從您的存放庫部署自訂內容 (公開預覽)
建立自訂內容時,您可以在自己的 Microsoft Sentinel 工作區或外部原始檔控制存放庫中管理該內容。 本文說明如何建立及管理 Microsoft Sentinel 與 GitHub 或 Azure DevOps 存放庫之間的連線。 在外部存放庫中管理您的內容可讓您更新 Microsoft Sentinel 外部的內容,並將它自動部署至您的工作區。 如需詳細資訊,請參閱使用存放庫連線更新自訂內容。
重要
- Microsoft Sentinel [存放庫] 功能目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
- Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件和範圍
Microsoft Sentinel 目前支援 GitHub 和 Azure DevOps 存放庫的連線。 將 Microsoft Sentinel 工作區連線到您的原始檔控制存放庫之前,請確定您具有:
- 資源群組中的 [擁有者] 角色,其中包含您的 Microsoft Sentinel 工作區或使用者存取管理員和 Sentinel 參與者角色的組合,以建立連線
- GitHub 存放庫的共同作業者存取權或 Azure DevOps 存放庫的專案管理員存取權
- 針對 GitHub 啟用的動作和針對 Azure DevOps 啟用的管線
- 透過針對 Azure DevOps 應用程式連線原則 啟用的 OAuth 進行的第三方應用程式存取。
- 確保您想要部署至工作區的自訂內容檔案都在相關 Azure Resource Manager (ARM) 範本中。
如需詳細資訊,請參閱 驗證您的內容。
連線存放庫
此程序說明如何將 GitHub 或 Azure DevOps 存放庫連線到您的 Microsoft Sentinel 工作區。
每個連線都可以支援多種自訂內容類型,包括分析規則、自動化規則、搜捕查詢、剖析器、劇本和活頁簿。 如需詳細資訊,請參閱關於 Microsoft Sentinel 內容和解決方案。
您無法在單一 Microsoft Sentinel 工作區中使用相同的存放庫和分支建立重複的連線。
建立您的連線:
請確定您已使用您要用於連線的認證登入原始檔控制應用程式。 如果您目前使用不同的認證登入,請先登出。
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方選取 [存放庫]。
針對 Defender 入口網站 中的 Microsoft Sentinel,請選取 [Microsoft Sentinel]>[內容管理]>[存放庫]。選取 [新增],然後在 [建立新的部署連線] 頁面上,為連線輸入有意義的名稱和描述。
從 [原始檔控制] 下拉式清單中,選取您要連線的存放庫類型,然後選取 [授權]。
根據您的連線類型,選取下列其中一個索引標籤:
出現提示時,請輸入您的 GitHub 認證。
第一次新增連線時,系統會提示您授權連線至 Microsoft Sentinel。 如果您已在相同的瀏覽器中登入您的 GitHub 帳戶,則會自動填入您的 GitHub 認證。
存放庫 區域現在會顯示在 [建立新的部署連線] 頁面上,您可以在其中選取要連線的現有存放庫。 從清單中選取您的存放庫,然後選取 [新增存放庫]。
第一次連線到特定存放庫時,您會看到新的瀏覽器視窗或索引標籤,其會提示您在存放庫上安裝 Azure-Sentinel 應用程式。 如果您有多個存放庫,請選取您要安裝 Azure-Sentinel 應用程式的存放庫,然後進行安裝。
系統會將您導向至 GitHub 以繼續安裝應用程式。
在存放庫中安裝 Azure-Sentinel 應用程式之後,[建立新的部署連線] 頁面中的 [分支] 下拉式清單會填入您的分支。 選取您要連線到 Microsoft Sentinel 工作區的分支。
從 [內容類型] 下拉式清單中,選取您要部署的內容類型。
剖析器和搜捕查詢都會使用已儲存的搜尋 API,以此將內容部署至 Microsoft Sentinel。 如果您選取其中一個內容類型,而且在分支中也有另一種類型的內容,則會部署這兩種內容類型。
對於所有其他內容類型,在 [建立新的部署連線] 窗格中選取某一內容類型,只會將該內容部署至 Microsoft Sentinel。 未部署其他類型的內容。
選取 [建立] 以建立您的連線。 例如:
建立連線之後,您的存放庫中會產生新的工作流程或管道。 儲存在存放庫中的內容會部署到您的 Microsoft Sentinel 工作區。
部署時間可能會因您要部署的內容量而有所不同。
檢視部署狀態
在 GitHub:在存放庫的 [動作] 索引標籤上,選取工作流程 .yaml 檔案,以存取詳細的部署記錄和任何特定錯誤訊息。
在 Azure DevOps:從存放庫的 [管道] 索引標籤檢視部署狀態。
完成部署後:
在相關 Microsoft Sentinel 頁面的 Microsoft Sentinel 工作區中會顯示儲存在存放庫中的內容。
[存放庫] 頁面上的連線詳細資料中,連線部署記錄的連結以及上次部署的狀態和時間會受到更新。 例如:
預設工作流程只會根據對存放庫的提交,部署自上次部署後修改的內容。 但您可能想要關閉智慧部署或執行其他自訂。 例如,您可以設定不同的部署觸發程序,或專門從特定的根資料夾部署內容。 若要深入瞭解,請參閱 自訂存放庫部署。
編輯內容
當您成功建立原始檔控制存放庫的連線時,您的內容會部署至 Sentinel。 建議您只編輯儲存在已連線存放庫 (而非 Microsoft Sentinel) 中的內容。 例如,若要變更您的分析規則,請直接在 GitHub 或 Azure DevOps 中進行這項操作。
反之,如果您編輯 Microsoft Sentinel 中的內容,請務必將其匯出至原始檔控制存放庫,以防止下次將存放庫內容部署至工作區時讓您的變更遭到覆寫。
刪除內容
從存放庫刪除內容並不會刪除您 Microsoft Sentinel 工作區中的內容。 如果您想要移除透過存放庫部署的內容,請從您的存放庫和 Microsoft Sentinel 將它刪除。 例如,根據來源名稱設定內容的篩選,以便更輕鬆地從存放庫識別內容。
移除存放庫連線
此程序描述如何從 Microsoft Sentinel 移除與原始檔控制存放庫的連線。
若要移除連線:
- 在 Microsoft Sentinel 的 [內容管理] 下方,選取 [存放庫]。
- 在方格中,選取您要移除的連線,然後選取 [刪除]。
- 輸入 [是] 以確認刪除。
移除連線之後,先前透過連線部署的內容會保留在您的 Microsoft Sentinel 工作區中。 移除連線之後才新增至存放庫的內容則不會部署。
如果您在刪除連線時遇到問題或錯誤訊息,建議您檢查原始檔控制。 確認已刪除與連線相關聯的 GitHub 工作流程或 Azure DevOps 管道。
從 GitHub 存放庫移除 Microsoft Sentinel 應用程式
如果您想要從 GitHub 存放庫刪除 Microsoft Sentinel 應用程式,建議您「先」從 Microsoft Sentinel [存放庫] 頁面移除所有相關聯的連線。
每個 Microsoft Sentinel 應用程式安裝都有唯一的識別碼,在新增和移除連線時都會使用該識別碼。 如果識別碼遺失或變更,請從 Microsoft Sentinel 存放庫 頁面移除連線,然後手動從 GitHub 存放庫移除工作流程,以防止任何未來的內容部署。
下一步
依照您使用現成內容的相同方式,在 Microsoft Sentinel 中使用您的自訂內容。
如需詳細資訊,請參閱