Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel úložiště umožňují nasadit a spravovat vlastní Sentinel obsah z externího úložiště správy zdrojového kódu pro kontinuální integraci/průběžné doručování (CI/CD). Tato automatizace eliminuje potřebu ručních procesů aktualizace a nasazení vlastního obsahu napříč pracovními prostory. Podmnožinou obsahu jako kódu je detekce jako kód (DaC). Microsoft Sentinel Repositories implementují také DaC.
Další informace o Sentinel obsahu najdete v tématu Informace o Microsoft Sentinel obsahu a řešeních.
Jak Microsoft Sentinel úložiště fungují
Tyto Microsoft Sentinel vlastní typy obsahu můžete nasadit z externího úložiště správy zdrojového kódu, ke kterému se připojíte k Microsoft Sentinel:
- Analytická pravidla
- Pravidla automatizace
- Dotazy proaktivního vyhledávání
- Analyzátory
- Playbooky
- Sešity
Aktualizace, které provedete s obsahem v úložištích Microsoft Sentinel, se synchronizují s pracovním prostorem Microsoft Sentinel a přepíšou všechny změny, které v obsahu provedete prostřednictvím portálu Microsoft Sentinel. Úložiště Microsoft Sentinel se stanou vaším jediným zdrojem informací o vlastním obsahu v připojených pracovních prostorech.
Plánování připojení k úložišti
Microsoft Sentinel úložiště vyžadují pečlivé plánování, abyste měli z pracovního prostoru správná oprávnění k úložišti, které chcete připojit.
- Podporují se pouze připojení ke GitHubu a Azure úložištím DevOps.
- Vyžaduje se přístup spolupracovníka k úložišti GitHub nebo přístup správce projektu k úložišti Azure DevOps.
- Aplikace Microsoft Sentinel potřebuje k vašemu úložišti autorizaci.
- Akce musí být povolené pro GitHub.
- Kanály musí být povolené pro Azure DevOps.
- Připojení Azure DevOps musí být ve stejném tenantovi jako váš pracovní prostor Microsoft Sentinel.
Vytvoření připojení k úložišti vyžaduje roli vlastníka ve skupině prostředků, která obsahuje váš pracovní prostor Microsoft Sentinel.
Pokud ve veřejném úložišti najdete obsah, ve kterém nejste přispěvatelem, nejdřív ho naimportujte, roztvořete nebo naklonujte do úložiště, ve kterém jste přispěvatelem. Pak připojte úložiště k pracovnímu prostoru Microsoft Sentinel. Další informace najdete v tématu Nasazení vlastního obsahu z úložiště.
Maximální počet připojení a nasazení
- Každý Microsoft Sentinel pracovní prostor je v současné době omezený na pět připojení úložiště.
- Každá Azure skupina prostředků je v historii nasazení omezená na 800 nasazení. Pokud máte velký objem nasazení šablon v jedné nebo více skupinách prostředků, může se
Deployment QuotaExceededzobrazit chyba . Další informace najdete v tématu DeploymentQuotaExceeded v dokumentaci šablon Azure Resource Manager.
Plánování obsahu úložiště
Microsoft Sentinel úložiště podporují nasazení obsahu, který ukládáte jako soubory Bicep nebo šablony Azure Resource Manager (ARM). Doporučujeme používat bicep, který je intuitivnější a usnadňuje popis Azure prostředků a Microsoft Sentinel obsahu.
Šablona pro každý typ obsahu má specifickou strukturu a název parametru, jak je popsáno v referenčních informacích k šabloně Sentinel prostředků. Ukázky jednotlivých typů obsahu najdete v tématu ÚložištěSampleContent.
Poskytli jsme ukázkové úložiště se šablonami pro každý z uvedených typů obsahu. Úložiště také ukazuje, jak používat pokročilé funkce připojení úložiště. Další informace najdete v tématu Microsoft Sentinel ukázka úložišť CI/CD.
I když můžete vytvářet šablony úplně od začátku, je často jednodušší začít buď ze souborů YAML veřejného úložiště Sentinel GitHubu, nebo z výchozího Microsoft Sentinel obsahu. Tato tabulka popisuje, jak převést šablonu ARM pro použití s úložišti Microsoft Sentinel.
| Typ obsahu | Převod z Sentinel veřejného YAML | Export z Sentinel | Referenční informace k šabloně | Ukázkové šablony |
|---|---|---|---|---|
| Analytická pravidla | Skript PowerShellu | Export funkce nebo powershellového skriptu | Odkazy | Šablony ARM |
| Pravidla automatizace | Není k dispozici. | Export funkcí nebo skriptů PowerShellu | Odkazy | Není k dispozici. |
| Dotazy proaktivního vyhledávání | Skript PowerShellu | příkazy rozhraní příkazového řádku Azure | Odkazy | Ukázkový obsah |
| Analyzátory | Asim powershellový skript | příkazy rozhraní příkazového řádku Azure | Odkazy | Šablony |
| Playbooky | Není k dispozici. | Nástroj PowerShellu | Odkazy | Není k dispozici. |
| Sešity | Není k dispozici. | Export sešitů jako šablon ARM | Odkazy | Není k dispozici. |
Důležité
Důležité informace o bicepu:
- Pokud chcete používat soubory Bicep, připojení k úložištím je potřeba aktualizovat, pokud se vaše připojení vytvořilo před 1. listopadem 2024. Aby bylo možné aktualizovat připojení úložišť, musí se odebrat a znovu vytvořit.
- Soubory Bicep vlastnost nepodporují
id. Při dekompilování FORMÁTU JSON ARM na Bicep se ujistěte, že tuto vlastnost nemáte. Například šablony analytických pravidel exportované z Microsoft Sentinel majíidvlastnost, kterou je potřeba odebrat. - Při dekompilování změňte schéma ARM JSON na verzi
2019-04-01. Dosáhnete tak nejlepších výsledků.
Důležité
Analytická pravidla nasazená pomocí funkce úložiště Microsoft Sentinel můžou používat dotazy mezi pracovními prostory jenom v případě, že je cílový pracovní prostor ve stejné skupině prostředků jako pracovní prostor připojený k úložišti.
Informace o vytváření vlastního obsahu od začátku najdete na příslušném wikiwebu Microsoft Sentinel GitHubu pro každý typ obsahu.
Zvýšení výkonu pomocí inteligentních nasazení
Tip
Aby bylo zajištěno, že inteligentní nasazení funguje na GitHubu, musí mít pracovní postupy ve vašem úložišti oprávnění ke čtení a zápisu. Další informace najdete v tématu Správa nastavení GitHub Actions úložiště.
Funkce inteligentních nasazení je back-endová funkce, která zlepšuje výkon aktivním sledováním změn provedených v souborech obsahu připojeného úložiště. K auditování každého potvrzení používá soubor CSV ve .sentinel složce ve vašem úložišti. Pracovní postup se vyhne opětovnému nasazení obsahu, který se od posledního nasazení nezměnil. Tento proces zlepšuje výkon nasazení a zabraňuje manipulaci s nezměněným obsahem v pracovním prostoru, jako je například resetování dynamických plánů analytických pravidel.
U nově vytvořených připojení jsou ve výchozím nastavení povolená inteligentní nasazení. Pokud dáváte přednost veškerému obsahu správy zdrojového kódu nasazeného při každé aktivaci nasazení, ať už se obsah změnil nebo ne, upravte svůj pracovní postup tak, aby se zakázala inteligentní nasazení. Další informace najdete v tématu Přizpůsobení pracovního postupu nebo kanálu.
Zvažte možnosti přizpůsobení nasazení.
Při nasazování obsahu s úložišti Microsoft Sentinel zvažte následující možnosti přizpůsobení.
Přizpůsobení pracovního postupu nebo kanálu
Přizpůsobte pracovní postup nebo kanál jedním z následujících způsobů:
- konfigurace různých triggerů nasazení
- Nasazení obsahu pouze z konkrétní kořenové složky pro daný pracovní prostor
- naplánovat pravidelné spouštění pracovního postupu
- kombinování různých událostí pracovního postupu
- vypnutí inteligentních nasazení
Tato přizpůsobení jsou definována v souboru .yml specifickém pro váš pracovní postup nebo kanál. Další informace o implementaci najdete v tématu Přizpůsobení nasazení úložiště.
Přizpůsobení nasazení
Po aktivaci pracovního postupu nebo kanálu nasazení podporuje následující scénáře:
- určit prioritu obsahu, který se má nasadit, před zbytkem obsahu úložiště
- vyloučit obsah z nasazení
- Určení souborů parametrů šablony ARM
Tyto možnosti jsou dostupné prostřednictvím funkce skriptu nasazení PowerShellu volaného z pracovního postupu nebo kanálu. Další informace o tom, jak tato vlastní nastavení implementovat, najdete v tématu Přizpůsobení nasazení úložiště.
Správa úložišť Microsoft Sentinel pomocí rozhraní API
Informace o správě úložišť Microsoft Sentinel pomocí rozhraní API najdete v tématu Akce správy zdrojového kódu a Správy zdrojového kódu v Microsoft Sentinel ROZHRANÍ REST API.
Důležité
Od června 2026 už nebudou podporovány starší verze rozhraní API používané úložišti Microsoft Sentinel. Pokud k vytváření a správě připojení úložiště používáte rozhraní API, přejděte na rozhraní API verze 2025-09-01, 2025-06-01 nebo 2025-07-01-preview před 15. červnem 2026, abyste se vyhnuli přerušení služby. Stávající připojení úložiště to neovlivní.
Další kroky
Získejte další příklady a podrobné pokyny k nasazení úložišť Microsoft Sentinel.