مشاركة عبر

إدارة المحتوى كتعلم برمجي باستخدام مستودعات Microsoft Sentinel (معاينة عامة)

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

توفر ميزة مستودعات Microsoft Sentinel تجربة أساسية لتوزيع محتوى Sentinel كتعليمة برمجية وإدارته. تسمح المستودعات بالاتصالات بالتحكم الخارجي بالمصادر للتكامل المستمر / التسليم المستمر (CI/CD). تزيل عمليات الأتمتة هذه عبء العمليات اليدوية لتحديث المحتوى المخصص وتوزيعه عبر مساحات العمل. مجموعة فرعية من المحتوى كتعليق برمجي هي عمليات الكشف عن التعليمات البرمجية (DaC). تقوم مستودعات Microsoft Sentinel بتنفيذ DaC أيضا.

لمزيد من المعلومات حول محتوى Sentinel، راجع حول محتوى Microsoft Sentinel وحلوله.

هام

ميزة مستودعات Microsoft Sentinel قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على مزيد من الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

تخطيط اتصال المستودع

تتطلب مستودعات Microsoft Sentinel تخطيطاً دقيقاً للتأكد من أن لديك الأذونات المناسبة من مساحة العمل إلى المستودع الذي تريد توصيله.

  • يتم دعم الاتصالات بمستودعات GitHub وAzure DevOps فقط.
  • يلزم وصول المتعاون إلى مستودع GitHub أو وصول مسؤول المشروع إلى مستودع Azure DevOps.
  • يحتاج تطبيق Microsoft Sentinel إلى تخويل إلى المستودع الخاص بك.
  • يجب تمكين الإجراءات ل GitHub.
  • يجب تمكين البنية الأساسية لبرنامج ربط العمليات التجارية ل Azure DevOps.
  • يجب أن يكون اتصال Azure DevOps في نفس المستأجر مثل مساحة عمل Microsoft Sentinel.

يتطلب إنشاء اتصال بمستودع دور المالك في مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel. إذا لم تتمكن من استخدام دور المالك في بيئتك، فاستخدم مجموعة أدوار مسؤول وصول المستخدم ومساهم Sentinel لإنشاء الاتصال.

إذا عثرت على محتوى في مستودع عام حيث لا تكون مساهما، فأولا قم باستيراد المحتوى أو نسخه أو نسخه إلى مستودع حيث تكون مساهما. ثم قم بتوصيل المستودع بمساحة عمل Microsoft Sentinel. لمزيد من المعلومات، راجع نشر محتوى مخصص من المستودع الخاص بك.

تخطيط محتوى المستودع الخاص بك

يجب تخزين محتوى المستودع كملفات Bicep أو قوالب Azure Resource Manager (ARM). ومع ذلك، فإن Bicep أكثر سهولة ويسهل وصف موارد Azure ومحتوى Microsoft Sentinel.

توزيع قوالب ملفات Bicep جنبا إلى جنب مع قوالب ARM JSON أو بدلا منها. إذا كنت تفكر في البنية الأساسية كخيارات للتعليمات البرمجية، فإننا نوصي بالنظر إلى Bicep. لمزيد من المعلومات، راجع ما هو Bicep؟.

هام

لاستخدام ملفات Bicep، يجب تحديث اتصال المستودعات إذا تم إنشاء الاتصال قبل 1 نوفمبر 2024. يجب إزالة اتصالات المستودعات وإعادة إنشائها من أجل التحديث.

حتى إذا كان المحتوى الأصلي الخاص بك هو قالب ARM، ففكر في التحويل إلى Bicep لجعل عمليات المراجعة والتحديث أقل تعقيدا. يرتبط Bicep ارتباطا وثيقا ب ARM لأنه أثناء التوزيع، يتم تحويل كل ملف Bicep إلى قالب ARM. لمزيد من المعلومات حول تحويل قوالب ARM، راجع إلغاء التحويل البرمجي لقالب ARM JSON إلى Bicep.

إشعار

قيود Bicep المعروفة:

  • لا تدعم ملفات Bicep الخاصية id . عند إلغاء التحويل البرمجي ل ARM JSON إلى Bicep، تأكد من عدم وجود هذه الخاصية. على سبيل المثال، تحتوي قوالب القواعد التحليلية التي تم تصديرها من Microsoft Sentinel على الخاصية id التي تحتاج إلى إزالة.
  • قم بتغيير مخطط ARM JSON إلى إصدار 2019-04-01 للحصول على أفضل النتائج عند إلغاء التحويل البرمجي.

تحقق من صحة المحتوى الخاص بك

يمكن توزيع أنواع محتويات Microsoft Sentinel التالية من خلال اتصال مستودع:

  • قواعد التحليلات
  • قواعد الأتمتة
  • باستعلامات الاصطياد
  • المُحللات
  • أدلة التشغيل
  • مصنفات

هام

يمكن للقواعد التحليلية المنشورة باستخدام ميزة مستودعات Microsoft Sentinel استخدام استعلامات مساحة العمل المشتركة فقط إذا كانت مساحة العمل الوجهة في نفس مجموعة الموارد مثل مساحة العمل المتصلة بالمستودع.

تلميح

لا تصف هذه المقالة كيفية إنشاء هذه الأنواع من المحتوى من البداية. لمزيد من المعلومات، راجع Microsoft Sentinel GitHub wiki ذي الصلة لكل نوع محتوى.

لا يتحقق نشر المستودعات من صحة المحتوى إلا للتأكد من أنه بتنسيق JSON أو Bicep الصحيح. تأكد من اختبار المحتوى الخاص بك داخل Microsoft Sentinel قبل النشر.

يتوفر مستودع عينة مع قوالب لكل نوع من أنواع المحتوى المدرجة. يوضح المستودع أيضاً كيفية استخدام الميزات المتقدمة لاتصالات المستودع. لمزيد من المعلومات، راجع نموذج مستودعات MICROSOFT Sentinel CI/CD.

لقطة شاشة لاتصال مستودع ناجح. يتم عرض RepositoriesSampleContent. لقطة الشاشة هذه بعد استيراد العينة من مستودع SentinelCICD إلى مستودع GitHub خاص في مؤسسة FourthCoffee.

الحد الأقصى من الاتصالات وعمليات التوزيع

  • تقتصر كل مساحة عمل Microsoft Sentinel حاليا على خمسة اتصالات مستودع.
  • تقتصر كل مجموعة موارد Azure على 800 عملية نشر في محفوظات التوزيع الخاصة بها. إذا كان لديك حجم كبير من عمليات نشر القالب واحدة أو أكثر من مجموعات الموارد الخاصة بك، فقد ترى Deployment QuotaExceeded الخطأ. لمزيد من المعلومات، راجع DeploymentQuotaExceededed في وثائق قوالب Azure Resource Manager.

تحسين الأداء باستخدام عمليات التوزيع الذكية

تلميح

لضمان عمل عمليات النشر الذكية في GitHub، يجب أن يكون لدى مهام سير العمل أذونات القراءة والكتابة على المستودع الخاص بك. راجع إدارة إعدادات إجراءات GitHub لمستودع لمزيد من التفاصيل.

ميزة عمليات النشر الذكية هي إمكانية خلفية تحسن الأداء من خلال تعقب التعديلات التي تم إجراؤها على ملفات المحتوى في مستودع متصل بنشاط. يستخدم ملف CSV داخل .sentinel المجلد في المستودع الخاص بك لتدقيق كل تثبيت. يتجنب سير العمل إعادة توزيع المحتوى الذي لم يُعدّل منذ التوزيع الأخير. تُحسّن هذه العملية أداء التوزيع وتمنع التلاعب بالمحتوى الذي لم يتغير في مساحة العمل، مثل إعادة تعيين الجداول الزمنية الديناميكية لقواعد التحليلات.

تُمكّن عمليات التوزيع الذكية بشكل افتراضي على الاتصالات التي أُنشئت حديثاً. إذا كنت تفضل كافة محتويات التحكم بالمصادر التي يتم نشرها في كل مرة يتم فيها تشغيل عملية نشر، سواء تم تعديل هذا المحتوى أم لا، فعدل سير العمل لتعطيل عمليات النشر الذكية. لمزيد من المعلومات، راجع تخصيص سير العمل أو البنية الأساسية لبرنامج ربط العمليات التجارية.

مراعاة خيارات تخصيص التوزيع

ضع في اعتبارك خيارات التخصيص التالية عند نشر المحتوى باستخدام مستودعات Microsoft Sentinel.

تخصيص سير العمل أو البنية الأساسية لبرنامج ربط العمليات التجارية

تخصيص سير العمل أو المسار بإحدى الطرق التالية:

  • تكوين مشغّلات توزيع مختلفة
  • عدم توزيع المحتوى إلا من مجلد جذر معين لمساحة عمل محددة
  • جدولة سير العمل للعمل بانتظام
  • دمج أحداث سير العمل المختلفة معاً
  • إيقاف تشغيل عمليات التوزيع الذكية

يتم تعريف هذه التخصيصات في ملف .yml خاص بسير العمل أو البنية الأساسية لبرنامج ربط العمليات التجارية. لمزيد من المعلومات حول كيفية التنفيذ، راجع تخصيص عمليات نشر المستودع

تخصيص النشر

بمجرد تشغيل سير العمل أو المسار، يدعم التوزيع السيناريوهات التالية:

  • تحديد أولويات المحتوى الذي سيتم نشره قبل بقية محتوى المستودع
  • استبعاد المحتوى من النشر
  • تحديد ملفات معلمات قالب ARM

تتوفر هذه الخيارات من خلال ميزة من البرنامج النصي لتوزيع PowerShell الذي تم استدعاؤه من سير العمل أو المسار. لمزيد من المعلومات حول كيفية تنفيذ هذه التخصيصات، راجع تخصيص عمليات توزيع المستودع.

الخطوات التالية

احصل على مزيد من الأمثلة والإرشادات المُفصلة حول توزيع مستودعات Microsoft Sentinel.

  • Last updated on