Sdílet prostřednictvím

Správa obsahu jako kódu pomocí úložišť Microsoft Sentinelu (Public Preview)

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Funkce úložišť Microsoft Sentinel poskytuje centrální prostředí pro nasazení a správu obsahu služby Sentinel jako kódu. Úložiště umožňují připojení k externí správě zdrojového kódu pro kontinuální integraci nebo průběžné doručování (CI/CD). Tato automatizace eliminuje zátěž ručních procesů pro aktualizaci a nasazení vlastního obsahu napříč pracovními prostory. Podmnožina obsahu jako kód je detekce jako kód (DaC). Úložiště Microsoft Sentinel také implementují DaC.

Další informace o obsahu služby Sentinel najdete v tématu o obsahu a řešeních služby Microsoft Sentinel.

Důležité

Funkce úložiště Služby Microsoft Sentinel je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Plánování připojení úložiště

Úložiště Microsoft Sentinel vyžadují pečlivé plánování, abyste měli správná oprávnění z pracovního prostoru k úložišti, které chcete připojit.

  • Podporují se jenom připojení k úložištím GitHub a Azure DevOps.
  • Vyžaduje se přístup spolupracovníka k úložišti GitHub nebo správci projektu k vašemu úložišti Azure DevOps.
  • Aplikace Microsoft Sentinel potřebuje autorizaci k vašemu úložišti.
  • Akce musí být povoleny pro GitHub.
  • Kanály musí být povolené pro Azure DevOps.
  • Připojení Azure DevOps musí být ve stejném tenantovi jako váš pracovní prostor Microsoft Sentinel.

Zřízení připojení k úložišti vyžaduje roli Vlastník ve skupině prostředků, která obsahuje váš pracovní prostor Microsoft Sentinel. Pokud ve svém prostředí nemůžete použít roli Vlastník, vytvořte připojení pomocí kombinace rolí Správce uživatelských přístupů a Přispěvatel služby Sentinel .

Pokud najdete obsah ve veřejném úložišti, kde nejste přispěvatelem, nejprve importujte, fork nebo naklonujte obsah do úložiště, kde jste přispěvatelem. Pak připojte úložiště k pracovnímu prostoru Microsoft Sentinelu. Další informace najdete v tématu Nasazení vlastního obsahu z úložiště.

Plánování obsahu úložiště

Obsah úložiště musí být uložený jako soubory Bicep nebo šablony Azure Resource Manageru (ARM). Bicep je ale intuitivnější a usnadňuje popis prostředků Azure a obsahu Služby Microsoft Sentinel.

Nasaďte šablony souborů Bicep vedle nebo namísto šablon JSON ARM. Pokud uvažujete o infrastruktuře jako možnostech kódu, doporučujeme se podívat na Bicep. Další informace najdete v tématu Co je Bicep?.

Důležité

Aby bylo možné používat soubory Bicep, je potřeba aktualizovat připojení k úložištím, pokud bylo připojení vytvořeno před 1. listopadem 2024. Pro aktualizaci je třeba připojení úložišť odebrat a znovu vytvořit.

I když je původní obsah šablonou ARM, zvažte převod na Bicep, aby byl proces kontroly a aktualizace méně složitý. Bicep úzce souvisí s ARM, protože během nasazení se každý soubor Bicep převede na šablonu ARM. Další informace o převodu šablon ARM najdete v tématu Dekompilování KÓDU JSON šablony ARM na Bicep.

Poznámka:

Známá omezení Bicep:

  • Soubory Bicep vlastnost nepodporují id . Při dekompilování ARM JSON do Bicep se ujistěte, že tuto vlastnost neobsahujete. Například šablony analytických pravidel exportované z Microsoft Sentinelu id mají vlastnost, která vyžaduje odebrání.
  • Změňte schéma JSON ARM na verzi 2019-04-01 pro nejlepší výsledky při dekompilování.

Ověření obsahu

Následující typy obsahu služby Microsoft Sentinel je možné nasadit prostřednictvím připojení úložiště:

  • Analytická pravidla
  • Pravidla automatizace
  • Dotazy na lov
  • Analyzátory
  • Scénáře
  • Pracovní sešity

Důležité

Analytická pravidla nasazená pomocí funkce Úložiště Služby Microsoft Sentinel můžou používat dotazy mezi pracovními prostory pouze v případě, že je cílový pracovní prostor ve stejné skupině prostředků jako pracovní prostor připojený k úložišti.

Návod

Tento článek nepopisuje , jak vytvářet tyto typy obsahu od začátku. Další informace najdete na příslušném wikiwebu GitHubu pro Microsoft Sentinel pro každý typ obsahu.

Nasazení úložišť neověřuje obsah s výjimkou potvrzení, že je ve správném formátu JSON nebo Bicep. Před nasazením nezapomeňte svůj obsah otestovat v Rámci služby Microsoft Sentinel.

Ukázkové úložiště je k dispozici se šablonami pro každý z uvedených typů obsahu. Úložiště také ukazuje, jak používat pokročilé funkce propojení úložišť. Další informace najdete v ukázce úložišť CI/CD služby Microsoft Sentinel.

Snímek obrazovky s úspěšným připojením k úložišti. Zobrazí se RepositoriesSampleContent. Tento snímek obrazovky je po importu ukázky z úložiště SentinelCICD do privátního úložiště GitHubu v organizaci FourthCoffee.

Maximální počet připojení a nasazení

  • Každý pracovní prostor Služby Microsoft Sentinel je v současné době omezený na pět připojení úložiště.
  • Každá skupina prostředků Azure je v historii nasazení omezená na 800 nasazení . Pokud máte vysoký objem nasazení šablon do jedné nebo více vašich skupin prostředků, může se zobrazit chyba Deployment QuotaExceeded. Další informace najdete v tématu DeploymentQuotaExceeded v dokumentaci šablon Azure Resource Manager.

Zlepšení výkonu pomocí inteligentních nasazení

Návod

Aby bylo zajištěno, že inteligentní nasazení funguje na GitHubu, musí mít pracovní postupy oprávnění ke čtení a zápisu ve vašem úložišti. Další podrobnosti najdete v tématu Správa nastavení GitHub Actions pro úložiště .

Funkce inteligentních nasazení je back-endová funkce, která zlepšuje výkon aktivním sledováním změn souborů obsahu připojeného úložiště. K auditování každého potvrzení používá soubor CSV ve .sentinel složce ve vašem úložišti. Pracovní postup se vyhne opětovnému nasazení obsahu, který se od posledního nasazení nezměnil. Tento proces zlepšuje výkon nasazení a zabraňuje manipulaci s nezměněným obsahem v pracovním prostoru, například resetováním dynamických plánů analytických pravidel.

Inteligentní nasazení jsou ve výchozím nastavení povolená u nově vytvořených připojení. Pokud dáváte přednost tomu, aby byl všechen obsah systému řízení verzí nasazen při každém spuštění, bez ohledu na to, zda byl tento obsah změněn nebo ne, upravte pracovní postup tak, aby zakázal chytrá nasazení. Další informace naleznete v tématu Přizpůsobení pracovního postupu nebo kanálu.

Zvažte možnosti přizpůsobení nasazení.

Při nasazování obsahu s úložišti Microsoft Sentinel zvažte následující možnosti přizpůsobení.

Přizpůsobit pracovní postup nebo proces.

Přizpůsobte si pracovní postup nebo kanál jedním z následujících způsobů:

  • konfigurovat různé spouštěče nasazení
  • Nasazení obsahu pouze z konkrétní kořenové složky pro daný pracovní prostor
  • naplánování pravidelného spuštění pracovního postupu
  • zkombinování různých událostí pracovního postupu
  • vypněte inteligentní nasazení

Tato přizpůsobení jsou definována v souboru .yml specifickém pro váš pracovní postup nebo kanál. Další informace o tom, jak implementovat, najdete v tématu Přizpůsobení nasazení úložiště.

Přizpůsobte nasazení

Po spuštění pracovního postupu nebo datového toku podporuje nasazení následující scénářů:

  • určete prioritu obsahu, který se má nasadit před zbytkem obsahu úložiště.
  • vyloučit obsah z nasazení
  • zadání souborů parametrů šablony ARM

Tyto možnosti jsou k dispozici prostřednictvím funkce skriptu nasazení PowerShellu, která je volána z workflowu nebo pipeline. Další informace o implementaci těchto přizpůsobení najdete v tématu Přizpůsobení nasazení úložiště.

Další kroky

Získejte další příklady a podrobné pokyny k nasazení úložišť Microsoft Sentinel.

  • Last updated on