Nasazení obsahu jako kódu z úložiště (Preview)

Při vytváření vlastního obsahu ho můžete spravovat z vlastních pracovních prostorů Microsoft Sentinelu nebo z externího úložiště správy zdrojového kódu. Tento článek popisuje, jak vytvářet a spravovat připojení mezi úložišti Microsoft Sentinel a GitHub nebo Azure DevOps. Správa obsahu v externím úložišti umožňuje provádět aktualizace tohoto obsahu mimo Microsoft Sentinel a automaticky ho nasazovat do vašich pracovních prostorů. Další informace najdete v tématu Aktualizace vlastního obsahu pomocí připojení úložiště.

Důležité

• Funkce úložiště Služby Microsoft Sentinel je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
• Od července 2026 budou všichni zákazníci používající Microsoft Sentinel na webu Azure Portal přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových uživatelů automaticky nasadí a přesměruje z webu Azure Portal na portál Defender. Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.

Požadavky

Microsoft Sentinel v současné době podporuje připojení k úložištím GitHub a Azure DevOps. Před připojením pracovního prostoru Microsoft Sentinelu k úložišti správy zdrojového kódu se ujistěte, že:

• Ve skupině prostředků, která obsahuje váš pracovní prostor Služby Microsoft Sentinel, máte roli Vlastník, nebo kombinaci rolí Správce uživatelských přístupů a Přispěvatel služby Sentinel, abyste vytvořili připojení.
• Soubory vlastního obsahu, které chcete nasadit do pracovních prostorů, jsou v podporovaném formátu. Podporované formáty najdete v tématu Plánování obsahu úložiště.
• Účet, který použijete k vytvoření připojení, je ve vašem domovském tenantovi. Externí identity, jako jsou účty hostů B2B a delegovaný přístup, se nepodporují.

Požadavky na GitHub

• Přístup spolupracovníka k úložišti GitHub
• Povolené akce pro GitHub a Pipelines pro Azure DevOps

Požadavky Azure DevOps

• Přístup správce projektu k úložišti Azure DevOps
• Přístup k aplikacím třetích stran prostřednictvím OAuth byl povolen pro zásady připojení aplikací Azure DevOps.
• Připojení Azure DevOps ve stejném tenantovi jako váš pracovní prostor Microsoft Sentinelu

Další informace o nasaditelných typech obsahu najdete v tématu Ověření obsahu.

Připojení úložiště

Tento postup popisuje, jak připojit úložiště GitHub nebo Azure DevOps k pracovnímu prostoru Služby Microsoft Sentinel.

Každé připojení může podporovat více typů vlastního obsahu, včetně analytických pravidel, pravidel automatizace, dotazů proaktivního vyhledávání, analyzátorů, playbooků a sešitů. Další informace najdete v tématu O obsahu a řešeních služby Microsoft Sentinel.

V jednom pracovním prostoru Microsoft Sentinel nemůžete vytvořit duplicitní připojení se stejným úložištěm a větví.

Vytvořte připojení:

1. Ujistěte se, že jste přihlášení k aplikaci správy zdrojového kódu pomocí přihlašovacích údajů, které chcete použít pro připojení. Pokud jste aktuálně přihlášení pomocí různých přihlašovacích údajů, nejprve se odhlaste.

2. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Úložiště.
   Pro Microsoft Sentinel v portálu Defender vyberte Microsoft Sentinel>Správa obsahu>Úložiště.

3. Vyberte Přidat nový a potom na stránce Vytvoření nového připojení nasazení zadejte smysluplný název a popis pro vaše připojení.

4. V rozevíracím seznamu Správa zdrojového kódu vyberte typ úložiště, ke kterému se chcete připojit, a pak vyberte Autorizovat.

5. V závislosti na typu připojení vyberte jednu z následujících záložek.

   GitHub

   1. Po zobrazení výzvy zadejte svoje přihlašovací údaje GitHubu.

      Při prvním přidání připojení se zobrazí výzva k autorizaci připojení k Microsoft Sentinelu. Pokud jste už přihlášení ke svému účtu GitHubu ve stejném prohlížeči, vaše přihlašovací údaje GitHubu se automaticky načítají.

   2. Sekce úložiště je nyní viditelná na stránce Vytvořit nové připojení nasazení, kde můžete vybrat existující úložiště, ke kterému se chcete připojit. V seznamu vyberte své úložiště a pak vyberte Přidat úložiště.

      Při prvním připojení k určitému úložišti se zobrazí nové okno nebo karta prohlížeče s výzvou k instalaci aplikace Azure-Sentinel do úložiště. Pokud máte více úložišť, vyberte úložiště, do kterého chcete nainstalovat aplikaci Azure-Sentinel , a nainstalujte ji.

      Budete přesměrováni na GitHub, abyste mohli pokračovat v instalaci aplikace.

   3. Po instalaci aplikace Azure-Sentinel ve vašem úložišti je rozevírací seznam Větve na stránce Vytvořit nové připojení nasazení naplněn vašimi větvemi. Vyberte větev, kterou chcete připojit k pracovnímu prostoru Služby Microsoft Sentinel.

   4. V rozevíracím seznamu Typy obsahu vyberte typ obsahu, který nasazujete.

      • Analyzátory i lovící dotazy používají k nasazení obsahu do služby Microsoft Sentinel rozhraní API funkce uložených vyhledávání. Pokud vyberete jeden z těchto typů obsahu a zároveň máte ve větvi obsah druhého typu, nasadí se oba typy obsahu.

      • Při výběru typu obsahu v podokně Vytvořit nové připojení nasazení se u všech ostatních typů obsahu nasadí pouze tento obsah do služby Microsoft Sentinel. Obsah jiných typů není nasazený.

   5. Vyberte Vytvořit a vytvořte připojení. Příklad:

      

   Azure DevOps

   K Azure DevOps máte automaticky oprávnění pomocí aktuálních přihlašovacích údajů Azure. Ověřte, že máte oprávnění ke stejnému tenantovi Azure DevOps , ke kterému se připojujete z Microsoft Sentinelu, nebo k vytvoření připojení použijte okno prohlížeče InPrivate.

   1. V Microsoft Sentinelu v rozevíracích seznamech, které se zobrazí, vyberte vaši organizaci, projekt, úložiště, větev a typy obsahu.

      • Analyzátory i lovící dotazy používají k nasazení obsahu do služby Microsoft Sentinel rozhraní API funkce uložených vyhledávání. Pokud vyberete jeden z těchto typů obsahu a zároveň máte ve větvi obsah druhého typu, nasadí se oba typy obsahu.

      • Při výběru typu obsahu v podokně Vytvořit nové připojení nasazení se u všech ostatních typů obsahu nasadí pouze tento obsah do služby Microsoft Sentinel. Obsah jiných typů není nasazený.

   2. Vyberte Vytvořit a vytvořte připojení. Příklad:

      

Po vytvoření připojení se v úložišti vygeneruje nový pracovní postup nebo kanál. Obsah uložený v úložišti se nasadí do pracovního prostoru Microsoft Sentinelu.

Doba nasazení se může lišit v závislosti na objemu obsahu, který nasazujete.

Zobrazení stavu nasazení

V GitHubu: Na kartě Akce úložiště vyberte soubor .yaml pracovního postupu pro přístup k podrobným protokolům nasazení a všem konkrétním chybovým zprávám.

V Azure DevOps: Stav nasazení je možné zobrazit na kartě Pipelines úložiště.

Po dokončení nasazení:

• Obsah uložený ve vašem úložišti se zobrazí v pracovním prostoru Microsoft Sentinelu na příslušné stránce Microsoft Sentinelu.

• Podrobnosti o připojení na stránce Úložiště se aktualizují odkazem na protokoly nasazení připojení a stavem a časem posledního nasazení. Příklad:

  

Výchozí pracovní postup nasadí pouze obsah upravený od posledního nasazení na základě commitů do úložiště. Můžete ale chtít inteligentní nasazení vypnout nebo provést jiná přizpůsobení. Můžete například nakonfigurovat různé triggery nasazení nebo nasadit obsah výhradně z konkrétní kořenové složky. Další informace najdete v tématu Přizpůsobení nasazení úložiště.

Upravit obsah

Po úspěšném vytvoření připojení k úložišti správy zdrojového kódu se váš obsah nasadí do služby Sentinel. Doporučujeme upravovat obsah uložený v připojeném úložišti jenom v úložišti, nikoli v Microsoft Sentinelu. Pokud například chcete provádět změny analytických pravidel, udělejte to přímo na GitHubu nebo Azure DevOps.

Pokud místo toho upravíte obsah v Microsoft Sentinelu, nezapomeňte ho exportovat do úložiště správy zdrojového kódu, abyste zabránili přepsání změn při příštím nasazení obsahu úložiště do vašeho pracovního prostoru.

Odstranit obsah

Odstranění obsahu z úložiště ho neodstraní z pracovního prostoru Microsoft Sentinelu. Pokud chcete odebrat obsah nasazený prostřednictvím úložišť, odstraňte ho z úložiště i z Microsoft Sentinelu. Můžete například nastavit filtr pro obsah na základě názvu zdroje, který usnadňuje identifikaci obsahu z úložišť.

Odeberte připojení k úložišti

Tento postup popisuje, jak odebrat připojení k úložišti správy zdrojového kódu z Microsoft Sentinelu. Aby bylo možné používat soubory Bicep, musí být připojení k úložišti novější než 1. listopadu 2024. Tímto postupem odeberete připojení a poté jej znovu vytvoříte, abyste připojení aktualizovali.

Odebrání připojení:

1. V Microsoft Sentinelu v části Správa obsahu vyberte Úložiště.
2. V mřížce vyberte připojení, které chcete odebrat, a pak vyberte Odstranit.
3. Odstranění potvrďte výběrem možnosti Ano .

Po odebrání připojení zůstane obsah, který byl dříve nasazen prostřednictvím připojení, ve vašem pracovním prostoru Microsoft Sentinelu. Obsah přidaný do úložiště po odebrání připojení se nenasadí.

Pokud při odstranění připojení narazíte na problémy nebo chybovou zprávu, doporučujeme zkontrolovat správu zdrojového kódu. Ověřte, že se odstranil pracovní postup GitHubu nebo kanál Azure DevOps přidružený k připojení.

Odebrání aplikace Microsoft Sentinel z úložiště GitHub

Pokud máte v úmyslu odstranit aplikaci Microsoft Sentinel z úložiště GitHub, doporučujeme nejprve odebrat všechna přidružená připojení ze stránky Úložiště Microsoft Sentinel.

Každá instalace aplikace Microsoft Sentinel má jedinečné ID, které se používá při přidávání i odebírání připojení. Pokud ID chybí nebo bylo změněno, odeberte připojení ze stránky úložišť Microsoft Sentinel a ručně odeberte pracovní postup z úložiště GitHub, abyste zabránili budoucímu nasazování obsahu.

Související obsah

Vlastní obsah v Microsoft Sentinelu používejte stejným způsobem, jako byste používali předem zadaný obsah.

Další informace naleznete v tématu:

• Přizpůsobení nasazení úložiště
• Zjišťování a nasazení řešení Microsoft Sentinel (Public Preview)
• Datové konektory Microsoft Sentinelu