Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel Repositorys können Sie benutzerdefinierte Sentinel Inhalte aus einem externen Quellcodeverwaltungsrepository für Continuous Integration/Continuous Delivery (CI/CD) bereitstellen und verwalten. Diese Automatisierung entfällt die Notwendigkeit manueller Prozesse, ihre benutzerdefinierten Inhalte arbeitsbereichsübergreifend zu aktualisieren und bereitzustellen. Eine Teilmenge von Inhalt als Code ist Detections as Code (DaC). Microsoft Sentinel Repositorys implementiert auch DaC.
Weitere Informationen zu Sentinel Inhalten finden Sie unter Informationen zu Microsoft Sentinel Inhalten und Lösungen.
Funktionsweise Microsoft Sentinel Repositorys
Sie können diese Microsoft Sentinel benutzerdefinierten Inhaltstypen aus einem externen Quellcodeverwaltungsrepository bereitstellen, mit dem Sie eine Verbindung Microsoft Sentinel herstellen:
- Analyseregeln
- Automatisierungsregeln
- Hunting-Abfragen
- Parser
- Playbooks
- Arbeitsmappen
Updates, die Sie an den Inhalten in Ihren Microsoft Sentinel Repositorys vornehmen, werden mit Ihrem Microsoft Sentinel Arbeitsbereich synchronisiert und alle Änderungen, die Sie an diesen Inhalten über das Microsoft Sentinel-Portal vornehmen, überschreiben. Ihre Microsoft Sentinel Repositorys werden zu Ihrer single source of truth für benutzerdefinierte Inhalte in den verbundenen Arbeitsbereichen.
Planen der Repositoryverbindung
Microsoft Sentinel Repositorys erfordern eine sorgfältige Planung, um sicherzustellen, dass Sie über die richtigen Berechtigungen von Ihrem Arbeitsbereich für das Repository (Repository) verfügen, das Sie verbinden möchten.
- Nur Verbindungen mit GitHub und Azure DevOps-Repositorys werden unterstützt.
- Projektmitarbeiter-Zugriff auf Ihr GitHub-Repository oder Projektadministrator-Zugriff auf Ihr Azure DevOps-Repository ist erforderlich.
- Die Microsoft Sentinel Anwendung benötigt eine Autorisierung für Ihr Repository.
- Aktionen müssen für GitHub aktiviert sein.
- Pipelines müssen für Azure DevOps aktiviert sein.
- Eine Azure DevOps-Verbindung muss sich im selben Mandanten wie Ihr Microsoft Sentinel Arbeitsbereich befinden.
Zum Erstellen einer Verbindung mit einem Repository ist die Rolle Besitzer in der Ressourcengruppe erforderlich, die Ihren Microsoft Sentinel Arbeitsbereich enthält.
Wenn Sie Inhalte in einem öffentliches Repository finden, in dem Sie kein Mitwirkender, importieren, forken oder klonen Sie den Inhalt in ein Repository, in dem Sie Mitwirkender sind. Verbinden Sie dann Ihr Repository mit Ihrem Microsoft Sentinel Arbeitsbereich. Weitere Informationen finden Sie unter Bereitstellen von benutzerdefinierten Inhalten aus Ihrem Repository.
Maximale Anzahl von Verbindungen und Bereitstellungen
- Jeder Microsoft Sentinel Arbeitsbereich ist derzeit auf fünf Repositoryverbindungen beschränkt.
- Jede Azure Ressourcengruppe ist im Bereitstellungsverlauf auf 800 Bereitstellungen beschränkt. Wenn Sie über eine große Anzahl von Vorlagenbereitstellungen in einer oder mehreren Ihrer Ressourcengruppen verfügen, wird möglicherweise der
Deployment QuotaExceededFehler angezeigt. Weitere Informationen finden Sie unter DeploymentQuotaExceeded in der Dokumentation zu Azure Resource Manager Vorlagen.
Planen Ihres Repositoryinhalts
Microsoft Sentinel Repositorys unterstützen die Bereitstellung von Inhalten, die Sie als Bicep-Dateien oder arm-Vorlagen (Azure Resource Manager) speichern. Es wird empfohlen, Bicep zu verwenden, das intuitiver ist und die Beschreibung Azure Ressourcen und Microsoft Sentinel Inhalte erleichtert.
Die Vorlage für jeden Inhaltstyp weist eine bestimmte Struktur und einen bestimmten Parameternamen auf, wie in der Referenz zu Sentinel Ressourcenvorlagen dokumentiert. Beispiele für jeden Inhaltstyp finden Sie unter RepositorysSampleContent-Repository.
Wir haben ein Beispielrepository mit Vorlagen für jeden der aufgeführten Inhaltstypen bereitgestellt. Das Repository veranschaulicht auch die Verwendung erweiterter Features von Repositoryverbindungen. Weitere Informationen finden Sie unter beispiel für Microsoft Sentinel CI/CD-Repositorys.
Obwohl Sie Vorlagen von Grund auf neu erstellen können, ist es häufig einfacher, entweder mit den YAML-Dateien des Sentinel öffentlichen GitHub-Repositorys oder mit sofort einsatzbereiten Microsoft Sentinel Inhalten zu beginnen. In dieser Tabelle wird beschrieben, wie Sie eine ARM-Vorlage für die Verwendung mit Microsoft Sentinel Repositorys konvertieren.
| Inhaltstyp | Konvertieren aus Sentinel öffentlichen YAML | Exportieren aus Sentinel | Vorlagenreferenz | Beispielvorlagen |
|---|---|---|---|---|
| Analyseregeln | PowerShell-Skript | Exportfeature oder PowerShell-Skript | Referenz | ARM-Vorlagen |
| Automatisierungsregeln | Nicht zutreffend | Exportieren von Features oder PowerShell-Skripts | Referenz | Nicht zutreffend |
| Hunting-Abfragen | PowerShell-Skript | Azure CLI-Befehle | Referenz | Beispielinhalt |
| Parser | ASIM PowerShell-Skript | Azure CLI-Befehle | Referenz | Templates |
| Playbooks | Nicht zutreffend | PowerShell-Hilfsprogramm | Referenz | Nicht zutreffend |
| Workbooks | Nicht zutreffend | Exportieren von Arbeitsmappen als ARM-Vorlagen | Referenz | Nicht zutreffend |
Wichtig
Bicep-Überlegungen:
- Um Bicep-Dateien verwenden zu können, muss Ihre Repositoryverbindung aktualisiert werden, wenn Ihre Verbindung vor dem 1. November 2024 erstellt wurde. Repositoryverbindungen müssen entfernt und neu erstellt werden, damit sie aktualisiert werden können.
- Bicep-Dateien unterstützen die
id-Eigenschaft nicht. Stellen Sie beim Dekompilieren von ARM-JSON in Bicep sicher, dass Sie nicht über diese Eigenschaft verfügen. Beispielsweise verfügen Analyseregelvorlagen, die aus Microsoft Sentinel exportiert werden, über dieid-Eigenschaft, die entfernt werden muss. - Ändern Sie das ARM-JSON-Schema in version
2019-04-01, um optimale Ergebnisse bei der Dekompilierung zu erzielen.
Wichtig
Analyseregeln, die mit dem Feature Microsoft Sentinel Repositorys bereitgestellt werden, können arbeitsbereichsübergreifende Abfragen nur verwenden, wenn sich der Zielarbeitsbereich in derselben Ressourcengruppe wie der Mit dem Repository verbundene Arbeitsbereich befindet.
Informationen zum Erstellen von benutzerdefinierten Inhalten von Grund auf finden Sie in den relevanten Microsoft Sentinel GitHub-Wiki für jeden Inhaltstyp.
Verbessern der Leistung mit intelligenten Bereitstellungen
Tipp
Um sicherzustellen, dass intelligente Bereitstellungen in GitHub funktionieren, müssen Workflows über Lese- und Schreibberechtigungen für Ihr Repository verfügen. Weitere Informationen finden Sie unter Verwalten GitHub Actions Einstellungen für ein Repository.
Das Feature für intelligente Bereitstellungen ist eine Back-End-Funktion, die die Leistung verbessert, indem Änderungen an den Inhaltsdateien eines verbundenen Repositorys aktiv nachverfolgt werden. Es verwendet eine CSV-Datei innerhalb des .sentinel Ordners in Ihrem Repository, um jeden Commit zu überwachen. Der Workflow vermeidet die erneute Bereitstellung von Inhalten, die seit der letzten Bereitstellung nicht geändert wurden. Dieser Prozess verbessert ihre Bereitstellungsleistung und verhindert manipulationen von unveränderten Inhalten in Ihrem Arbeitsbereich, z. B. das Zurücksetzen dynamischer Zeitpläne Ihrer Analyseregeln.
Intelligente Bereitstellungen sind für neu erstellte Verbindungen standardmäßig aktiviert. Wenn Sie alle Quellcodeverwaltungsinhalte bevorzugen, die jedes Mal bereitgestellt werden, wenn eine Bereitstellung ausgelöst wird, unabhängig davon, ob dieser Inhalt geändert wurde oder nicht, ändern Sie Ihren Workflow, um intelligente Bereitstellungen zu deaktivieren. Weitere Informationen finden Sie unter Anpassen des Workflows oder der Pipeline.
Erwägen von Bereitstellungsanpassungsoptionen
Berücksichtigen Sie beim Bereitstellen von Inhalten mit Microsoft Sentinel Repositorys die folgenden Anpassungsoptionen.
Anpassen des Workflows oder der Pipeline
Passen Sie den Workflow oder die Pipeline auf eine der folgenden Arten an:
- Konfigurieren verschiedener Bereitstellungstrigger
- Bereitstellen von Inhalten nur aus einem bestimmten Stammordner für einen bestimmten Arbeitsbereich
- Planen der regelmäßigen Ausführung des Workflows
- Kombinieren verschiedener Workflowereignisse
- Deaktivieren von intelligenten Bereitstellungen
Diese Anpassungen werden in einer .yml-Datei definiert, die für Ihren Workflow oder Ihre Pipeline spezifisch ist. Weitere Informationen zur Implementierung finden Sie unter Anpassen von Repositorybereitstellungen.
Anpassen der Bereitstellung
Sobald der Workflow oder die Pipeline ausgelöst wurde, unterstützt die Bereitstellung die folgenden Szenarien:
- Priorisieren von Inhalten, die vor dem rest des Repositoryinhalts bereitgestellt werden sollen
- Ausschließen von Inhalten aus der Bereitstellung
- Angeben von ARM-Vorlagenparameterdateien
Diese Optionen sind über ein Feature des PowerShell-Bereitstellungsskripts verfügbar, das aus dem Workflow oder der Pipeline aufgerufen wird. Weitere Informationen zum Implementieren dieser Anpassungen finden Sie unter Anpassen von Repositorybereitstellungen.
Verwalten Microsoft Sentinel Repositorys mithilfe der API
Informationen zum Verwalten Microsoft Sentinel Repositorys mithilfe der API finden Sie unter Quellcodeverwaltung und Quellcodeverwaltung in der Microsoft Sentinel REST-API.
Wichtig
Ab Juni 2026 werden ältere API-Versionen, die von Microsoft Sentinel Repositorys verwendet werden, nicht mehr unterstützt. Wenn Sie APIs zum Erstellen und Verwalten von Repositoryverbindungen verwenden, wechseln Sie vor dem 15. Juni 2026 zur API-Version 2025-09-01, 2025-06-01 oder 2025-07-01-preview . Vorhandene Repositoryverbindungen sind nicht betroffen.
Nächste Schritte
Weitere Beispiele und Schritt-für-Schritt-Anweisungen zum Bereitstellen Microsoft Sentinel Repositorys.