共用方式為

使用 Microsoft Sentinel 存放庫管理自訂內容 (公開預覽)

  • 發行項

Microsoft Sentinel 存放庫功能提供以程式代碼的形式部署和管理 Sentinel 內容的集中體驗。 存放庫允許連線到外部原始檔控制,以進行持續整合/持續傳遞(CI/CD)。 此自動化可減輕手動程式在工作區之間更新和部署自定義內容的負擔。 如需 Sentinel 內容的詳細資訊,請參閱 About Microsoft Sentinel 內容和解決方案

重要

Microsoft Sentinel [存放庫] 功能目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

規劃存放庫連線

Microsoft Sentinel 存放庫需要仔細規劃,以確保您擁有從工作區到您要連線之存放庫(存放庫)的適當許可權。 目前僅支援具有參與者存取權的 GitHub 和 Azure DevOps 存放庫連線。 Microsoft Sentinel 應用程式需要您存放庫的授權,並已啟用適用於 Azure DevOps 的 GitHub 和 Pipelines 的動作。

存放庫需要 資源群組中的擁有者 角色,其中包含您的Microsoft Sentinel 工作區。 需要此角色,才能建立 Microsoft Sentinel 與原始檔控制存放庫之間的連線。 如果您無法在環境中使用擁有者角色,您可以改用使用者存取管理員Sentinel 參與者角色的組合來建立連線。

如果您在不是參與者的公用存放庫中找到內容,您必須先將該內容放入存放庫。 您可以使用匯入、分支或複製內容到您是參與者的存放庫來執行此動作。 然後,您可以將存放庫連線到 Sentinel 工作區。 如需詳細資訊,請參閱 從存放庫部署自定義內容。

驗證您的內容

您可以透過存放庫連線來部署下列Microsoft Sentinel 內容類型:

  • Analytics 規則
  • 自動化規則
  • 搜捕查詢
  • 剖析器
  • 劇本
  • 活頁簿

提示

本文不會說明如何從頭開始建立這些類型的內容。 如需詳細資訊,請參閱每個內容類型的相關 Microsoft Sentinel GitHub Wiki

存放庫內容必須儲存為 ARM 範本。 存放庫部署不會驗證內容,但確認其格式正確。

驗證內容的第一個步驟是在 Sentinel 內測試內容Microsoft。 您也可以套用 Microsoft Sentinel GitHub 驗證程式和 工具來補充驗證程式。

上述每個內容類型的 ARM 範本都可以使用範例存放庫。 存放庫也會示範如何使用存放庫連線的進階功能。 如需詳細資訊,請參閱 Sentinel CICD 存放庫範例

成功存放庫連線的螢幕快照。顯示存放庫SampleContent。此螢幕快照是在範例從 SentinelCICD 存放庫匯入至 FourthCoffee 組織中的私人 GitHub 存放庫之後。

連線與部署數上限

  • 每個Microsoft Sentinel 工作區目前限製為 五個存放庫連線

  • 每個 Azure 資源群組在其部署歷程記錄中限制為 800 個 部署。 如果您的資源群組中有大量 ARM 範本部署,您可能會看到 Deployment QuotaExceeded 錯誤。 如需詳細資訊,請參閱 Azure Resource Manager 範本檔中的 DeploymentQuotaExceededed

使用智慧部署改善效能

提示

為了確保智慧部署可在 GitHub 中運作,工作流程必須具有存放庫的讀取和寫入許可權。 如需詳細資訊,請參閱 管理存放庫 的 GitHub Actions 設定。

智慧型手機功能是後端功能,可透過主動追蹤對已連線存放庫內容檔案所做的修改來改善效能。 它會使用存放庫中 『.sentinel』 資料夾中的 CSV 檔案來稽核每個認可。 工作流程可避免重新部署自上次部署後尚未修改的內容。 此程式可改善您的部署效能,並防止竄改工作區中未變更的內容,例如重設分析規則的動態排程。

新建立的連線預設會啟用智慧部署。 如果您想要在每次觸發部署時部署所有原始檔控制內容,不論該內容是否已修改,都可以修改工作流程來停用智慧部署。 如需詳細資訊,請參閱 自定義工作流程或管線

注意

此功能於 2022 年 4 月 20 日公開預覽推出。 啟動之前建立的連線必須更新或重新建立,才能開啟智慧部署。

考慮部署自定義選項

部署具有 sentinel 存放庫Microsoft內容時,可以考慮一些自定義選項。

自訂工作流程或管線

您可能要以下欄其中一種方式自訂工作流程或管線:

  • 設定不同的部署觸發程式
  • 僅從指定工作區的特定根資料夾部署內容
  • 排程工作流程以定期執行
  • 將不同的工作流程事件結合在一起
  • 關閉智慧型手機部署

這些自定義是在工作流程或管線專屬的.yml檔案中定義。 如需如何實作的詳細資訊,請參閱 自定義存放庫部署

自訂部署

觸發工作流程或管線之後,部署支援下列案例:

  • 排定在存放庫內容其餘部分之前要部署的內容的優先順序
  • 從部署中排除內容
  • 指定 ARM 樣本參數檔案

這些選項可透過從工作流程或管線呼叫的PowerShell部署腳本功能取得。 如需如何實作這些自定義的詳細資訊,請參閱 自定義存放庫部署。

下一步

取得部署Microsoft Sentinel 存放庫的更多範例和逐步指示。