Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel référentiels vous permettent de déployer et de gérer du contenu Sentinel personnalisé à partir d’un référentiel de contrôle de code source externe pour l’intégration continue/livraison continue (CI/CD). Cette automatisation supprime le besoin de processus manuels pour mettre à jour et déployer votre contenu personnalisé dans les espaces de travail. Un sous-ensemble du contenu en tant que code est les détections en tant que code (DaC). Microsoft Sentinel Repositories implémente également DaC.
Pour plus d’informations sur le contenu Sentinel, consultez À propos du contenu et des solutions Microsoft Sentinel.
Important
La fonctionnalité Microsoft Sentinel Repositories est actuellement disponible dans PREVIEW. Consultez les conditions d'utilisation supplémentaires pour les préversions Microsoft Azure pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en bêta, en préversion, ou qui ne sont pas encore publiées dans le cadre de la disponibilité générale.
Fonctionnement des référentiels Microsoft Sentinel
Vous pouvez déployer ces Microsoft Sentinel types de contenu personnalisés à partir d’un référentiel de contrôle de code source externe auquel vous vous connectez à Microsoft Sentinel :
- Règles analytiques
- Règles d’automatisation
- Requêtes de chasse
- Analyseurs
- Playbooks
- Cahiers d'exercices
Les mises à jour apportées au contenu dans vos référentiels de Microsoft Sentinel sont synchronisées avec votre espace de travail Microsoft Sentinel et remplacent les modifications que vous apportez à ce contenu via le portail Microsoft Sentinel. Vos dépôts Microsoft Sentinel deviennent votre « source unique de vérité » pour le contenu personnalisé dans les espaces de travail connectés.
Planifier la connexion de votre référentiel
Les dépôts Microsoft Sentinel nécessitent une planification minutieuse pour vous assurer que vous disposez des autorisations appropriées depuis votre espace de travail vers le dépôt que vous souhaitez connecter.
- Seules les connexions aux référentiels GitHub et Azure DevOps sont prises en charge.
- L’accès des collaborateurs à votre dépôt GitHub ou à l’administrateur de projet à votre référentiel de Azure DevOps est requis.
- L’application Microsoft Sentinel a besoin d’une autorisation pour votre dépôt.
- Les actions doivent être activées pour GitHub.
- Les pipelines doivent être activés pour Azure DevOps.
- Une connexion Azure DevOps doit se trouver dans le même locataire que votre espace de travail Microsoft Sentinel.
La création d’une connexion à un référentiel nécessite un rôle Owner dans le groupe de ressources qui contient votre espace de travail Microsoft Sentinel.
Si vous trouvez du contenu dans un référentiel public où vous n’êtes pas contributeur, commencez par importer, dupliquer (fork) ou cloner le contenu dans un référentiel où vous êtes contributeur. Connectez ensuite votre dépôt à votre espace de travail Microsoft Sentinel. Pour plus d’informations, consultez Déployer du contenu personnalisé à partir de votre référentiel.
Nombre maximal de connexions et de déploiements
- Chaque espace de travail Microsoft Sentinel est actuellement limité à cinq connexions de référentiel.
- Chaque groupe de ressources Azure est limité à 800 déploiements dans son historique de déploiement. Si vous avez un grand nombre de déploiements de modèles dans un ou plusieurs de vos groupes de ressources, vous risquez de voir l’erreur
Deployment QuotaExceeded. Pour plus d’informations, consultez DeploymentQuotaExceeded dans la documentation des modèles Azure Resource Manager.
Planifier le contenu de votre référentiel
Microsoft Sentinel dépôts prennent en charge le déploiement de contenu que vous stockez sous forme de fichiers Bicep ou de modèles Azure Resource Manager (ARM). Nous vous recommandons d’utiliser Bicep, ce qui est plus intuitif et facilite la description des ressources Azure et du contenu Microsoft Sentinel.
Le modèle pour chaque type de contenu a une structure et un nom de paramètre spécifiques, comme documenté dans la référence du modèle de ressources Sentinel. Pour obtenir des exemples de chaque type de contenu, consultez RepositoriesSampleContent repository.
Nous avons fourni un exemple de référentiel avec des modèles pour chacun des types de contenu répertoriés. Le référentiel montre également comment utiliser des fonctionnalités avancées des connexions de référentiel. Pour plus d’informations, consultez Microsoft Sentinel exemple de référentiels CI/CD.
Bien que vous puissiez créer des modèles à partir de zéro, il est souvent plus facile de commencer à partir des fichiers YAML du référentiel Sentinel Public GitHub ou du contenu Microsoft Sentinel prête à l'emploi. Ce tableau explique comment convertir un modèle ARM à utiliser avec Microsoft Sentinel Référentiels.
| Type de contenu | Convertir à partir du YAML Sentinel public | Exporter à partir de Sentinel | Référence du modèle | Exemples de modèles |
|---|---|---|---|---|
| Règles analytiques | script PowerShell | fonctionnalité Export ou PowerShell script | Référence | modèles ARM |
| Règles d’automatisation | N/A | Fonctionnalité d'exportation ou scripts PowerShell | Référence | N/A |
| Requêtes de détection | script PowerShell | commandes Azure CLI | Référence | Exemple de contenu |
| Analyseurs | script ASIM PowerShell | commandes Azure CLI | Référence | Templates |
| Playbooks | N/A | utilitaire PowerShell | Référence | N/A |
| Workbooks | N/A | Exporter des classeurs sous forme de modèles ARM | Référence | N/A |
Important
considérations Bicep :
- Pour utiliser les fichiers Bicep, votre connexion aux référentiels doit être mise à jour si votre connexion a été créée avant le 1er novembre 2024. Les connexions aux référentiels doivent être supprimées et recréées afin de les mettre à jour.
- Les fichiers Bicep ne prennent pas en charge la propriété
id. Lorsque vous décompilez ARM JSON sur Bicep, vérifiez que vous n'avez pas cette propriété. Par exemple, les modèles de règle analytique exportés à partir de Microsoft Sentinel ont la propriétéidqui a besoin de la suppression. - Remplacez le schéma ARM JSON par la version
2019-04-01pour obtenir des résultats optimaux lors de la décompilation.
Important
Les règles analytiques déployées à l’aide de la fonctionnalité Microsoft Sentinel Repositories peuvent utiliser des requêtes inter-espaces de travail uniquement si l’espace de travail de destination se trouve dans le même groupe de ressources que l’espace de travail connecté au référentiel.
Pour plus d’informations sur la création de contenu personnalisé à partir de zéro, consultez le Microsoft Sentinel GitHub wiki approprié pour chaque type de contenu.
Améliorer les performances avec des déploiements intelligents
Conseil
Pour garantir que les déploiements intelligents fonctionnent dans GitHub, les flux de travail doivent disposer d’autorisations de lecture et d’écriture sur votre référentiel. Pour plus d’informations, consultez Paramètres de GitHub Actions de gestion d’un référentiel.
Les déploiements intelligents constituent une fonctionnalité back-end qui améliore les performances des déploiements en effectuant activement le suivi des modifications apportées aux fichiers de contenu d’un référentiel connecté. Elle utilise un fichier CSV dans le dossier .sentinel de votre référentiel pour auditer chaque validation. Le workflow évite de redéployer du contenu qui n’a pas été modifié depuis le dernier déploiement. Ce processus améliore les performances de votre déploiement et empêche l’altération du contenu inchangé de votre espace de travail, comme la réinitialisation des programmes dynamiques de vos règles d’analyse.
Les déploiements intelligents sont activés par défaut sur les connexions nouvellement créées. Si vous préférez que tout le contenu du contrôle de code source soit déployé chaque fois qu’un déploiement est déclenché, que ce contenu ait été modifié ou non, modifiez votre workflow pour désactiver les déploiements intelligents. Pour plus d’informations, consultez Personnaliser le workflow ou pipeline.
Envisager des options de personnalisation du déploiement
Tenez compte des options de personnalisation suivantes lors du déploiement de contenu avec des référentiels Microsoft Sentinel.
Personnaliser le workflow ou le pipeline
Personnalisez le workflow ou le pipeline de l’une des façons suivantes :
- configurer des déclencheurs de déploiement différents
- déployer du contenu uniquement à partir d’un dossier racine spécifique pour un espace de travail donné
- planifier l’exécution périodique du workflow
- combiner différents événements de workflow
- désactiver les déploiements intelligents
Ces personnalisations sont définies dans un fichier.yml spécifique à votre workflow ou pipeline. Pour plus d’informations sur l’implémentation, consultez Personnaliser les déploiements de référentiels.
Personnalisation du déploiement
Une fois le workflow ou pipeline déclenché, le déploiement prend en charge les scénarios suivants :
- hiérarchiser le contenu à déployer avant le reste du contenu du référentiel
- exclure du contenu du déploiement
- spécifier des fichiers de paramètres de modèle ARM
Ces options sont disponibles via une fonctionnalité du script de déploiement PowerShell appelé à partir du workflow ou du pipeline. Pour plus d’informations sur l’implémentation de ces personnalisations, consultez Personnaliser les déploiements de référentiels.
Gérer les référentiels Microsoft Sentinel à l’aide de l’API
Pour plus d’informations sur la gestion des référentiels Microsoft Sentinel à l’aide de l’API, consultez les actions Source Control et Source Controls dans l’API REST Microsoft Sentinel.
Important
À compter de June 1, 2026, les anciennes versions d’API utilisées par les référentiels Microsoft Sentinel ne seront plus prises en charge. Si vous utilisez des API pour créer et gérer des connexions de référentiel, passez à l’API version 2025-09-01, 2025-06-01 ou 2025-07-01-preview avant le 1er juin 2026 pour éviter les interruptions de service. Les connexions de référentiel existantes ne sont pas affectées.
Étapes suivantes
Obtenez d’autres exemples et des instructions pas à pas sur le déploiement de référentiels Microsoft Sentinel.