributioner är en backend-funktion som förbättrar prestandan genom att aktivt spåra ändringar som gjorts i innehållsfilerna på en ansluten lagringsplats. Den använder en CSV-fil i .sentinel mappen på lagringsplatsen för att granska varje incheckning. Arbetsflödet undviker att distribuera om innehåll som inte har ändrats sedan den senaste distributionen. Den här processen förbättrar distributionsprestandan och förhindrar manipulering av oförändrat innehåll på din arbetsyta, till exempel återställning av dynamiska scheman för dina analysregler.

Smarta distributioner är aktiverade som standard för nyligen skapade anslutningar. Om du föredrar allt källkontrollinnehåll som distribueras varje gång en distribution utlöses, oavsett om innehållet har ändrats eller inte, ändrar du arbetsflödet för att inaktivera smarta distributioner. Mer information finns i Anpassa arbetsflödet eller pipelinen.

Överväg anpassningsalternativ för distribution

Överväg följande anpassningsalternativ när du distribuerar innehåll med Microsoft Sentinel-lagringsplatser.

Anpassa arbetsflödet eller pipelinen

Anpassa arbetsflödet eller pipelinen på något av följande sätt:

  • konfigurera olika distributionsutlösare
  • distribuera innehåll endast från en specifik rotmapp för en viss arbetsyta
  • schemalägga arbetsflödet så att det körs regelbundet
  • kombinera olika arbetsflödeshändelser tillsammans
  • inaktivera smarta distributioner

Dessa anpassningar definieras i en .yml fil som är specifik för ditt arbetsflöde eller din pipeline. Mer information om hur du implementerar finns i Anpassa lagringsplatsdistributioner

Anpassa distributionen

När arbetsflödet eller pipelinen har utlösts stöder distributionen följande scenarier:

  • prioritera innehåll som ska distribueras före resten av lagringsplatsens innehåll
  • exkludera innehåll från distribution
  • ange ARM-mallparameterfiler

De här alternativen är tillgängliga via en funktion i PowerShell-distributionsskriptet som anropas från arbetsflödet eller pipelinen. Mer information om hur du implementerar dessa anpassningar finns i Anpassa lagringsplatsdistributioner.

Nästa steg

Få fler exempel och stegvisa instruktioner om hur du distribuerar Microsoft Sentinel-lagringsplatser.