Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når du opretter brugerdefineret indhold, kan du administrere det fra dine egne Microsoft Sentinel arbejdsområder eller et eksternt versionsstyringslager. I denne artikel beskrives det, hvordan du opretter og administrerer forbindelser mellem Microsoft Sentinel og GitHub eller Azure DevOps-lagre. Administration af dit indhold i et eksternt lager giver dig mulighed for at foretage opdateringer af dette indhold uden for Microsoft Sentinel og automatisk få det udrullet i dine arbejdsområder. Du kan få flere oplysninger under Opdater brugerdefineret indhold med lagerforbindelser.
Vigtigt!
- Funktionen Microsoft Sentinel lagre findes i øjeblikket som PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
- Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen. Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.
Forudsætninger
Microsoft Sentinel understøtter i øjeblikket forbindelser til GitHub- og Azure DevOps-lagre. Før du opretter forbindelse mellem dit Microsoft Sentinel arbejdsområde og dit versionsstyringslager, skal du sørge for, at:
- Du har rollen Ejer i den ressourcegruppe, der indeholder dit Microsoft Sentinel arbejdsområde
- Brugerdefinerede indholdsfiler, du vil installere i dine arbejdsområder, er i et understøttet format. Hvis du vil se understøttede formater, skal du se Planlæg dit lagerindhold.
- Den konto, du bruger til at oprette forbindelsen, er i din lokale lejer. Eksterne identiteter, f.eks. B2B-gæstekonti og delegeret adgang, understøttes ikke.
- Samarbejdspartneradgang til dit GitHub-lager
- Handlinger, der er aktiveret for GitHub og pipelines, som er aktiveret for Azure DevOps
Du kan få flere oplysninger om udrullelige indholdstyper under Planlæg dit lagerindhold.
Opret forbindelse til et lager
I denne procedure beskrives det, hvordan du forbinder et GitHub- eller Azure DevOps-lager til dit Microsoft Sentinel arbejdsområde.
Hver forbindelse kan understøtte flere typer brugerdefineret indhold, herunder analyseregler, automatiseringsregler, jagtforespørgsler, fortolkninger, playbooks og projektmapper. Du kan finde flere oplysninger under Om Microsoft Sentinel indhold og løsninger.
Du kan ikke oprette duplikerede forbindelser med det samme lager og den samme forgrening i et enkelt Microsoft Sentinel arbejdsområde.
Opret din forbindelse:
Sørg for, at du er logget på din versionsstyringsapp med de legitimationsoplysninger, du vil bruge til din forbindelse. Hvis du i øjeblikket er logget på med andre legitimationsoplysninger, skal du først logge af.
For Microsoft Sentinel i Azure Portal under Indholdsstyring skal du vælge Lagre.
For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Indholdsadministrationslagre>.Vælg Tilføj ny, og angiv derefter et sigende navn og en beskrivelse for forbindelsen på siden Opret ny installationsforbindelse .
På rullelisten Versionsstyring skal du vælge den type lager, du vil oprette forbindelse til, og derefter vælge Godkend.
Vælg en af følgende faner, afhængigt af din forbindelsestype:
Angiv dine GitHub-legitimationsoplysninger, når du bliver bedt om det.
Første gang du tilføjer en forbindelse, bliver du bedt om at godkende forbindelsen til Microsoft Sentinel. Hvis du allerede er logget på din GitHub-konto i den samme browser, udfyldes dine GitHub-legitimationsoplysninger automatisk.
Et lagerområde vises nu på siden Opret ny installationsforbindelse , hvor du kan vælge et eksisterende lager, der skal oprettes forbindelse til. Vælg dit lager på listen, og vælg derefter Tilføj lager.
Første gang du opretter forbindelse til et bestemt lager, får du vist et nyt browservindue eller en ny fane, hvor du bliver bedt om at installere appen Azure-Sentinel på dit lager. Hvis du har flere lagre, skal du vælge dem, hvor du vil installere appen Azure-Sentinel og installere den.
Du bliver dirigeret til GitHub for at fortsætte appinstallationen.
Når appen Azure-Sentinel er installeret i dit lager, udfyldes rullemenuen Gren på siden Opret ny installationsforbindelse med dine forgreninger. Vælg den gren, du vil oprette forbindelse til dit Microsoft Sentinel arbejdsområde.
På rullelisten Indholdstyper skal du vælge den type indhold, du installerer.
Både fortolknings- og jagtforespørgsler bruger API'en Gemte søgninger til at udrulle indhold til Microsoft Sentinel. Hvis du vælger en af disse indholdstyper og også har indhold af den anden type i din forgrening, installeres begge indholdstyper.
For alle andre indholdstyper udrulles kun indholdet til Microsoft Sentinel, når du vælger en indholdstype i ruden Opret ny installationsforbindelse. Indhold af andre typer installeres ikke.
Vælg Opret for at oprette forbindelsen. Det kan f.eks. være:
Når du har oprettet forbindelsen, genereres der en ny arbejdsproces eller pipeline i dit lager. Det indhold, der er gemt i dit lager, udrulles i dit Microsoft Sentinel arbejdsområde.
Udrulningstiden kan variere afhængigt af mængden af indhold, du udruller.
Få vist installationsstatussen
I GitHub: På lagerets fanen Handlinger skal du vælge .yaml-filen for arbejdsprocessen for at få adgang til detaljerede installationslogfiler og eventuelle specifikke fejlmeddelelser.
I Azure DevOps: Få vist installationsstatussen fra lagerets fane Pipelines.
Når installationen er fuldført:
Det indhold, der er gemt i dit lager, vises i dit Microsoft Sentinel arbejdsområde på den relevante Microsoft Sentinel side.
Forbindelsesoplysningerne på siden Lagre opdateres med linket til forbindelsens installationslogge og status og tidspunkt for den seneste udrulning. Det kan f.eks. være:
Standardarbejdsprocessen udruller kun indhold, der er ændret siden sidste udrulning baseret på bekræftelser til lageret. Men det kan være en god idé at slå intelligente udrulninger fra eller udføre andre tilpasninger. Du kan f.eks. konfigurere forskellige udrulningsudløsere eller udrulle indhold udelukkende fra en bestemt rodmappe. Du kan få mere at vide under Tilpas lagerinstallationer.
Rediger indhold
Når du har oprettet en forbindelse til dit versionsstyringslager, udrulles dit indhold til Sentinel. Vi anbefaler, at du kun redigerer indhold, der er gemt i et forbundet lager, i lageret og ikke i Microsoft Sentinel. Hvis du f.eks. vil foretage ændringer af dine analyseregler, skal du gøre det direkte i GitHub eller Azure DevOps.
Hvis du redigerer indholdet i Microsoft Sentinel i stedet for, skal du sørge for at eksportere det til dit versionsstyringslager for at forhindre, at dine ændringer overskrives, næste gang lagerindholdet installeres i dit arbejdsområde.
Slet indhold
Hvis du sletter indhold fra dit lager, slettes det ikke fra dit Microsoft Sentinel arbejdsområde. Hvis du vil fjerne indhold, der er udrullet via lagre, skal du slette det fra både dit lager og Microsoft Sentinel. Du kan f.eks. angive et filter for indholdet baseret på kildenavn for at gøre det nemmere at identificere indhold fra lagre.
Fjern en lagerforbindelse
I denne procedure beskrives det, hvordan du fjerner forbindelsen til et versionsstyringslager fra Microsoft Sentinel. Hvis du vil bruge Bicep-filer, skal lagerforbindelsen være nyere end den 1. november 2024. Brug denne procedure til at fjerne forbindelsen og genoprette den for at opdatere forbindelsen.
Sådan fjerner du forbindelsen:
- Vælg Lagre under Indholdsstyring i Microsoft Sentinel.
- Vælg den forbindelse, du vil fjerne, i gitteret, og vælg derefter Slet.
- Vælg Ja for at bekræfte sletningen.
Når du har fjernet din forbindelse, forbliver indhold, der tidligere er udrullet via forbindelsen, i dit Microsoft Sentinel arbejdsområde. Indhold, der er føjet til lageret, efter at forbindelsen er fjernet, installeres ikke.
Hvis du oplever problemer eller en fejlmeddelelse, når du sletter din forbindelse, anbefaler vi, at du kontrollerer versionsstyringen. Bekræft, at den GitHub-arbejdsproces eller Azure DevOps-pipeline, der er knyttet til forbindelsen, slettes.
Fjern Microsoft Sentinel-appen fra dit GitHub-lager
Hvis du vil slette Microsoft Sentinel-appen fra et GitHub-lager, anbefaler vi, at du først fjerner alle tilknyttede forbindelser fra siden Microsoft Sentinel Lagre.
Hver Microsoft Sentinel appinstallation har et entydigt id, der bruges, når du både tilføjer og fjerner forbindelsen. Hvis id'et mangler eller ændres, skal du fjerne forbindelsen fra siden Microsoft Sentinel lagre og manuelt fjerne arbejdsprocessen fra dit GitHub-lager for at forhindre fremtidige indholdsinstallationer.
Relateret indhold
Brug dit brugerdefinerede indhold i Microsoft Sentinel på samme måde, som du ville bruge standardindhold.
Du kan finde flere oplysninger under: