Använda lagringsplatser för distribution

3 minuter

När du skapar anpassat innehåll kan du lagra och hantera det på dina egna Microsoft Sentinel-arbetsytor eller på en extern lagringsplats för källkontroll, inklusive GitHub- och Azure DevOps-lagringsplatser. Genom att hantera ditt innehåll på en extern lagringsplats kan du göra uppdateringar av innehållet utanför Microsoft Sentinel och få det automatiskt distribuerat till dina arbetsytor.

Krav och omfång

Innan du ansluter din Microsoft Sentinel-arbetsyta till en lagringsplats för extern källkontroll kontrollerar du att du har:

Åtkomst till en GitHub- eller Azure DevOps-lagringsplats, med alla anpassade innehållsfiler som du vill distribuera till dina arbetsytor, i relevanta ARM-mallar (Azure Resource Manager).

Microsoft Sentinel stöder för närvarande endast anslutningar med GitHub- och Azure DevOps-lagringsplatser.
En ägarroll i resursgruppen som innehåller din Microsoft Sentinel-arbetsyta. Den här rollen krävs för att skapa anslutningen mellan Microsoft Sentinel och källkontrolllagringsplatsen. Om du inte kan använda rollen Ägare i din miljö kan du i stället använda kombinationen av rollen Administratör för användaråtkomst och Sentinel-deltagare för att skapa anslutningen.

Maximalt antal anslutningar och distributioner

Varje Microsoft Sentinel-arbetsyta är för närvarande begränsad till fem anslutningar.

Varje Azure-resursgrupp är begränsad till 800 distributioner i distributionshistoriken. Om du har en stor mängd DISTRIBUTIONer av ARM-mallar i dina resursgrupper kan du se ett distributionskvotFel.

Verifiera ditt innehåll

Distribution av innehåll till Microsoft Sentinel via en lagringsplatsanslutning verifierar inte annat innehåll än att verifiera att data är i rätt ARM-mallformat.

Vi rekommenderar att du verifierar dina innehållsmallar med hjälp av din vanliga valideringsprocess. Du kan använda Valideringsprocessen och verktygen för Microsoft Sentinel GitHub för att konfigurera en egen valideringsprocess.

Anslut en lagringsplats

Den här proceduren beskriver hur du ansluter en GitHub- eller Azure DevOps-lagringsplats till din Microsoft Sentinel-arbetsyta, där du kan spara och hantera ditt anpassade innehåll i stället för i Microsoft Sentinel.

Varje anslutning kan stödja flera typer av anpassat innehåll, inklusive analysregler, automatiseringsregler, jaktfrågor, parsare, spelböcker och arbetsböcker. Mer information finns i Om Microsoft Sentinel-innehåll och -lösningar.

Så här skapar du anslutningen:

Kontrollera att du är inloggad i källkontrollappen med de autentiseringsuppgifter som du vill använda för anslutningen. Om du för närvarande är inloggad med olika autentiseringsuppgifter loggar du ut först.
I Microsoft Sentinel till vänster under Innehållshantering väljer du Lagringsplatser.
Välj Lägg till ny och ange sedan ett beskrivande namn och en beskrivning för anslutningen på sidan Skapa en ny anslutning.
I listrutan Källkontroll väljer du den typ av lagringsplats som du vill ansluta till och väljer sedan Auktorisera.
Välj någon av följande flikar, beroende på din anslutningstyp:

GitHub

Ange dina GitHub-autentiseringsuppgifter när du uppmanas att göra det.

Första gången du lägger till en anslutning visas ett nytt webbläsarfönster eller en ny flik, där du uppmanas att auktorisera anslutningen till Microsoft Sentinel. Om du redan är inloggad på ditt GitHub-konto i samma webbläsare fylls dina GitHub-autentiseringsuppgifter i automatiskt.
Ett lagringsplatsområde visas nu på sidan Skapa en ny anslutning, där du kan välja en befintlig lagringsplats att ansluta till. Välj din lagringsplats i listan och välj sedan Lägg till lagringsplats.

Första gången du ansluter till en specifik lagringsplats visas ett nytt webbläsarfönster eller en ny flik där du uppmanas att installera Azure-Sentinel-appen på lagringsplatsen. Om du har flera lagringsplatser väljer du de platser där du vill installera Azure-Sentinel-appen och installerar den.

Du dirigeras till GitHub för att fortsätta appinstallationen.
När Azure-Sentinel-appen har installerats på lagringsplatsen fylls listrutan Gren på sidan Skapa en ny anslutning med dina grenar. Välj den gren som du vill ansluta till din Microsoft Sentinel-arbetsyta.
I listrutan Innehållstyper väljer du den typ av innehåll som du ska distribuera.
- Både parser- och jaktfrågor använder API:et för sparade sökningar för att distribuera innehåll till Microsoft Sentinel. Om du väljer någon av dessa innehållstyper och även har innehåll av den andra typen i din gren distribueras båda innehållstyperna.
- Om du väljer en innehållstyp för alla andra innehållstyper i fönstret Skapa en ny anslutning distribueras endast innehållet till Microsoft Sentinel. Innehåll av andra typer distribueras inte.
Välj Skapa för att skapa anslutningen.

När anslutningen har skapats genereras ett nytt arbetsflöde eller en ny pipeline i lagringsplatsen och innehållet som lagras på lagringsplatsen distribueras till din Microsoft Sentinel-arbetsyta.

Distributionstiden kan variera beroende på mängden innehåll som du distribuerar.

Azure DevOps

Du har automatiskt behörighet till Azure DevOps med dina aktuella Azure-autentiseringsuppgifter. Kontrollera att du har behörighet till samma Azure DevOps-organisation som du ansluter till från Microsoft Sentinel, eller använd ett InPrivate-webbläsarfönster för att skapa anslutningen för att säkerställa en giltig anslutning.
I Microsoft Sentinel går du till listrutorna som visas och väljer din organisations-, projekt-, lagringsplats-, gren- och innehållstyper.
- Både parser- och jaktfrågor använder API:et för sparade sökningar för att distribuera innehåll till Microsoft Sentinel. Om du väljer någon av dessa innehållstyper och även har innehåll av den andra typen i din gren distribueras båda innehållstyperna.
- Om du väljer en innehållstyp för alla andra innehållstyper i fönstret Skapa en ny anslutning distribueras endast innehållet till Microsoft Sentinel. Innehåll av andra typer distribueras inte.
Välj Skapa för att skapa anslutningen. Till exempel: