Nasazení obsahu jako kódu z úložiště

Při vytváření vlastního obsahu ho můžete spravovat z vlastních Microsoft Sentinel pracovních prostorů nebo z externího úložiště správy zdrojového kódu. Tento článek popisuje, jak vytvářet a spravovat připojení mezi Microsoft Sentinel a GitHubem nebo Azure úložišti DevOps. Správa obsahu v externím úložišti umožňuje provádět aktualizace tohoto obsahu mimo Microsoft Sentinel a automaticky ho nasazovat do vašich pracovních prostorů. Další informace najdete v tématu Aktualizace vlastního obsahu pomocí připojení úložiště.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování Microsoft Sentinel Azure Portal pro větší zabezpečení.

Požadavky

Microsoft Sentinel aktuálně podporuje připojení ke GitHubu a úložištím Azure DevOps. Před připojením pracovního prostoru Microsoft Sentinel k úložišti správy zdrojového kódu se ujistěte, že:

• Ve skupině prostředků, která obsahuje váš pracovní prostor Microsoft Sentinel, máte roli vlastníka.
• Soubory vlastního obsahu, které chcete nasadit do pracovních prostorů, jsou v podporovaném formátu. Informace o podporovaných formátech najdete v tématu Plánování obsahu úložiště.
• Účet, který použijete k vytvoření připojení, je ve vašem domovském tenantovi. Externí identity, jako jsou účty hostů B2B a delegovaný přístup, se nepodporují.

Požadavky na GitHub

• Přístup spolupracovníka k úložišti GitHub
• Akce povolené pro GitHub a Kanály pro Azure DevOps

požadavky Azure DevOps

• Přístup správce projektu k úložišti Azure DevOps
• Přístup k aplikacím třetích stran prostřednictvím OAuth je povolený pro Azure zásady připojení aplikací DevOps.
• Připojení Azure DevOps ve stejném tenantovi, jako je váš pracovní prostor Microsoft Sentinel

Další informace o nasaditelných typech obsahu najdete v tématu Plánování obsahu úložiště.

Připojení úložiště

Tento postup popisuje, jak připojit úložiště GitHub nebo Azure DevOps k pracovnímu prostoru Microsoft Sentinel.

Každé připojení může podporovat více typů vlastního obsahu, včetně analytických pravidel, pravidel automatizace, dotazů proaktivního vyhledávání, analyzátorů, playbooků a sešitů. Další informace najdete v tématu Informace o Microsoft Sentinel obsahu a řešeních.

V jednom pracovním prostoru Microsoft Sentinel nemůžete vytvářet duplicitní připojení se stejným úložištěm a větví.

Vytvořte připojení:

1. Ujistěte se, že jste k aplikaci pro správu zdrojového kódu přihlášení pomocí přihlašovacích údajů, které chcete použít pro připojení. Pokud jste aktuálně přihlášení pomocí jiných přihlašovacích údajů, nejprve se odhlaste.

2. Pro Microsoft Sentinel v Azure Portal vyberte v části Správa obsahumožnost Úložiště.
   Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Správa obsahu>Úložiště.

3. Vyberte Přidat nové a pak na stránce Vytvořit nové připojení nasazení zadejte smysluplný název a popis připojení.

4. V rozevíracím seznamu Správa zdrojového kódu vyberte typ úložiště, ke kterému se chcete připojit, a pak vyberte Autorizovat.

5. V závislosti na typu připojení vyberte jednu z následujících karet:

   Github

   1. Po zobrazení výzvy zadejte přihlašovací údaje GitHubu.

      Při prvním přidání připojení se zobrazí výzva k autorizaci připojení pro Microsoft Sentinel. Pokud jste už přihlášení ke svému účtu GitHubu ve stejném prohlížeči, vaše přihlašovací údaje GitHubu se automaticky vyplnit.

   2. Na stránce Vytvořit nové připojení nasazení se teď zobrazí oblast Úložiště, kde můžete vybrat existující úložiště, ke kterému se chcete připojit. V seznamu vyberte své úložiště a pak vyberte Přidat úložiště.

      Při prvním připojení ke konkrétnímu úložišti se zobrazí nové okno nebo karta prohlížeče s výzvou k instalaci aplikace Azure-Sentinel do úložiště. Pokud máte více úložišť, vyberte ta, do kterých chcete aplikaci Azure-Sentinel nainstalovat, a nainstalujte ji.

      Budete přesměrováni na GitHub, abyste mohli pokračovat v instalaci aplikace.

   3. Po instalaci aplikace Azure-Sentinel v úložišti se do rozevíracího seznamu Branch (Větev) na stránce Create new deployment connection (Vytvořit nové připojení nasazení) vyplní vaše větve. Vyberte větev, kterou chcete připojit k pracovnímu prostoru Microsoft Sentinel.

   4. V rozevíracím seznamu Typy obsahu vyberte typ obsahu, který nasazujete.

      • Parsery i dotazy proaktivního vyhledávání používají k nasazení obsahu do Microsoft Sentinel rozhraní API Uložené hledání. Pokud vyberete jeden z těchto typů obsahu a ve větvi máte také obsah druhého typu, nasadí se oba typy obsahu.

      • U všech ostatních typů obsahu se výběrem typu obsahu v podokně Vytvořit nové připojení nasazení nasadí jenom tento obsah do Microsoft Sentinel. Obsah jiných typů není nasazený.

   5. Vyberte Vytvořit a vytvořte připojení. Příklady:

      

   Azure DevOps

   Máte automaticky oprávnění k Azure DevOps pomocí vašich aktuálních přihlašovacích údajů Azure. Ověřte, že máte oprávnění ke stejnému Azure tenantovi DevOps, ke kterému se připojujete z Microsoft Sentinel, nebo k vytvoření připojení použijte okno prohlížeče InPrivate.

   1. V Microsoft Sentinel vyberte v rozevíracích seznamech, které se zobrazí, typ organizace, projektu, úložiště, větve a obsahu.

      • Parsery i dotazy proaktivního vyhledávání používají k nasazení obsahu do Microsoft Sentinel rozhraní API Uložené hledání. Pokud vyberete jeden z těchto typů obsahu a ve větvi máte také obsah druhého typu, nasadí se oba typy obsahu.

      • U všech ostatních typů obsahu se výběrem typu obsahu v podokně Vytvořit nové připojení nasazení nasadí jenom tento obsah do Microsoft Sentinel. Obsah jiných typů není nasazený.

   2. Vyberte Vytvořit a vytvořte připojení. Příklady:

      

Po vytvoření připojení se ve vašem úložišti vygeneruje nový pracovní postup nebo kanál. Obsah uložený ve vašem úložišti se nasadí do pracovního prostoru Microsoft Sentinel.

Doba nasazení se může lišit v závislosti na objemu obsahu, který nasazujete.

Zobrazení stavu nasazení

Na GitHubu: Na kartě Akce v úložišti vyberte soubor .yaml pracovního postupu pro přístup k podrobným protokolům nasazení a všem konkrétním chybovým zprávám.

V Azure DevOps: Stav nasazení můžete zobrazit na kartě Kanály úložiště.

Po dokončení nasazení:

• Obsah uložený ve vašem úložišti se zobrazí v pracovním prostoru Microsoft Sentinel na příslušné stránce Microsoft Sentinel.

• Podrobnosti o připojení na stránce Úložiště se aktualizují odkazem na protokoly nasazení připojení a stavem a časem posledního nasazení. Příklady:

  

Výchozí pracovní postup nasadí pouze obsah, který se změnil od posledního nasazení na základě potvrzení do úložiště. Možná ale budete chtít inteligentní nasazení vypnout nebo provést jiná přizpůsobení. Můžete například nakonfigurovat různé triggery nasazení nebo nasadit obsah výhradně z konkrétní kořenové složky. Další informace najdete v tématu Přizpůsobení nasazení úložiště.

Upravit obsah

Po úspěšném vytvoření připojení k úložišti správy zdrojového kódu se váš obsah nasadí do Sentinel. Doporučujeme upravovat obsah uložený v připojeném úložišti pouze v úložišti, a ne v Microsoft Sentinel. Pokud například chcete provést změny v analytických pravidlech, udělejte to přímo na GitHubu nebo Azure DevOps.

Pokud upravujete obsah v Microsoft Sentinel, nezapomeňte ho exportovat do úložiště správy zdrojového kódu, aby se zabránilo přepsání změn při příštím nasazení obsahu úložiště do vašeho pracovního prostoru.

Odstranit obsah

Odstraněním obsahu z úložiště se neodstraní z pracovního prostoru Microsoft Sentinel. Pokud chcete odebrat obsah nasazený prostřednictvím úložišť, odstraňte ho z úložiště i z Microsoft Sentinel. Můžete například nastavit filtr pro obsah na základě názvu zdroje, abyste usnadnili identifikaci obsahu z úložišť.

Odebrání připojení k úložišti

Tento postup popisuje, jak odebrat připojení k úložišti správy zdrojového kódu z Microsoft Sentinel. Pokud chcete používat soubory Bicep, připojení k úložišti musí být novější než 1. listopadu 2024. Tento postup použijte k odebrání připojení a jeho opětovnému vytvoření, aby se připojení aktualizovalo.

Odebrání připojení:

1. V Microsoft Sentinel v části Správa obsahu vyberte Úložiště.
2. V mřížce vyberte připojení, které chcete odebrat, a pak vyberte Odstranit.
3. Kliknutím na Ano potvrďte odstranění.

Po odebrání připojení zůstane obsah, který byl dříve nasazen prostřednictvím připojení, ve vašem pracovním prostoru Microsoft Sentinel. Obsah přidaný do úložiště po odebrání připojení se nenasadí.

Pokud při odstraňování připojení narazíte na problémy nebo chybovou zprávu, doporučujeme zkontrolovat správu zdrojového kódu. Ověřte, že se odstranil pracovní postup GitHubu nebo Azure kanál DevOps přidružený k připojení.

Odebrání aplikace Microsoft Sentinel z úložiště GitHub

Pokud máte v úmyslu odstranit aplikaci Microsoft Sentinel z úložiště GitHub, doporučujeme nejprve odebrat všechna přidružená připojení ze stránky úložiště Microsoft Sentinel.

Každá instalace aplikace Microsoft Sentinel má jedinečné ID, které se používá při přidávání i odebírání připojení. Pokud ID chybí nebo se změní, odeberte připojení ze stránky úložiště Microsoft Sentinel a ručně odeberte pracovní postup z úložiště GitHub, abyste zabránili jakýmkoli budoucím nasazením obsahu.

Související obsah

Vlastní obsah používejte v Microsoft Sentinel stejným způsobem, jako byste použili předem zadaný obsah.

Další informace najdete tady:

• Přizpůsobení nasazení úložiště
• Zjišťování a nasazování řešení Microsoft Sentinel
• Microsoft Sentinel datových konektorů