Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie benutzerdefinierte Inhalte erstellen, können Sie diese über Ihre eigenen Microsoft Sentinel Arbeitsbereiche oder ein externes Quellcodeverwaltungsrepository verwalten. In diesem Artikel wird beschrieben, wie Sie Verbindungen zwischen Microsoft Sentinel und GitHub oder Azure DevOps-Repositorys erstellen und verwalten. Wenn Sie Ihre Inhalte in einem externen Repository verwalten, können Sie diese Inhalte außerhalb von Microsoft Sentinel aktualisieren und automatisch in Ihren Arbeitsbereichen bereitstellen. Weitere Informationen finden Sie unter Aktualisieren von benutzerdefinierten Inhalten mit Repositoryverbindungen.
Wichtig
- Das Feature Microsoft Sentinel Repositorys befindet sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.
- Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet. Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfiehlt es sich, mit der Planung des Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.
Voraussetzungen
Microsoft Sentinel unterstützt derzeit Verbindungen mit GitHub- und Azure DevOps-Repositorys. Bevor Sie Ihren Microsoft Sentinel Arbeitsbereich mit Ihrem Quellcodeverwaltungsrepository verbinden, stellen Sie Folgendes sicher:
- Sie verfügen über die Rolle Besitzer in der Ressourcengruppe, die Ihren Microsoft Sentinel Arbeitsbereich enthält.
- Benutzerdefinierte Inhaltsdateien, die Sie in Ihren Arbeitsbereichen bereitstellen möchten, weisen ein unterstütztes Format auf. Informationen zu unterstützten Formaten finden Sie unter Planen Ihres Repositoryinhalts.
- Das Konto, das Sie zum Erstellen der Verbindung verwenden, befindet sich in Ihrem Basismandanten. Externe Identitäten, z. B. B2B-Gastkonten, und delegierter Zugriff werden nicht unterstützt.
- Zugriff des Projektmitarbeiters auf Ihr GitHub-Repository
- Für GitHub aktivierte Aktionen und für Azure DevOps aktivierte Pipelines
Weitere Informationen zu bereitstellbaren Inhaltstypen finden Sie unter Planen Ihres Repositoryinhalts.
Verbinden eines Repositorys
In diesem Verfahren wird beschrieben, wie Sie ein GitHub- oder Azure DevOps-Repository mit Ihrem Microsoft Sentinel Arbeitsbereich verbinden.
Jede Verbindung kann mehrere Arten von benutzerdefinierten Inhalten unterstützen, einschließlich Analyseregeln, Automatisierungsregeln, Hunting-Abfragen, Parser, Playbooks und Arbeitsmappen. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel Inhalten und Lösungen.
Du kannst keine doppelten Verbindungen mit demselben Repository und Branch in einem einzelnen Microsoft Sentinel Arbeitsbereich erstellen.
Erstellen Sie Ihre Verbindung:
Stellen Sie sicher, dass Sie bei Ihrer Quellcodeverwaltungs-App mit den Anmeldeinformationen angemeldet sind, die Sie für Ihre Verbindung verwenden möchten. Wenn Sie derzeit mit anderen Anmeldeinformationen angemeldet sind, melden Sie sich zuerst ab.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltungdie Option Repositorys aus.
Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Inhaltsverwaltungsrepositorys>aus.Wählen Sie Neu hinzufügen aus, und geben Sie dann auf der Seite Neue Bereitstellungsverbindung erstellen einen aussagekräftigen Namen und eine Beschreibung für Ihre Verbindung ein.
Wählen Sie in der Dropdownliste Quellcodeverwaltung den Typ des Repositorys aus, mit dem Sie eine Verbindung herstellen möchten, und wählen Sie dann Autorisieren aus.
Wählen Sie je nach Verbindungstyp eine der folgenden Registerkarten aus:
Geben Sie Ihre GitHub-Anmeldeinformationen ein, wenn Sie dazu aufgefordert werden.
Wenn Sie zum ersten Mal eine Verbindung hinzufügen, werden Sie aufgefordert, die Verbindung für Microsoft Sentinel zu autorisieren. Wenn Sie bereits im selben Browser bei Ihrem GitHub-Konto angemeldet sind, werden Ihre GitHub-Anmeldeinformationen automatisch aufgefüllt.
Auf der Seite Neue Bereitstellungsverbindung erstellen wird nun ein Repositorybereich angezeigt, auf dem Sie ein vorhandenes Repository auswählen können, mit dem eine Verbindung hergestellt werden soll. Wählen Sie Ihr Repository aus der Liste aus, und wählen Sie dann Repository hinzufügen aus.
Wenn Sie zum ersten Mal eine Verbindung mit einem bestimmten Repository herstellen, wird ein neues Browserfenster oder eine neue Browserregisterkarte angezeigt, in dem Sie aufgefordert werden, die Azure-Sentinel-App in Ihrem Repository zu installieren. Wenn Sie über mehrere Repositorys verfügen, wählen Sie die Repositorys aus, in denen Sie die Azure-Sentinel-App installieren möchten, und installieren Sie sie.
Sie werden an GitHub weitergeleitet, um die App-Installation fortzusetzen.
Nachdem die Azure-Sentinel-App in Ihrem Repository installiert wurde, wird die Dropdownliste Branch auf der Seite Neue Bereitstellungsverbindung erstellen mit Ihren Branches aufgefüllt. Wählen Sie den Branch aus, den Sie mit Ihrem Microsoft Sentinel Arbeitsbereich verbinden möchten.
Wählen Sie in der Dropdownliste Inhaltstypen den Inhaltstyp aus, den Sie bereitstellen möchten.
Sowohl Parser als auch Hunting-Abfragen verwenden die API für gespeicherte Suchvorgänge, um Inhalte in Microsoft Sentinel bereitzustellen. Wenn Sie einen dieser Inhaltstypen auswählen und außerdem Inhalte des anderen Typs in Ihrem Branch haben, werden beide Inhaltstypen bereitgestellt.
Wenn Sie für alle anderen Inhaltstypen im Bereich Neue Bereitstellungsverbindung erstellen einen Inhaltstyp auswählen, wird nur dieser Inhalt in Microsoft Sentinel bereitgestellt. Inhalte anderer Typen werden nicht bereitgestellt.
Wählen Sie Erstellen aus, um ihre Verbindung zu erstellen. Zum Beispiel:
Nachdem Sie die Verbindung erstellt haben, wird in Ihrem Repository ein neuer Workflow oder eine neue Pipeline generiert. Die in Ihrem Repository gespeicherten Inhalte werden in Ihrem Microsoft Sentinel Arbeitsbereich bereitgestellt.
Die Bereitstellungszeit kann je nach Umfang der bereitgestellten Inhalte variieren.
Anzeigen der bereitstellungs status
In GitHub: Wählen Sie auf der Registerkarte Aktionen des Repositorys die YAML-Workflowdatei aus, um auf detaillierte Bereitstellungsprotokolle und bestimmte Fehlermeldungen zuzugreifen.
In Azure DevOps: Zeigen Sie die bereitstellungs-status auf der Registerkarte Pipelines des Repositorys an.
Nach Abschluss der Bereitstellung:
Die in Ihrem Repository gespeicherten Inhalte werden in Ihrem Microsoft Sentinel Arbeitsbereich auf der entsprechenden Microsoft Sentinel Seite angezeigt.
Die Verbindungsdetails auf der Seite Repositorys werden mit dem Link zu den Bereitstellungsprotokollen der Verbindung und dem status und dem Zeitpunkt der letzten Bereitstellung aktualisiert. Zum Beispiel:
Der Standardworkflow stellt nur Inhalte bereit, die seit der letzten Bereitstellung geändert wurden, basierend auf Commits im Repository. Sie können jedoch intelligente Bereitstellungen deaktivieren oder andere Anpassungen vornehmen. Beispielsweise können Sie verschiedene Bereitstellungstrigger konfigurieren oder Inhalte ausschließlich aus einem bestimmten Stammordner bereitstellen. Weitere Informationen finden Sie unter Anpassen von Repositorybereitstellungen.
Inhalt bearbeiten
Wenn Sie erfolgreich eine Verbindung mit Ihrem Quellcodeverwaltungsrepository herstellen, werden Ihre Inhalte in Sentinel bereitgestellt. Es wird empfohlen, Inhalte, die in einem verbundenen Repository gespeichert sind, nur im Repository und nicht in Microsoft Sentinel zu bearbeiten. Wenn Sie beispielsweise Änderungen an Ihren Analyseregeln vornehmen möchten, führen Sie dies direkt in GitHub oder Azure DevOps aus.
Wenn Sie den Inhalt stattdessen in Microsoft Sentinel bearbeiten, müssen Sie ihn in Ihr Quellcodeverwaltungsrepository exportieren, um zu verhindern, dass Ihre Änderungen bei der nächsten Bereitstellung des Repositoryinhalts in Ihrem Arbeitsbereich überschrieben werden.
Löschen von Inhalt
Wenn Sie Inhalte aus Ihrem Repository löschen, werden sie nicht aus Ihrem Microsoft Sentinel Arbeitsbereich gelöscht. Wenn Du Inhalte entfernen möchtest, die über Repositorys bereitgestellt wurden, lösche sie sowohl aus deinem Repository als auch aus Microsoft Sentinel. Legen Sie beispielsweise einen Filter für den Inhalt basierend auf dem Quellnamen fest, um die Identifizierung von Inhalten aus Repositorys zu erleichtern.
Entfernen einer Repositoryverbindung
In diesem Verfahren wird beschrieben, wie Sie die Verbindung mit einem Quellcodeverwaltungsrepository aus Microsoft Sentinel entfernen. Um Bicep-Dateien verwenden zu können, muss Ihre Repositoryverbindung neuer als der 1. November 2024 sein. Verwenden Sie dieses Verfahren, um die Verbindung zu entfernen und neu zu erstellen, um die Verbindung zu aktualisieren.
So entfernen Sie ihre Verbindung:
- Wählen Sie Microsoft Sentinel unter Inhaltsverwaltungdie Option Repositorys aus.
- Wählen Sie im Raster die Verbindung aus, die Sie entfernen möchten, und wählen Sie dann Löschen aus.
- Wählen Sie Ja aus, um den Löschvorgang zu bestätigen.
Nachdem Sie Ihre Verbindung entfernt haben, verbleiben Inhalte, die zuvor über die Verbindung bereitgestellt wurden, in Ihrem Microsoft Sentinel Arbeitsbereich. Inhalte, die dem Repository nach dem Entfernen der Verbindung hinzugefügt wurden, werden nicht bereitgestellt.
Wenn beim Löschen der Verbindung Probleme oder eine Fehlermeldung auftreten, empfiehlt es sich, die Quellcodeverwaltung zu überprüfen. Vergewissern Sie sich, dass der Der Verbindung zugeordnete GitHub-Workflow oder Azure DevOps-Pipeline gelöscht wurde.
Entfernen der Microsoft Sentinel-App aus Ihrem GitHub-Repository
Wenn Sie beabsichtigen, die Microsoft Sentinel-App aus einem GitHub-Repository zu löschen, empfiehlt es sich, zuerst alle zugehörigen Verbindungen von der Seite Microsoft Sentinel Repositorys zu entfernen.
Jede Microsoft Sentinel App-Installation verfügt über eine eindeutige ID, die sowohl beim Hinzufügen als auch Entfernen der Verbindung verwendet wird. Wenn die ID fehlt oder geändert wird, entfernen Sie die Verbindung von der Seite Microsoft Sentinel Repositorys, und entfernen Sie den Workflow manuell aus Ihrem GitHub-Repository, um zukünftige Inhaltsbereitstellungen zu verhindern.
Verwandte Inhalte
Verwenden Sie Ihre benutzerdefinierten Inhalte in Microsoft Sentinel auf die gleiche Weise wie sofort einsatzbereite Inhalte.
Weitere Informationen finden Sie unter: