Déployer du contenu en tant que code à partir de votre référentiel (préversion)

S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Lorsque vous créez du contenu personnalisé, vous pouvez le gérer à partir de vos propres espaces de travail Microsoft Sentinel ou d’un référentiel de contrôle de code source externe. Cet article explique comment créer et gérer des connexions entre des dépôts Microsoft Sentinel et GitHub ou Azure DevOps. La gestion de votre contenu dans un référentiel externe vous permet d’effectuer des mises à jour de ce contenu en dehors de Microsoft Sentinel et de le déployer automatiquement dans vos espaces de travail. Pour plus d’informations, consultez Mettre à jour du contenu personnalisé avec des connexions de référentiel.

Importante

La fonctionnalité Dépôts Microsoft Sentinel est actuellement en préversion. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender. Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Configuration requise

Microsoft Sentinel prend actuellement en charge les connexions aux référentiels GitHub et Azure DevOps. Avant de connecter votre espace de travail Microsoft Sentinel à votre référentiel de contrôle de code source, assurez-vous que :

Vous disposez d’un rôle Propriétaire dans le groupe de ressources qui contient votre espace de travail Microsoft Sentinel
Les fichiers de contenu personnalisés que vous souhaitez déployer dans vos espaces de travail sont dans un format pris en charge. Pour connaître les formats pris en charge, consultez Planifier le contenu de votre dépôt.
Le compte que vous utilisez pour créer la connexion se trouve dans votre locataire d’origine. Les identités externes, telles que les comptes invités B2B, et l’accès délégué ne sont pas prises en charge.

Conditions préalables à GitHub
Azure prérequis DevOps

Accès collaborateur à votre dépôt GitHub
Actions activées pour GitHub et Pipelines activés pour Azure DevOps

Pour plus d’informations sur les types de contenu déployables, consultez Planifier le contenu de votre dépôt.

Connecter un dépôt

Cette procédure explique comment connecter un dépôt GitHub ou Azure DevOps à votre espace de travail Microsoft Sentinel.

Chaque connexion peut prendre en charge plusieurs types de contenu personnalisé, notamment les règles d’analyse, les règles d’automatisation, les requêtes de chasse, les analyseurs, les playbooks et les classeurs. Pour plus d’informations, consultez À propos Microsoft Sentinel contenu et solutions.

Vous ne pouvez pas créer de connexions en double, avec le même dépôt et la même branche, dans un espace de travail Microsoft Sentinel unique.

Créez votre connexion :

Vérifiez que vous êtes connecté à votre application de contrôle de code source avec les informations d’identification que vous souhaitez utiliser pour votre connexion. Si vous êtes actuellement connecté à l’aide d’informations d’identification différentes, déconnectez-vous d’abord.
Pour Microsoft Sentinel dans le Portail Azure, sous Gestion du contenu, sélectionnez Référentiels.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Référentiels de gestion de>contenu.
Sélectionnez Ajouter nouveau, puis, dans la page Créer une connexion de déploiement , entrez un nom et une description explicites pour votre connexion.
Dans la liste déroulante Contrôle de code source, sélectionnez le type de dépôt auquel vous souhaitez vous connecter, puis sélectionnez Autoriser.
Sélectionnez l’un des onglets suivants, en fonction de votre type de connexion :
- GitHub
- Azure DevOps
1. Entrez vos informations d’identification GitHub lorsque vous y êtes invité.
  
  La première fois que vous ajoutez une connexion, vous êtes invité à autoriser la connexion à Microsoft Sentinel. Si vous êtes déjà connecté à votre compte GitHub sur le même navigateur, vos informations d’identification GitHub sont renseignées automatiquement.
2. Une zone Dépôt s’affiche désormais dans la page Créer une connexion de déploiement , où vous pouvez sélectionner un dépôt existant auquel vous connecter. Sélectionnez votre dépôt dans la liste, puis sélectionnez Ajouter un référentiel.
  
  La première fois que vous vous connectez à un dépôt spécifique, une nouvelle fenêtre ou un nouvel onglet de navigateur s’affiche, vous invitant à installer l’application Azure-Sentinel sur votre dépôt. Si vous avez plusieurs dépôts, sélectionnez ceux où vous souhaitez installer l’application Azure-Sentinel, puis installez-la.
  
  Vous êtes dirigé vers GitHub pour poursuivre l’installation de l’application.
3. Une fois l’application Azure Sentinel installée dans votre dépôt, la liste déroulante Branche de la page Créer une connexion de déploiement est remplie avec vos branches. Sélectionnez la branche que vous souhaitez connecter à votre espace de travail Microsoft Sentinel.
4. Dans la liste déroulante Types de contenu, sélectionnez le type de contenu que vous déployez.
  - Les analyseurs et les requêtes de repérage utilisent l’API Recherches enregistrées pour déployer du contenu sur Microsoft Sentinel. Si vous sélectionnez l’un de ces types de contenu et que vous avez également du contenu de l’autre type dans votre branche, les deux types de contenu sont déployés.
  - Pour tous les autres types de contenu, la sélection d’un type de contenu dans le volet Créer une connexion de déploiement déploie uniquement ce contenu sur Microsoft Sentinel. Le contenu d’autres types n’est pas déployé.
5. Sélectionnez Créer pour créer votre connexion. Par exemple :
Vous êtes automatiquement autorisé à Azure DevOps à l’aide de vos informations d’identification Azure actuelles. Vérifiez que vous êtes autorisé à accéder au même Azure locataire DevOps auquel vous vous connectez à partir de Microsoft Sentinel ou utilisez une fenêtre de navigateur InPrivate pour créer votre connexion.
1. Dans Microsoft Sentinel, dans les listes déroulantes qui s’affichent, sélectionnez votre organisation, projet, dépôt, branche et types de contenu.
  - Les analyseurs et les requêtes de repérage utilisent l’API Recherches enregistrées pour déployer du contenu sur Microsoft Sentinel. Si vous sélectionnez l’un de ces types de contenu et que vous avez également du contenu de l’autre type dans votre branche, les deux types de contenu sont déployés.
  - Pour tous les autres types de contenu, la sélection d’un type de contenu dans le volet Créer une connexion de déploiement déploie uniquement ce contenu sur Microsoft Sentinel. Le contenu d’autres types n’est pas déployé.
2. Sélectionnez Créer pour créer votre connexion. Par exemple :

Après avoir créé la connexion, un nouveau workflow ou pipeline est généré dans votre dépôt. Le contenu stocké dans votre dépôt est déployé dans votre espace de travail Microsoft Sentinel.

Le temps de déploiement peut varier en fonction du volume de contenu que vous déployez.

Afficher le status de déploiement

Dans GitHub : sous l’onglet Actions du dépôt, sélectionnez le fichier .yaml du flux de travail pour accéder aux journaux de déploiement détaillés et aux messages d’erreur spécifiques.

Dans Azure DevOps : affichez les status de déploiement à partir de l’onglet Pipelines du dépôt.

Une fois le déploiement terminé :

Le contenu stocké dans votre dépôt s’affiche dans votre espace de travail Microsoft Sentinel, dans la page Microsoft Sentinel appropriée.
Les détails de connexion dans la page Référentiels sont mis à jour avec le lien vers les journaux de déploiement de la connexion et les status et l’heure du dernier déploiement. Par exemple :

Le workflow par défaut déploie uniquement le contenu modifié depuis le dernier déploiement en fonction des validations dans le référentiel. Toutefois, vous pouvez désactiver les déploiements intelligents ou effectuer d’autres personnalisations. Par exemple, vous pouvez configurer différents déclencheurs de déploiement ou déployer du contenu exclusivement à partir d’un dossier racine spécifique. Pour plus d’informations, consultez Personnaliser les déploiements de référentiels.

Modifier le contenu

Lorsque vous créez correctement une connexion à votre référentiel de contrôle de code source, votre contenu est déployé sur Sentinel. Nous vous recommandons de modifier le contenu stocké dans un référentiel connecté uniquement dans le référentiel, et non dans Microsoft Sentinel. Par exemple, pour apporter des modifications à vos règles d’analyse, faites-le directement dans GitHub ou Azure DevOps.

Si vous modifiez plutôt le contenu dans Microsoft Sentinel, veillez à l’exporter vers votre référentiel de contrôle de code source pour éviter que vos modifications ne soient remplacées la prochaine fois que le contenu du dépôt est déployé dans votre espace de travail.

Supprimer un contenu

La suppression de contenu de votre dépôt ne le supprime pas de votre espace de travail Microsoft Sentinel. Si vous souhaitez supprimer le contenu qui a été déployé via des dépôts, supprimez-le de votre dépôt et Microsoft Sentinel. Par exemple, définissez un filtre pour le contenu basé sur le nom de la source afin de faciliter l’identification du contenu à partir des référentiels.

Capture d’écran des règles d’analyse filtrées par nom de source des dépôts.

Supprimer une connexion de dépôt

Cette procédure explique comment supprimer la connexion à un référentiel de contrôle de code source de Microsoft Sentinel. Pour utiliser des fichiers Bicep, votre connexion au dépôt doit être plus récente que le 1er novembre 2024. Utilisez cette procédure pour supprimer la connexion et la recréer afin de mettre à jour la connexion.

Pour supprimer votre connexion :

Dans Microsoft Sentinel, sous Gestion du contenu, sélectionnez Référentiels.
Dans la grille, sélectionnez la connexion que vous souhaitez supprimer, puis sélectionnez Supprimer.
Sélectionnez Oui pour confirmer la suppression.

Une fois que vous avez supprimé votre connexion, le contenu précédemment déployé via la connexion reste dans votre espace de travail Microsoft Sentinel. Le contenu ajouté au référentiel après la suppression de la connexion n’est pas déployé.

Si vous rencontrez des problèmes ou un message d’erreur lorsque vous supprimez votre connexion, nous vous recommandons de case activée votre contrôle de code source. Vérifiez que le workflow GitHub ou Azure pipeline DevOps associé à la connexion est supprimé.

Supprimer l’application Microsoft Sentinel de votre dépôt GitHub

Si vous envisagez de supprimer l’application Microsoft Sentinel d’un dépôt GitHub, nous vous recommandons de supprimer d’abord toutes les connexions associées de la page Dépôts Microsoft Sentinel.

Chaque installation d’application Microsoft Sentinel a un ID unique qui est utilisé lors de l’ajout et de la suppression de la connexion. Si l’ID est manquant ou modifié, supprimez la connexion de la page Référentiels Microsoft Sentinel et supprimez manuellement le flux de travail de votre dépôt GitHub pour empêcher tout déploiement de contenu ultérieur.

Utilisez votre contenu personnalisé dans Microsoft Sentinel de la même façon que vous utiliseriez du contenu prête à l’emploi.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-23