Implementación de contenido personalizado desde el repositorio (versión preliminar pública)

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Al crear contenido personalizado, puede administrarlo desde sus propias áreas de trabajo de Microsoft Sentinel o en un repositorio de control de código fuente externo. En este artículo se explica cómo crear y administrar las conexiones entre Microsoft Sentinel y repositorios de GitHub o Azure DevOps. La administración del contenido de un repositorio externo le permite realizar actualizaciones en ese contenido fuera de Microsoft Sentinel, e implementarlo automáticamente en las áreas de trabajo. Para obtener más información, consulte Actualización de contenido personalizado con conexiones de repositorio.

Importante

• La característica Repositorios de Microsoft Sentinel se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
• Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos y ámbito

Microsoft Sentinel admite actualmente conexiones a repositorios de GitHub y Azure DevOps. Antes de conectar el área de trabajo de Microsoft Sentinel a su repositorio de control de código fuente, asegúrese de que tiene lo siguiente:

• El rol Propietario en el grupo de recursos que contiene el área de trabajo de Microsoft Sentinel o una combinación de los roles Administrador de acceso de usuario y Colaborador de Sentinel para crear la conexión
• Acceso de colaborador al repositorio de GitHub o acceso de administrador de proyectos al repositorio de Azure DevOps
• Acciones habilitadas para GitHub y la oferta Pipelines habilitada para Azure DevOps.
• Acceso a aplicaciones de terceros a través de OAuth habilitado para las directivas de conexión de aplicaciones de Azure DevOps.
• Asegúrese de que los archivos de contenido personalizado que quiera implementar en sus áreas de trabajo se encuentren en las plantillas de Azure Resource Manager (ARM) pertinentes.

Para obtener más información, consulte Validación del contenido.

Conexión de un repositorio

En este procedimiento se describe cómo conectar un repositorio de GitHub o Azure DevOps al área de trabajo de Microsoft Sentinel.

Cada conexión puede admitir varios tipos de contenido personalizado, como reglas de análisis, reglas de automatización, consultas de búsqueda, analizadores, cuadernos de estrategias y libros. Para obtener más información, vea Acerca de las soluciones y el contenido de Microsoft Sentinel.

No puede crear conexiones duplicadas con el mismo repositorio y la misma rama en una sola área de trabajo de Microsoft Sentinel.

Cree la conexión:

1. Asegúrese de que ha iniciado sesión en su aplicación de control de código fuente con las credenciales que quiere usar para la conexión. Si ha iniciado sesión con otras credenciales, primero debe cerrar sesión.

2. Para Microsoft Sentinel en el Azure Portal, en Administración de contenido, seleccione Repositorios.
   Para Microsoft Sentinel en el Portal de Defender, seleccione Administración de contenido>Microsoft Sentinel>Repositorios.

3. Seleccione Agregar nuevay, a continuación, en la página Crear nueva conexión de implementación, escriba un nombre y una descripción significativos para la conexión.

4. En la lista desplegable Control de código fuente, seleccione el tipo de repositorio al que quiere conectarse y, luego, seleccione Autorizar.

5. Seleccione una de las pestañas siguientes según su tipo de conexión:

   GitHub

   1. Escriba sus credenciales de GitHub cuando se le solicite.

      La primera vez que agregue una conexión, se le pedirá que autorice la conexión a Microsoft Sentinel. Si ya ha iniciado sesión en su cuenta de GitHub en el mismo explorador, las credenciales de GitHub se rellenan automáticamente.

   2. Ahora se muestra un área de Repositorio en la página Crear nueva conexión de implementación, donde puede seleccionar un repositorio existente al que conectarse. Seleccione un repositorio de la lista y, después, seleccione Add repository (Agregar repositorio).

      La primera vez que se conecte a un repositorio específico, se abrirá una nueva ventana o pestaña del explorador en la que se le pedirá que instale la aplicación Azure-Sentinel en el repositorio. Si tiene varios repositorios, seleccione aquellos en los que quiera instalar la aplicación Azure-Sentinel e instálela.

      Se le dirigirá a GitHub para continuar con la instalación de la aplicación.

   3. Después de instalar la aplicación deAzure-Sentinel en el repositorio, la lista desplegable Rama en la página Crear nueva conexión de implementación se rellena con las ramas. Seleccione la rama que quiere conectar al área de trabajo de Microsoft Sentinel.

   4. En la lista desplegable Tipo de contenido, seleccione el tipo de contenido que está implementando.

      • Tanto los analizadores como las consultas de búsqueda usan la API de búsquedas guardadas para implementar contenido en Microsoft Sentinel. Si selecciona uno de estos tipos de contenido y también tiene contenido del otro tipo en la rama, se implementarán ambos tipos de contenido.

      • Para todos los demás tipos de contenido, al seleccionar un tipo de contenido en el panel Crear nueva conexión de implementación solo se implementa ese contenido en Microsoft Sentinel. No se implementan los otros tipos de contenido.

   5. Seleccione Crear para crear su conexión. Por ejemplo:

      

   Azure DevOps

   Está autorizado automáticamente a que Azure DevOps use las credenciales actuales de Azure. Compruebe que está autorizado para la misma organización de Azure DevOps a la que se conecta desde Microsoft Sentinel o use una ventana del explorador InPrivate para crear la conexión.

   Debido a las limitaciones entre inquilinos, si va a crear una conexión como usuario invitado en el área de trabajo, la dirección URL de Azure DevOps no aparece en la lista desplegable. Escríbala manualmente.

   1. En Microsoft Sentinel, en las listas desplegables que aparecen, seleccione la Organización, el Proyecto, el Repositorio, la Rama y los Tipos de contenido.

      • Tanto los analizadores como las consultas de búsqueda usan la API de búsquedas guardadas para implementar contenido en Microsoft Sentinel. Si selecciona uno de estos tipos de contenido y también tiene contenido del otro tipo en la rama, se implementarán ambos tipos de contenido.

      • Para todos los demás tipos de contenido, al seleccionar un tipo de contenido en el panel Crear nueva conexión de implementación solo se implementa ese contenido en Microsoft Sentinel. No se implementan los otros tipos de contenido.

   2. Seleccione Crear para crear su conexión. Por ejemplo:

      

Después de crear la conexión, se genera un nuevo flujo de trabajo o canalización en el repositorio. El contenido almacenado en el repositorio se implementa en el área de trabajo de Microsoft Sentinel.

El tiempo de implementación puede variar en función del volumen de contenido que esté implementando.

Visualización del estado de la implementación

En GitHub: en la pestaña Acciones del repositorio. Seleccione el archivo .yaml del flujo de trabajo para acceder a los registros de implementación detallados y a los mensajes de error específicos.

En Azure DevOps: vea el estado de implementación de la pestaña Pipelines del repositorio.

Una vez finalizada la implementación:

• El contenido almacenado en el repositorio se muestra en el área de trabajo de Microsoft Sentinel, en la página de Microsoft Sentinel correspondiente.

• Los detalles de conexión de la página Repositorios se actualizan con el vínculo a los registros de implementación de la conexión y el estado y la hora de la última implementación. Por ejemplo:

  

El flujo de trabajo predeterminado solo implementa el contenido modificado desde la última implementación, en función de las confirmaciones en el repositorio. Pero es posible que quiera desactivar las implementaciones inteligentes o realizar otras personalizaciones. Por ejemplo, puede configurar distintos desencadenadores de implementación o implementar contenido exclusivamente desde una carpeta raíz específica. Para más información, consulte personalizar implementaciones de repositorio.

Editar contenido

Cuando se crea correctamente una conexión al repositorio de control de código fuente, el contenido se implementa en Sentinel. Se recomienda editar el contenido almacenado en un repositorio conectado solo en el repositorio y no en Microsoft Sentinel. Por ejemplo, para realizar cambios en las reglas de análisis, aplique dichos cambios directamente en GitHub o en Azure DevOps.

Si, en su lugar, edita el contenido en Microsoft Sentinel, asegúrese de exportarlo al repositorio de control de código fuente para evitar que los cambios se sobrescriban la próxima vez que el contenido del repositorio se implemente en el área de trabajo.

Eliminar contenido

La eliminación de contenido del repositorio no lo elimina del área de trabajo de Microsoft Sentinel. Si desea quitar el contenido que se implementó a través de repositorios, elimínelo tanto del repositorio como de Microsoft Sentinel. Por ejemplo, establezca un filtro para el contenido basado en el nombre de origen para facilitar la identificación del contenido de los repositorios.

Eliminación de la conexión a un repositorio

En este procedimiento se explica cómo quitar la conexión a un repositorio de control de código fuente desde Microsoft Sentinel.

Para quitar la conexión:

1. En Microsoft Sentinel, en Administración de contenido, seleccione Repositorios.
2. En la cuadrícula, seleccione la conexión que quiere quitar y, después, seleccione Eliminar.
3. Seleccione Sí para confirmar la eliminación.

Después de quitar la conexión, el contenido que se implementó anteriormente a través de la conexión permanece en el área de trabajo de Microsoft Sentinel. El contenido agregado al repositorio después de quitar la conexión no se implementa.

Si encuentra problemas o un mensaje de error al eliminar la conexión, se recomienda comprobar el control de código fuente. Confirme que se elimina el flujo de trabajo de GitHub o la canalización de Azure DevOps asociada a la conexión.

Eliminación de la aplicación Microsoft Sentinel del repositorio de GitHub

Si piensa eliminar la aplicación Microsoft Sentinel de un repositorio de GitHub, se recomienda quitar primero todas las conexiones asociadas desde la página Repositorios de Microsoft Sentinel.

Cada instalación de la aplicación Microsoft Sentinel tiene un identificador único que se usa al agregar y quitar la conexión. Si falta o cambia el identificador, quite la conexión de la página Repositorios de Microsoft Sentinel y quite manualmente el flujo de trabajo del repositorio de GitHub para evitar las implementaciones de contenido futuras.

Pasos siguientes

Use el contenido personalizado de Microsoft Sentinel de la misma manera que usaría el contenido de serie.

Para más información, consulte:

• Personalización de implementaciones de repositorio
• Detección e implementación de soluciones de Microsoft Sentinel (versión preliminar pública)
• Conectores de datos de Microsoft Sentinel