Distribuera anpassat innehåll från din lagringsplats (offentlig förhandsversion)
När du skapar anpassat innehåll kan du hantera det från dina egna Microsoft Sentinel-arbetsytor eller från en extern lagringsplats för källkontroll. I den här artikeln beskrivs hur du skapar och hanterar anslutningar mellan Microsoft Sentinel och GitHub eller Azure DevOps-lagringsplatser. Genom att hantera ditt innehåll på en extern lagringsplats kan du göra uppdateringar av innehållet utanför Microsoft Sentinel och få det automatiskt distribuerat till dina arbetsytor. Mer information finns i Uppdatera anpassat innehåll med lagringsplatsanslutningar.
Viktigt!
- Funktionen Microsoft Sentinel-lagringsplatser finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
- Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Krav och omfång
Microsoft Sentinel stöder för närvarande anslutningar till GitHub- och Azure DevOps-lagringsplatser. Innan du ansluter din Microsoft Sentinel-arbetsyta till källkontrolllagringsplatsen kontrollerar du att du har:
- En ägarroll i resursgruppen som innehåller din Microsoft Sentinel-arbetsyta eller en kombination av rollerna Administratör för användaråtkomst och Sentinel-deltagare för att skapa anslutningen
- Samarbetspartners åtkomst till din GitHub-lagringsplats eller projektadministratörsåtkomst till din Azure DevOps-lagringsplats
- Åtgärder som är aktiverade för GitHub och Pipelines aktiverade för Azure DevOps
- Programåtkomst från tredje part via OAuth aktiverat för Anslutningsprinciper för Azure DevOps-program.
- Se till att anpassade innehållsfiler som du vill distribuera till dina arbetsytor finns i relevanta ARM-mallar (Azure Resource Manager).
Mer information finns i Verifiera ditt innehåll.
Ansluta en lagringsplats
Den här proceduren beskriver hur du ansluter en GitHub- eller Azure DevOps-lagringsplats till din Microsoft Sentinel-arbetsyta.
Varje anslutning kan stödja flera typer av anpassat innehåll, inklusive analysregler, automatiseringsregler, jaktfrågor, parsare, spelböcker och arbetsböcker. Mer information finns i Om Microsoft Sentinel-innehåll och -lösningar.
Du kan inte skapa dubblettanslutningar med samma lagringsplats och gren för samma Microsoft Sentinel-arbetsyta.
Skapa anslutningen:
Kontrollera att du är inloggad i källkontrollappen med de autentiseringsuppgifter som du vill använda för anslutningen. Om du för närvarande är inloggad med olika autentiseringsuppgifter loggar du ut först.
För Microsoft Sentinel i Azure Portal väljer du Lagringsplatser under Innehållshantering.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-lagringsplatser> för innehållshantering.>Välj Lägg till ny och ange sedan ett beskrivande namn och en beskrivning för anslutningen på sidan Skapa ny distributionsanslutning .
I listrutan Källkontroll väljer du den typ av lagringsplats som du vill ansluta till och väljer sedan Auktorisera.
Välj någon av följande flikar, beroende på din anslutningstyp:
Ange dina GitHub-autentiseringsuppgifter när du uppmanas att göra det.
Första gången du lägger till en anslutning uppmanas du att auktorisera anslutningen till Microsoft Sentinel. Om du redan är inloggad på ditt GitHub-konto i samma webbläsare fylls dina GitHub-autentiseringsuppgifter automatiskt i.
Ett lagringsplatsområde visas nu på sidan Skapa ny distributionsanslutning , där du kan välja en befintlig lagringsplats att ansluta till. Välj din lagringsplats i listan och välj sedan Lägg till lagringsplats.
Första gången du ansluter till en specifik lagringsplats visas ett nytt webbläsarfönster eller en ny flik där du uppmanas att installera Azure-Sentinel-appen på lagringsplatsen. Om du har flera lagringsplatser väljer du de platser där du vill installera Azure-Sentinel-appen och installerar den.
Du dirigeras till GitHub för att fortsätta appinstallationen.
När Azure-Sentinel-appen har installerats på lagringsplatsen fylls listrutan Gren på sidan Skapa ny distributionsanslutning med dina grenar. Välj den gren som du vill ansluta till din Microsoft Sentinel-arbetsyta.
I listrutan Innehållstyper väljer du den typ av innehåll som du distribuerar.
Både parser- och jaktfrågor använder API:et för sparade sökningar för att distribuera innehåll till Microsoft Sentinel. Om du väljer någon av dessa innehållstyper och även har innehåll av den andra typen i din gren distribueras båda innehållstyperna.
Om du väljer en innehållstyp för alla andra innehållstyper i fönstret Skapa ny distributionsanslutning distribueras endast innehållet till Microsoft Sentinel. Innehåll av andra typer distribueras inte.
Välj Skapa för att skapa anslutningen. Till exempel:
När du har skapat anslutningen genereras ett nytt arbetsflöde eller en ny pipeline i lagringsplatsen. Innehållet som lagras på lagringsplatsen distribueras till din Microsoft Sentinel-arbetsyta.
Distributionstiden kan variera beroende på mängden innehåll som du distribuerar.
Visa distributionsstatus
I GitHub: På fliken Åtgärder på lagringsplatsen väljer du arbetsflödets .yaml-fil för att få åtkomst till detaljerade distributionsloggar och eventuella specifika felmeddelanden.
I Azure DevOps: Visa distributionsstatus från lagringsplatsens fliken Pipelines .
När distributionen är klar:
Innehållet som lagras på lagringsplatsen visas på din Microsoft Sentinel-arbetsyta på relevant Microsoft Sentinel-sida.
Anslutningsinformationen på sidan Lagringsplatser uppdateras med länken till anslutningens distributionsloggar och status och tid för den senaste distributionen. Till exempel:
Standardarbetsflödet distribuerar endast innehåll som har ändrats sedan den senaste distributionen baserat på incheckningar till lagringsplatsen. Men du kanske vill inaktivera smarta distributioner eller utföra andra anpassningar. Du kan till exempel konfigurera olika distributionsutlösare eller distribuera innehåll exklusivt från en specifik rotmapp. Mer information finns i anpassa distributioner av lagringsplatser.
Redigera innehåll
När du har skapat en anslutning till källkontrolllagringsplatsen distribueras innehållet till Sentinel. Vi rekommenderar att du redigerar innehåll som lagras på en ansluten lagringsplats endast på lagringsplatsen och inte i Microsoft Sentinel. Om du till exempel vill göra ändringar i dina analysregler gör du det direkt i GitHub eller Azure DevOps.
Om du redigerar innehållet i Microsoft Sentinel i stället ska du exportera det till källkontrolllagringsplatsen för att förhindra att ändringarna skrivs över nästa gång lagringsplatsens innehåll distribueras till din arbetsyta.
Ta bort innehåll
Om du tar bort innehåll från lagringsplatsen tas det inte bort från din Microsoft Sentinel-arbetsyta. Om du vill ta bort innehåll som har distribuerats via lagringsplatser tar du bort det från både lagringsplatsen och Microsoft Sentinel. Du kan till exempel ange ett filter för innehållet baserat på källnamnet så att det blir enklare att identifiera innehåll från lagringsplatser.
Ta bort en lagringsplatsanslutning
Den här proceduren beskriver hur du tar bort anslutningen till en källkontrolllagringsplats från Microsoft Sentinel.
Så här tar du bort anslutningen:
- Under Innehållshantering i Microsoft Sentinel väljer du Lagringsplatser.
- I rutnätet väljer du den anslutning som du vill ta bort och väljer sedan Ta bort.
- Välj Ja för att bekräfta raderingen.
När du har ta bort anslutningen finns innehåll som tidigare distribuerats via anslutningen kvar på din Microsoft Sentinel-arbetsyta. Innehåll som har lagts till på lagringsplatsen när anslutningen har tagits bort har inte distribuerats.
Om du får problem eller ett felmeddelande när du tar bort anslutningen rekommenderar vi att du kontrollerar källkontrollen. Bekräfta att GitHub-arbetsflödet eller Azure DevOps-pipelinen som är associerad med anslutningen har tagits bort.
Ta bort Microsoft Sentinel-appen från din GitHub-lagringsplats
Om du tänker ta bort Microsoft Sentinel-appen från en GitHub-lagringsplats rekommenderar vi att du först tar bort alla associerade anslutningar från sidan Microsoft Sentinel-lagringsplatser.
Varje Installation av Microsoft Sentinel-appar har ett unikt ID som används när du både lägger till och tar bort anslutningen. Om ID:t saknas eller ändras tar du bort anslutningen från sidan Microsoft Sentinel-lagringsplatser och tar manuellt bort arbetsflödet från GitHub-lagringsplatsen för att förhindra framtida innehållsdistributioner.
Nästa steg
Använd ditt anpassade innehåll i Microsoft Sentinel på samma sätt som du använder out-of-the-box-innehåll.
Mer information finns i: