Teilen über


Bereitstellen benutzerdefinierter Inhalte aus Ihrem Repository (Public Preview)

Wenn Sie benutzerdefinierte Inhalte erstellen, können Sie diese in Ihren eigenen Microsoft Sentinel-Arbeitsbereichen oder in einem externen Repository für die Quellcodeverwaltung verwalten. In diesem Artikel wird beschrieben, wie Sie Verbindungen zwischen Microsoft Sentinel- und GitHub- oder Azure DevOps-Repositorys erstellen und verwalten. Wenn Sie Ihre Inhalte in einem externen Repository verwalten, können Sie die Inhalte außerhalb von Microsoft Sentinel aktualisieren und automatisch in Ihren Arbeitsbereichen bereitstellen lassen. Weitere Informationen finden Sie unter Aktualisieren benutzerdefinierter Inhalte mit Repositoryverbindungen.

Wichtig

  • Das Microsoft Sentinel-Feature Repositorys befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
  • Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen und Umfang

Microsoft Sentinel unterstützt derzeit Verbindungen mit GitHub- und Azure DevOps-Repositorys. Stellen Sie sicher, dass Sie über Folgendes verfügen, bevor Sie Ihren Microsoft Sentinel-Arbeitsbereich mit Ihrem Repository für die Quellcodeverwaltung verbinden:

  • Eine Rolle vom Typ Besitzer in der Ressourcengruppe, die Ihren Microsoft Sentinel-Arbeitsbereich enthält, oder eine Kombination aus den Rollen Benutzerzugriffsadministrator und Sentinel-Mitwirkender, um die Verbindung zu erstellen.
  • Zugriff als Mitwirkende auf Ihr GitHub-Repository oder Zugriff als Projektadministratoren auf Ihr Azure DevOps-Repository
  • Aktivierte Aktionen für GitHub und aktivierte Pipelines für Azure DevOps.
  • Aktivierung des Anwendungszugriffs von Drittanbietern über OAuth für Anwendungsverbindungsrichtlinien für Azure DevOps
  • Stellen Sie sicher, dass sich die benutzerdefinierten Inhaltsdateien, die Sie in Ihren Arbeitsbereichen bereitstellen möchten, in den entsprechenden ARM-Vorlagen (Azure Resource Manager) befinden.

Weitere Informationen finden Sie unter Überprüfen Ihrer Inhalte.

Verbinden eines Repositorys

Diese Prozedur beschreibt, wie Sie ein GitHub- oder Azure DevOps-Repository mit Ihrem Microsoft Sentinelarbeitsbereich verbinden.

Jede Verbindung kann mehrere Arten von benutzerdefinierten Inhalten unterstützen, einschließlich Analyseregeln, Automatisierungsregeln, Hunting-Abfragen, Parser, Playbooks und Arbeitsmappen. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel-Inhalt und -Lösungen.

In einem Microsoft Sentinel-Arbeitsbereich können keine doppelten Verbindungen mit dem gleichen Repository und Branch erstellt werden.

Erstellen der Verbindung:

  1. Stellen Sie sicher, dass Sie bei Ihrer Quellcodeverwaltungs-App mit den Anmeldeinformationen angemeldet sind, die Sie für Ihre Verbindung verwenden möchten. Wenn Sie derzeit mit anderen Anmeldeinformationen angemeldet sind, melden Sie sich zuerst ab.

  2. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Content Management die Option Repositories.
    Wählen Sie für Microsoft Sentinel im Defenderportal die Option Microsoft Sentinel>Content Management> Repositories.

  3. Wählen Sie Neu hinzufügen aus, und geben Sie dann auf der Seite Neue Bereitstellungsverbindung erstellen, geben Sie einen aussagekräftigen Namen und eine Beschreibung für Ihre Verbindung ein.

  4. Wählen Sie in der Dropdownliste Quellcodeverwaltung die Art des Repositorys aus, mit dem Sie eine Verbindung herstellen möchten, und wählen Sie anschließend Autorisieren aus.

  5. Wählen Sie je nach Verbindungstyp eine der folgenden Registerkarten aus:

    1. Geben Sie bei entsprechender Aufforderung Ihre GitHub-Anmeldeinformationen ein.

      Wenn Sie zum ersten Mal eine Verbindung hinzufügen, werden Sie aufgefordert, die Verbindung zu Microsoft Sentinel zu autorisieren. Wenn Sie bereits bei Ihrem GitHub-Konto im selben Browser angemeldet sind, werden Ihre GitHub-Anmeldedaten automatisch ausgefüllt.

    2. Auf der Seite Neue Bereitstellungsverbindung erstellen wird nun ein Bereich Repository angezeigt, in dem Sie ein vorhandenes Repository auswählen können, mit dem Sie sich verbinden möchten. Wählen Sie in der Liste Ihr Repository und anschließend Repository hinzufügen aus.

      Wenn Sie erstmals eine Verbindung mit einem Repository herstellen, wird ein neues Browserfenster oder ein neuer Tab geöffnet, in dem Sie aufgefordert werden, die App Azure-Sentinel in Ihrem Repository zu installieren. Sollten Sie über mehrere Repositorys verfügen, wählen Sie die Repositorys aus, in denen Sie die App Azure-Sentinel installieren möchten, und installieren Sie sie.

      Sie werden zu GitHub weitergeleitet, um die Installation der App fortzusetzen.

    3. Nachdem die App Azure-Sentinel in Ihrem Repository installiert wurde, wird die Dropdownliste Branch auf der Seite Neue Bereitstellungserbindung erstellen mit Ihren Branches aufgefüllt. Wählen Sie den Branch aus, den Sie mit Ihrem Microsoft Sentinel-Arbeitsbereich verbinden möchten.

    4. Wählen Sie in der Dropdownliste Inhaltstypen den Inhaltstyp aus, den Sie bereitstellen möchten.

      • Sowohl Parser als auch Hunting-Abfragen verwenden die API Gespeicherte Suchvorgänge, um Inhalte für Microsoft Sentinel bereitzustellen. Wenn Sie einen dieser Inhaltstypen auswählen und in Ihrem Branch auch Inhalte des anderen Typs vorhanden sind, werden beide Inhaltstypen bereitgestellt.

      • Bei allen anderen Inhaltstypen führt die Wahl eines Inhaltstyps im Bereich Neue Bereitstellungsverbindung erstellen dazu, dass nur diese Inhalte für Microsoft Sentinel bereitgestellt werden. Inhalte anderer Art werden nicht bereitgestellt.

    5. Wählen Sie Erstellen aus, um die Verbindung zu erstellen. Beispiel:

      Screenshot: Neue GitHub-Repositoryverbindung

Nachdem Sie die Verbindung erstellt haben, wird ein neuer Workflow oder eine neue Pipeline in Ihrem Repository generiert. Der in Ihrem Repository gespeicherte Inhalt wird in Ihrem Microsoft Sentinel-Arbeitsbereich bereitgestellt.

Die Bereitstellungszeit kann abhängig vom Volumen des von Ihnen bereitgestellten Inhalts variieren.

Anzeigen des Bereitstellungsstatus

Auf GitHub: Auf der Registerkarte Aktionen des Repositorys, wählen Sie die YAML-Workflowdatei aus, um auf ausführliche Bereitstellungsprotokolle und ggf. auf spezifische Fehlermeldungen zuzugreifen.

In Azure DevOps: Anzeigen des Bereitstellungsstatus auf der Registerkarte Pipelines des Repositorys.

Nach Abschluss der Bereitstellung geschieht Folgendes:

  • Die in Ihrem Repository gespeicherten Inhalte werden in Ihrem Microsoft Sentinel-Arbeitsbereich auf der entsprechenden Microsoft Sentinel-Seite angezeigt.

  • Die Verbindungsdetails auf der Seite Repositorys werden mit dem Link zu den Bereitstellungsprotokollen und dem Status und dem Zeitpunkt der letzten Bereitstellung aktualisiert. Beispiel:

    Screenshot: Bereitstellungsprotokolle einer GitHub-Repositoryverbindung

Der Standardworkflow stellt nur Inhalte bereit, die seit der letzten Bereitstellung, geändert wurden und zwar basierend auf Commits für das Repository. Möglicherweise möchten Sie jedoch intelligente Bereitstellungen deaktivieren oder andere Anpassungen vornehmen. Beispielsweise können Sie verschiedene Bereitstellungstrigger konfigurieren oder Inhalte nur aus einem bestimmten Stammordner bereitstellen. Weitere Informationen finden Sie unter Anpassen von Repositorybereitstellungen.

Inhalt bearbeiten

Wenn Sie eine erfolgreich Verbindung mit Ihrem Quellcodeverwaltungs-Repository erstellen, wird Ihr Inhalt in Sentinel bereitgestellt. Es wird empfohlen, in einem verbundenen Repository gespeicherte Inhalte ausschließlich im Repository und nicht in Microsoft Sentinel zu bearbeiten. Wenn Sie beispielsweise Ihre Analyseregeln ändern möchten, nehmen Sie diese Änderungen direkt auf GitHub oder in Azure DevOps vor.

Falls Sie den Inhalt stattdessen in Microsoft Sentinel bearbeitet haben, müssen Sie ihn in Ihr Repository für die Quellcodeverwaltung exportieren. So verhindern Sie, dass Ihre Änderungen bei der nächsten Bereitstellung des Repositoryinhalts in Ihrem Arbeitsbereich überschrieben werden.

Löschen des Inhalts

Inhalte, die Sie aus Ihrem Repository löschen, werden nicht automatisch aus Ihrem Microsoft Sentinel-Arbeitsbereich gelöscht. Wenn Sie Inhalte, die über Repositorys bereitgestellt wurden, entfernen möchten, löschen Sie sie sowohl aus Ihrem Repository als auch aus Microsoft Sentinel. Legen Sie z. B. einen Filter für die Inhalte auf der Grundlage des Quellnamens fest, um die Identifizierung von Inhalten aus Repositorys zu erleichtern.

Screenshot: Nach Quellname von Repositorys gefilterte Analyseregeln

Entfernen einer Repositoryverbindung

Hier erfahren Sie, wie Sie die Verbindung mit einem Repository für die Quellcodeverwaltung aus Microsoft Sentinel entfernen.

So entfernen Sie die Verbindung:

  1. Wählen Sie in Microsoft Sentinel unter Inhaltsverwaltung die Option Repositories aus.
  2. Wählen Sie im Raster die Verbindung aus, die Sie entfernen möchten, und wählen Sie dann Löschen aus.
  3. Wählen Sie Ja aus, um den Löschvorgang zu bestätigen.

Nachdem Sie die Verbindung entfernt haben, bleiben Inhalte, die zuvor über die Verbindung bereitgestellt wurden, in Ihrem Microsoft Sentinel-Arbeitsbereich. Inhalte, die dem Repository nach dem Entfernen der Verbindung hinzugefügt werden, werden nicht bereitgestellt.

Wenn beim Löschen der Verbindung Probleme oder eine Fehlermeldung auftreten, empfehlen wir, die Quellcodeverwaltung zu überprüfen. Vergewissern Sie sich, dass die GitHub-Workflow- oder Azure DevOps-Pipeline, die der Verbindung zugeordnet ist, gelöscht wird.

Entfernen der Microsoft Sentinel-App aus Ihrem GitHub-Repository

Wenn Sie die Microsoft Sentinel-App aus einem GitHub-Repository löschen möchten, sollten Sie zuerst alle zugeordneten Verbindungen von der Seite Microsoft Sentinel-Seite Repositorys entfernen.

Jede Installation der Microsoft Sentinel-App verfügt über eine eindeutige ID, die beim Hinzufügen und Entfernen der Verbindung verwendet wird. Wenn die ID fehlt oder geändert wurde, müssen Sie sowohl die Verbindung von der Microsoft Sentinel-Seite Repositorys entfernen als auch den Workflow manuell aus Ihrem GitHub-Repository entfernen, um zukünftige Inhaltsbereitstellungen zu verhindern.

Nächste Schritte

Verwenden Sie Ihre benutzerdefinierten Inhalte in Microsoft Sentinel auf die gleiche Weise wie vorgefertigte Inhalte.

Weitere Informationen finden Sie unter