使用存放庫進行部署

3 分鐘

建立自訂內容時，您可以在您自己的 Microsoft Sentinel 工作區中，或外部原始檔控制存放庫，包括 GitHub 和 Azure DevOps 存放庫中儲存及管理。在外部存放庫中管理您的內容可讓您更新 Microsoft Sentinel 外部的內容，並將它自動部署至您的工作區。

必要條件和範圍

將 Microsoft Sentinel 工作區連線到外部原始檔控制存放庫之前，請確定您具備以下條件：

GitHub 或 Azure DevOps 存放庫的存取權，其中包含您想要在相關 Azure Resource Manager (ARM) 範本中部署至工作區的任何自訂內容檔案。

Microsoft Sentinel 目前僅支援與 GitHub 和 Azure DevOps 存放庫的連線。
資源群組中包含 Microsoft Sentinel 工作區的擁有者角色。需要此角色，才能建立 Microsoft Sentinel 與原始檔控制存放庫之間的連線。如果您無法在環境中使用擁有者角色，則可以改用使用者存取管理員和 Sentinel 參與者角色的組合來建立連線。

連線與部署數上限

每個 Microsoft Sentinel 工作區目前的連線數限制為五個。

每個 Azure 資源群組在其部署歷程記錄中的部署數限制為 800 個。如果您的資源群組中有大量 ARM 範本部署，那麼您可能會看到 [Deployment QuotaExceeded] 錯誤。

驗證您的內容

透過存放庫連線將內容部署至 Microsoft Sentinel 時，這個動作不會驗證資料是否為正確的 ARM 範本格式。

建議您使用一般驗證程序來驗證內容範本。您可以使用 Microsoft Sentinel GitHub 驗證程序和工具設定您自己的驗證程序。

連線存放庫

此程序說明如何將 GitHub 或 Azure DevOps 存放庫連線到您的 Microsoft Sentinel 工作區，您可以在其中儲存和管理自訂內容，而不是在 Microsoft Sentinel 中儲存和管理。

每個連線都可以支援多種自訂內容類型，包括分析規則、自動化規則、搜捕查詢、剖析器、劇本和活頁簿。如需詳細資訊，請參閱 Microsoft Sentinel 內容和解決方案。

若要建立連線：

請確定您已使用您要用於連線的認證登入原始檔控制應用程式。如果您目前使用不同的認證登入，請先登出。
在 Microsoft Sentinel 的左側 [內容管理] 底下，選取 [存放庫]。
選取 [新增]，然後在 [建立新的連線] 頁面上，輸入有意義的連線名稱和描述。
從 [原始檔控制] 下拉式清單中，選取您要連線的存放庫類型，然後選取 [授權]。
根據您的連線類型，選取下列其中一個索引標籤：

GitHub

出現提示時，請輸入您的 GitHub 認證。

第一次新增連線時，您會看到新的瀏覽器視窗或索引標籤，提示您授權與 Microsoft Sentinel 的連線。如果您已在相同的瀏覽器中登入 GitHub 帳戶，您的 GitHub 認證將會自動填入。
[存放庫] 區域現在會顯示在 [建立新的連線] 頁面上，您可以在其中選取要連線到的現有存放庫。從清單中選取您的存放庫，然後選取 [新增存放庫]。

第一次連線到特定存放庫時，您會看到新的瀏覽器視窗或索引標籤，提示您在存放庫上安裝 Azure-Sentinel 應用程式。如果您有多個存放庫，請選取您想要安裝 Azure-Sentinel 應用程式的存放庫，並加以安裝。

系統會將您導向至 GitHub 以繼續安裝應用程式。
在存放庫中安裝 Azure-Sentinel 應用程式之後，[建立新的連線] 頁面中的 [分支] 下拉式清單會填入您的分支。選取您要連線到 Microsoft Sentinel 工作區的分支。
從 [內容類型] 下拉式清單中，選取您要部署的內容類型。
- 剖析器和搜捕查詢都會使用 [已儲存的搜尋 API] 將內容部署至 Microsoft Sentinel。如果您選取其中一個內容類型，而且在分支中也有另一種類型的內容，則會部署這兩種內容類型。
- 若為所有其他內容類型，請在 [建立新的連線] 窗格中選取內容類型，只會將該內容部署至 Microsoft Sentinel。未部署其他類型的內容。
選取 [建立] 以建立您的連線。

建立連線之後，會在您的存放庫中產生新的工作流程或管線，並將儲存在存放庫中的內容部署至您的 Microsoft Sentinel 工作區。

部署時間可能會根據您要部署的內容量而有所不同。

Azure DevOps

您已自動獲得 Azure DevOps 的授權，使用的是您目前的 Azure 認證。若要確保有效的連線能力，在您從 Microsoft Sentinel 連線到 Azure DevOps 組織時，請確認您已獲得連線到同一個 Azure DevOps 組織的授權，或使用 InPrivate 瀏覽器視窗來建立連線。
在 Microsoft Sentinel 中，從顯示的下拉式清單中，選取您的 [組織]、[專案]、[存放庫]、[分支] 和 [內容類型]。
- 剖析器和搜捕查詢都會使用 [已儲存的搜尋 API] 將內容部署至 Microsoft Sentinel。如果您選取其中一個內容類型，而且在分支中也有另一種類型的內容，則會部署這兩種內容類型。
- 若為所有其他內容類型，請在 [建立新的連線] 窗格中選取內容類型，只會將該內容部署至 Microsoft Sentinel。未部署其他類型的內容。
選取 [建立] 以建立您的連線。例如：