استخدام المستودعات للتوزيع

  • 3 دقائق

عند إنشاء محتوى مخصص، يمكنك تخزينه وإدارته في مساحات عمل Microsoft Sentinel الخاصة بك، أو في مستودع خارجي للتحكم في المصدر، بما في ذلك مستودعات GitHub وAzure DevOps. تتيح لك إدارة المحتوى الخاص بك في مستودع خارجي إجراء تحديثات لهذا المحتوى خارج Microsoft Sentinel، وتوزيعه تلقائياً في مساحات العمل الخاصة بك.

المتطلبات الأساسية والنطاق

قبل توصيل مساحة عمل Microsoft Sentinel بمستودع تحكم مصدر خارجي، تأكد من أن لديك:

  • الوصول إلى مستودع GitHub أو Azure DevOps، مع أي ملفات محتوى مخصصة تريد توزيعها في مساحات العمل الخاصة بك، في قوالب Azure Resource Manager (ARM) ذات الصلة.

    يدعم Microsoft Sentinel حالياً الاتصالات مع مستودعات GitHub وAzure DevOps فقط.

  • دور المالك في مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel الخاصة بك. هذا الدور مطلوب لإنشاء اتصال بين Microsoft Sentinel ومستودع التحكم بالمصادر. إذا لم تتمكن من استخدام دور المالك في بيئتك، يمكنك بدلا من ذلك استخدام مجموعة أدوار المستخدم Access مسؤول istrator و Sentinel Contributor لإنشاء الاتصال.

الحد الأقصى من الاتصالات وعمليات التوزيع

كل مساحة عمل Microsoft Sentinel مقيدة حالياً بـ خمسة اتصالات.

تقتصر كل مجموعة موارد Azure على 800 عملية توزيع في محفوظات التوزيع الخاصة بها. إذا كان لديك حجم كبير من عمليات نشر قالب ARM في مجموعة (مجموعات) الموارد الخاصة بك، فقد ترى خطأ Deployment QuotaExceeded.

تحقق من صحة المحتوى الخاص بك

لا يؤدي نشر المحتوى إلى Microsoft Sentinel عبر اتصال مستودع إلى التحقق من صحة هذا المحتوى بخلاف التحقق من أن البيانات بتنسيق قالب ARM الصحيح.

نوصي بالتحقق من صحة قوالب المحتوى الخاصة بك باستخدام عملية التحقق المنتظمة. يمكنك استخدام عملية التحقق من صحة Microsoft Sentinel GitHub وأدوات لإعداد عملية التحقق من الصحة الخاصة بك.

قم بتوصيل المستودع

يصف هذا الإجراء كيفية توصيل مستودع GitHub أو Azure DevOps بمساحة عمل Microsoft Sentinel، حيث يمكنك حفظ المحتوى المخصص وإدارته، بدلاً من Microsoft Sentinel.

يمكن أن يدعم كل اتصال أنواعاً متعددة من المحتوى المخصص، بما في ذلك قواعد التحليلات وقواعد التشغيل الآلي واستعلامات الصيد والموزعين وأدلة المبادئ والمصنفات. لمزيد من المعلومات، راجع حول محتوى وحلول Microsoft Sentinel.

لإنشاء اتصالك:

  • تأكد من تسجيل الدخول إلى تطبيق التحكم بالمصادر باستخدام معلومات تسجيل الدخول التي تريد استخدامها لاتصالك. إذا قمت بتسجيل الدخول حالياً باستخدام بيانات اعتماد مختلفة، فقم بتسجيل الخروج أولاً.

  • في Microsoft Sentinel، على اليسار أسفل إدارة المحتوى، حدد Repositories.

  • حدد Add new، ثم أدخل اسماً ووصفاً ذا معنى لاتصالك في صفحة Create a new connection.

  • من القائمة المنسدلة Source Control، حدد نوع المستودع الذي تريد الاتصال به، ثم حدد Authorize.

  • حدد إحدى علامات التبويب التالية، حسب نوع الاتصال الخاص بك:

GitHub

  • أدخل بيانات اعتماد GitHub عندما يُطلب منك ذلك.

    في المرة الأولى التي تضيف فيها اتصالاً، سترى نافذة أو علامة تبويب متصفح جديدة تطالبك بالسماح بالاتصال بـ Microsoft Sentinel. إذا قمت بالفعل بتسجيل الدخول إلى حساب GitHub الخاص بك على نفس المتصفح، فسيتم ملء بيانات اعتماد GitHub تلقائياً.

  • تظهر منطقة المستودع الآن في صفحة إنشاء اتصال جديد، حيث يمكنك تحديد مستودع موجود للاتصال به. حدد المستودع الخاص بك من القائمة، ثم حدد Add repository.

    في المرة الأولى التي تتصل فيها بمستودع معين، سترى نافذة أو علامة تبويب متصفح جديدة، تطالبك بتثبيت تطبيق Azure-Sentinel على المستودع الخاص بك. إذا كان لديك مستودعات متعددة، فحدد المستودعات التي تريد تثبيت تطبيق Azure-Sentinel عليها، وقم بتثبيتها.

    سيتم توجيهك إلى GitHub لمتابعة تثبيت التطبيق.

  • بعد تثبيت تطبيق Azure-Sentinel في المستودع الخاص بك، يتم ملء القائمة المنسدلة الفرع في صفحة إنشاء اتصال جديد بالفروع الخاصة بك. حدد الفرع الذي تريد توصيله بمساحة عمل Microsoft Sentinel.

  • من القائمة المنسدلة أنواع المحتوى، حدد نوع المحتوى الذي ستوزعه.

    • يستخدم كل من المحلل اللغوي واستعلامات الصيد واجهة برمجة تطبيقات عمليات البحث المحفوظة لتوزيع المحتوى إلى Microsoft Sentinel. إذا قمت بتحديد أحد أنواع المحتويات هذه، ولديك أيضاً محتوى من النوع الآخر في الفرع الخاص بك، فسيتم توزيع نوعي المحتويات.

    • بالنسبة لجميع أنواع المحتويات الأخرى، يؤدي تحديد نوع المحتوى في جزء إنشاء اتصال جديد إلى توزيع هذا المحتوى فقط إلى Microsoft Sentinel. لا يتم نشر محتوى الأنواع الأخرى.

  • حدد إنشاء لإنشاء اتصالك.

بعد إنشاء الاتصال، يتم إنشاء سير عمل أو تدفق جديد في المستودع الخاص بك، ويتم توزيع المحتوى المخزن في المستودع الخاص بك إلى مساحة عمل Microsoft Sentinel الخاصة بك.

قد يختلف وقت التوزيع بناءً على حجم المحتوى الذي توزعه.

Azure DevOps

  • أنت مخول تلقائيا إلى Azure DevOps باستخدام بيانات اعتماد Azure الحالية. لضمان اتصال صالح، تحقق من أنك قد أذنت لنفس مؤسسة Azure DevOps التي تتصل بها من Microsoft Sentinel، أو استخدم نافذة مستعرض InPrivate لإنشاء اتصالك.

  • في Microsoft Sentinel، من القوائم المنسدلة التي تظهر، حدد Organization وProject وRepository وBranch وContent Types.

    • يستخدم كل من المحلل اللغوي واستعلامات الصيد واجهة برمجة تطبيقات عمليات البحث المحفوظة لتوزيع المحتوى إلى Microsoft Sentinel. إذا قمت بتحديد أحد أنواع المحتويات هذه، ولديك أيضاً محتوى من النوع الآخر في الفرع الخاص بك، فسيتم توزيع نوعي المحتويات.

    • بالنسبة لجميع أنواع المحتويات الأخرى، يؤدي تحديد نوع المحتوى في جزء إنشاء اتصال جديد إلى توزيع هذا المحتوى فقط إلى Microsoft Sentinel. لا يتم نشر محتوى الأنواع الأخرى.

  • حدد إنشاء لإنشاء اتصالك. على سبيل المثال:

بعد إنشاء الاتصال، يتم إنشاء سير عمل أو تدفق جديد في المستودع الخاص بك، ويتم توزيع المحتوى المخزن في المستودع الخاص بك إلى مساحة عمل Microsoft Sentinel الخاصة بك.

قد يختلف وقت التوزيع بناءً على حجم المحتوى الذي توزعه.