توزيع محتوى مخصص من المستودع الخاص بك (الإصدار الأولي العام)

عند إنشاء محتوى مخصص، يمكنك إدارته في مساحات عمل Microsoft Sentinel الخاصة بك، أو في مستودع خارجي للتحكم في المصدر. توضح هذه المقالة كيفية إنشاء وإدارة الاتصالات بين Microsoft Sentinel ومستودعات GitHub أو Azure DevOps. تتيح لك إدارة المحتوى الخاص بك في مستودع خارجي إجراء تحديثات لهذا المحتوى خارج Microsoft Sentinel، وتوزيعه تلقائياً في مساحات العمل الخاصة بك. لمزيد من المعلومات، راجع تحديث المحتوى المخصص باستخدام اتصالات المستودع.

هام

  • ميزة مستودعات Microsoft Sentinel حاليًا إصدار أولي. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
  • يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية والنطاق

يدعم Microsoft Sentinel حاليًا الاتصالات مع مستودعات GitHub وAzure DevOps. قبل توصيل مساحة عمل Microsoft Sentinel بمستودع تحكم في المصدر، تأكد من أن لديك:

  • دور المالك في مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel أو مجموعة من أدوار مسؤول وصول المستخدم والمساهم في Sentinel لإنشاء الاتصال
  • وصول المتعاون إلى مستودع GitHub أو وصول مسؤول المشروع إلى مستودع Azure DevOps
  • الإجراءات الممكنة لـ GitHub وPipelines الممكنة لـ Azure DevOps
  • تمكين الوصول إلى تطبيق الجهات الخارجية عبر OAuth لنهج اتصال تطبيق Azure DevOps.
  • تأكد من وجود ملفات المحتوى المخصصة التي تريد توزيعها في مساحات العمل الخاصة بك، في قوالب Azure Resource Manager (ARM) ذات الصلة.

لمزيد من المعلومات، راجع التحقق من صحة المحتوى الخاص بك.

قم بتوصيل المستودع

يصف هذا الإجراء كيفية توصيل مستودع GitHub أو Azure DevOps بمساحة عمل Microsoft Sentinel.

يمكن أن يدعم كل اتصال أنواعاً متعددة من المحتوى المخصص، بما في ذلك قواعد التحليلات وقواعد التشغيل الآلي واستعلامات الصيد والموزعين وأدلة المبادئ والمصنفات. لمزيد من المعلومات، راجع حول محتوى وحلول Microsoft Sentinel.

لا يمكنك إنشاء اتصالات مكررة، بنفس المستودع والفرع، في مساحة عمل Microsoft Sentinel واحدة.

إنشاء اتصالك:

  1. تأكد من تسجيل الدخول إلى تطبيق التحكم بالمصادر باستخدام معلومات تسجيل الدخول التي تريد استخدامها لاتصالك. إذا قمت بتسجيل الدخول حالياً باستخدام بيانات اعتماد مختلفة، فقم بتسجيل الخروج أولاً.

  2. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن إدارة المحتوى، حدد Repositories.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد Microsoft Sentinel>Content management>Repositories.

  3. حدد إضافة جديد، ثم في صفحة إنشاء اتصال نشر جديد، أدخل اسما ووصفا ذا معنى لاتصالك.

  4. من القائمة المنسدلة Source Control، حدد نوع المستودع الذي تريد الاتصال به، ثم حدد Authorize.

  5. حدد إحدى علامات التبويب التالية، حسب نوع الاتصال الخاص بك:

    1. أدخل بيانات اعتماد GitHub عندما يُطلب منك ذلك.

      في المرة الأولى التي تضيف فيها اتصالا، تتم مطالبتك بتخويل الاتصال ب Microsoft Sentinel. إذا قمت بتسجيل الدخول بالفعل إلى حساب GitHub الخاص بك على نفس المتصفح، يتم ملء بيانات اعتماد GitHub تلقائيا.

    2. تظهر منطقة المستودع الآن في صفحة إنشاء اتصال نشر جديد، حيث يمكنك تحديد مستودع موجود للاتصال به. حدد المستودع الخاص بك من القائمة، ثم حدد Add repository.

      في المرة الأولى التي تتصل فيها بمستودع معين، سترى نافذة أو علامة تبويب متصفح جديدة، تطالبك بتثبيت تطبيق Azure-Sentinel على المستودع الخاص بك. إذا كان لديك مستودعات متعددة، فحدد المستودعات التي تريد تثبيت تطبيق Azure-Sentinel عليها، وقم بتثبيتها.

      يتم توجيهك إلى GitHub لمتابعة تثبيت التطبيق.

    3. بعد تثبيت تطبيق Azure-Sentinel في المستودع الخاص بك، يتم ملء القائمة المنسدلة Branch في صفحة Create new deployment connection بفروعك. حدد الفرع الذي تريد توصيله بمساحة عمل Microsoft Sentinel.

    4. من القائمة المنسدلة أنواع المحتويات، حدد نوع المحتوى الذي تقوم بنشره.

      • يستخدم كل من المحلل اللغوي واستعلامات الصيد واجهة برمجة تطبيقات عمليات البحث المحفوظة لتوزيع المحتوى إلى Microsoft Sentinel. إذا قمت بتحديد أحد أنواع المحتويات هذه، ولديك أيضاً محتوى من النوع الآخر في الفرع الخاص بك، فسيتم توزيع نوعي المحتويات.

      • بالنسبة لجميع أنواع المحتويات الأخرى، يؤدي تحديد نوع محتوى في جزء إنشاء اتصال نشر جديد إلى نشر هذا المحتوى فقط إلى Microsoft Sentinel. لا يتم نشر محتوى الأنواع الأخرى.

    5. حدد إنشاء لإنشاء اتصالك. على سبيل المثال:

      لقطة شاشة لاتصال مستودع GitHub الجديد.

بعد إنشاء الاتصال، يتم إنشاء سير عمل أو مسار جديد في المستودع الخاص بك. يتم نشر المحتوى المخزن في المستودع الخاص بك إلى مساحة عمل Microsoft Sentinel.

قد يختلف وقت النشر استنادا إلى حجم المحتوى الذي تقوم بنشره.

عرض حالة التوزيع

في GitHub: في علامة التبويب Actions الخاصة بالمستودع، حدد ملف .yaml لسير العمل للوصول إلى سجلات التوزيع التفصيلية وأي رسائل خطأ محددة.

في Azure DevOps: عرض حالة النشر من علامة التبويب Pipelines الخاصة بالمستودع.

بعد اكتمال التوزيع:

  • يتم عرض المحتوى المخزن في المستودع الخاص بك في مساحة عمل Microsoft Sentinel، في صفحة Microsoft Sentinel ذات الصلة.

  • يتم تحديث تفاصيل الاتصال في صفحة Repositories بالوصلة إلى سجلات توزيع الاتصال وحالة ووقت التوزيع الأخير. على سبيل المثال:

    لقطة شاشة لسجلات توزيع اتصال مستودع GitHub.

يقوم سير العمل الافتراضي فقط بنشر المحتوى الذي تم تعديله منذ النشر الأخير استنادا إلى الالتزامات بالمستودع. ولكن قد ترغب في إيقاف تشغيل عمليات النشر الذكية أو إجراء تخصيصات أخرى. على سبيل المثال، يمكنك تكوين مشغلات توزيع مختلفة أو توزيع المحتوى حصريًا من مجلد جذر معين. لمعرفة المزيد، راجع تخصيص عمليات نشر المستودع.

تحرير محتوى

عند إنشاء اتصال بمستودع التحكم بالمصادر بنجاح، يتم نشر المحتوى الخاص بك إلى Sentinel. نوصي بتحرير المحتوى المخزن في مستودع متصل فقط في المستودع، وليس في Microsoft Sentinel. على سبيل المثال، لإجراء تغييرات على قواعد التحليلات الخاصة بك، قم بذلك مباشرةً في GitHub أو Azure DevOps.

إذا قمت بتحرير المحتوى في Microsoft Sentinel بدلا من ذلك، فتأكد من تصديره إلى مستودع التحكم بالمصادر لمنع الكتابة فوق التغييرات في المرة التالية التي يتم فيها نشر محتوى المستودع إلى مساحة العمل الخاصة بك.

حذف المحتوى

لا يؤدي حذف المحتوى من المستودع الخاص بك إلى حذفه من مساحة عمل Microsoft Sentinel. إذا كنت ترغب في إزالة المحتوى الذي تم نشره من خلال المستودعات، فاحذفه من كل من المستودع وMicrosoft Sentinel. على سبيل المثال، قم بتعيين عامل تصفية للمحتوى استنادا إلى اسم المصدر لتسهيل التعرف على المحتوى من المستودعات.

لقطة شاشة لقواعد التحليلات التي تمت تصفيتها حسب اسم مصدر المستودعات.

قم بإزالة اتصال المستودع

يصف هذا الإجراء كيفية إزالة الاتصال بمستودع التحكم بالمصادر من Microsoft Sentinel.

لإزالة الاتصال:

  1. في Microsoft Sentinel، ضمن إدارة المحتوى، حدد Repositories.
  2. في الشبكة، حدد الاتصال الذي تريد إزالته، ثم حدد Delete.
  3. حدد نعم لتأكيد الحذف.

بعد إزالة الاتصال، يظل المحتوى الذي تم نشره مسبقا عبر الاتصال في مساحة عمل Microsoft Sentinel. لا يتم نشر المحتوى الذي تمت إضافته إلى المستودع بعد إزالة الاتصال.

إذا واجهت مشكلات أو رسالة خطأ عند حذف الاتصال، نوصي بالتحقق من عنصر التحكم بالمصادر. تأكد من حذف سير عمل GitHub أو مسار Azure DevOps المقترن بالاتصال.

إزالة تطبيق Microsoft Sentinel من مستودع GitHub

إذا كنت تنوي حذف تطبيق Microsoft Sentinel من مستودع GitHub، فإننا نوصيك أولاً بإزالة جميع الاتصالات المرتبطة من صفحة مستودعات Microsoft Sentinel.

يحتوي كل تثبيت لتطبيق Microsoft Sentinel على معرف فريد يتم استخدامه عند إضافة الاتصال وإزالته. إذا كان المعرف مفقودا أو متغيرا، فقم بإزالة الاتصال من صفحة مستودعات Microsoft Sentinel وقم بإزالة سير العمل يدويا من مستودع GitHub لمنع أي عمليات نشر محتوى مستقبلية.

الخطوات التالية

استخدم المحتوى المخصص الخاص بك في Microsoft Sentinel بنفس الطريقة التي تستخدم بها المحتوى الجاهز.

لمزيد من المعلومات، راجع: