共用方式為


從您的存放庫部署自訂內容 (公開預覽)

建立自訂內容時,您可以在自己的 Microsoft Sentinel 工作區或外部原始檔控制存放庫中管理該內容。 本文說明如何建立及管理 Microsoft Sentinel 與 GitHub 或 Azure DevOps 存放庫之間的連線。 在外部存放庫中管理您的內容可讓您更新 Microsoft Sentinel 外部的內容,並將它自動部署至您的工作區。 如需詳細資訊,請參閱使用存放庫連線更新自訂內容

重要

  • Microsoft Sentinel [存放庫] 功能目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
  • Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件和範圍

Microsoft Sentinel 目前支援 GitHub 和 Azure DevOps 存放庫的連線。 將 Microsoft Sentinel 工作區連線到您的原始檔控制存放庫之前,請確定您具有:

  • 資源群組中的 [擁有者] 角色,其中包含您的 Microsoft Sentinel 工作區使用者存取管理員Sentinel 參與者角色的組合,以建立連線
  • GitHub 存放庫的共同作業者存取權或 Azure DevOps 存放庫的專案管理員存取權
  • 針對 GitHub 啟用的動作和針對 Azure DevOps 啟用的管線
  • 透過針對 Azure DevOps 應用程式連線原則 啟用的 OAuth 進行的第三方應用程式存取。
  • 確保您想要部署至工作區的自訂內容檔案都在相關 Azure Resource Manager (ARM) 範本中。

如需詳細資訊,請參閱 驗證您的內容

連線存放庫

此程序說明如何將 GitHub 或 Azure DevOps 存放庫連線到您的 Microsoft Sentinel 工作區。

每個連線都可以支援多種自訂內容類型,包括分析規則、自動化規則、搜捕查詢、剖析器、劇本和活頁簿。 如需詳細資訊,請參閱關於 Microsoft Sentinel 內容和解決方案

您無法在單一 Microsoft Sentinel 工作區中使用相同的存放庫和分支建立重複的連線。

建立您的連線

  1. 請確定您已使用您要用於連線的認證登入原始檔控制應用程式。 如果您目前使用不同的認證登入,請先登出。

  2. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方選取 [存放庫]
    針對 Defender 入口網站 中的 Microsoft Sentinel,請選取 [Microsoft Sentinel]>[內容管理]>[存放庫]

  3. 選取 [新增],然後在 [建立新的部署連線] 頁面上,為連線輸入有意義的名稱和描述。

  4. 從 [原始檔控制] 下拉式清單中,選取您要連線的存放庫類型,然後選取 [授權]

  5. 根據您的連線類型,選取下列其中一個索引標籤:

    1. 出現提示時,請輸入您的 GitHub 認證。

      第一次新增連線時,系統會提示您授權連線至 Microsoft Sentinel。 如果您已在相同的瀏覽器中登入您的 GitHub 帳戶,則會自動填入您的 GitHub 認證。

    2. 存放庫 區域現在會顯示在 [建立新的部署連線] 頁面上,您可以在其中選取要連線的現有存放庫。 從清單中選取您的存放庫,然後選取 [新增存放庫]

      第一次連線到特定存放庫時,您會看到新的瀏覽器視窗或索引標籤,其會提示您在存放庫上安裝 Azure-Sentinel 應用程式。 如果您有多個存放庫,請選取您要安裝 Azure-Sentinel 應用程式的存放庫,然後進行安裝。

      系統會將您導向至 GitHub 以繼續安裝應用程式。

    3. 在存放庫中安裝 Azure-Sentinel 應用程式之後,[建立新的部署連線] 頁面中的 [分支] 下拉式清單會填入您的分支。 選取您要連線到 Microsoft Sentinel 工作區的分支。

    4. [內容類型] 下拉式清單中,選取您要部署的內容類型。

      • 剖析器和搜捕查詢都會使用已儲存的搜尋 API,以此將內容部署至 Microsoft Sentinel。 如果您選取其中一個內容類型,而且在分支中也有另一種類型的內容,則會部署這兩種內容類型。

      • 對於所有其他內容類型,在 [建立新的部署連線] 窗格中選取某一內容類型,只會將該內容部署至 Microsoft Sentinel。 未部署其他類型的內容。

    5. 選取 [建立] 以建立您的連線。 例如:

      新 GitHub 存放庫連線的螢幕擷取畫面。

建立連線之後,您的存放庫中會產生新的工作流程或管道。 儲存在存放庫中的內容會部署到您的 Microsoft Sentinel 工作區。

部署時間可能會因您要部署的內容量而有所不同。

檢視部署狀態

在 GitHub:在存放庫的 [動作] 索引標籤上,選取工作流程 .yaml 檔案,以存取詳細的部署記錄和任何特定錯誤訊息。

在 Azure DevOps:從存放庫的 [管道] 索引標籤檢視部署狀態。

完成部署後:

  • 在相關 Microsoft Sentinel 頁面的 Microsoft Sentinel 工作區中會顯示儲存在存放庫中的內容。

  • [存放庫] 頁面上的連線詳細資料中,連線部署記錄的連結以及上次部署的狀態和時間會受到更新。 例如:

    GitHub 存放庫連線部署記錄的螢幕擷取畫面。

預設工作流程只會根據對存放庫的提交,部署自上次部署後修改的內容。 但您可能想要關閉智慧部署或執行其他自訂。 例如,您可以設定不同的部署觸發程序,或專門從特定的根資料夾部署內容。 若要深入瞭解,請參閱 自訂存放庫部署

編輯內容

當您成功建立原始檔控制存放庫的連線時,您的內容會部署至 Sentinel。 建議您編輯儲存在已連線存放庫 (而非 Microsoft Sentinel) 中的內容。 例如,若要變更您的分析規則,請直接在 GitHub 或 Azure DevOps 中進行這項操作。

反之,如果您編輯 Microsoft Sentinel 中的內容,請務必將其匯出至原始檔控制存放庫,以防止下次將存放庫內容部署至工作區時讓您的變更遭到覆寫。

刪除內容

從存放庫刪除內容並不會刪除您 Microsoft Sentinel 工作區中的內容。 如果您想要移除透過存放庫部署的內容,請從您的存放庫和 Microsoft Sentinel 將它刪除。 例如,根據來源名稱設定內容的篩選,以便更輕鬆地從存放庫識別內容。

依存放庫來源名稱篩選的分析規則螢幕擷取畫面。

移除存放庫連線

此程序描述如何從 Microsoft Sentinel 移除與原始檔控制存放庫的連線。

若要移除連線

  1. 在 Microsoft Sentinel 的 [內容管理] 下方,選取 [存放庫]
  2. 在方格中,選取您要移除的連線,然後選取 [刪除]
  3. 輸入 [] 以確認刪除。

移除連線之後,先前透過連線部署的內容會保留在您的 Microsoft Sentinel 工作區中。 移除連線之後才新增至存放庫的內容則不會部署。

如果您在刪除連線時遇到問題或錯誤訊息,建議您檢查原始檔控制。 確認已刪除與連線相關聯的 GitHub 工作流程或 Azure DevOps 管道。

從 GitHub 存放庫移除 Microsoft Sentinel 應用程式

如果您想要從 GitHub 存放庫刪除 Microsoft Sentinel 應用程式,建議您「先」從 Microsoft Sentinel [存放庫] 頁面移除所有相關聯的連線。

每個 Microsoft Sentinel 應用程式安裝都有唯一的識別碼,在新增和移除連線時都會使用該識別碼。 如果識別碼遺失或變更,請從 Microsoft Sentinel 存放庫 頁面移除連線,然後手動從 GitHub 存放庫移除工作流程,以防止任何未來的內容部署。

下一步

依照您使用現成內容的相同方式,在 Microsoft Sentinel 中使用您的自訂內容。

如需詳細資訊,請參閱