Déployer du contenu personnalisé à partir de votre référentiel (préversion publique)
Lorsque vous créez du contenu personnalisé, vous pouvez le gérer à partir de vos propres espaces de travail Microsoft Sentinel ou d’un référentiel externe de contrôle de code source. Cet article explique comment créer et gérer des connexions entre Microsoft Sentinel et des référentiels GitHub ou Azure DevOps. La gestion de votre contenu dans un référentiel externe vous permet de mettre à jour ce contenu en dehors de Microsoft Sentinel et de faire en sorte qu’il soit déployé automatiquement dans vos espaces de travail. Pour plus d’informations, consultez Mettre à jour du contenu personnalisé à l’aide des connexions aux référentiels.
Important
- La fonctionnalité Référentiels de Microsoft Sentinel est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
- Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel sur le portail Microsoft Defender.
Prérequis et étendue
Microsoft Sentinel prend actuellement en charge les connexions aux référentiels GitHub et Azure DevOps. Avant de connecter votre espace de travail Microsoft Sentinel à un référentiel de contrôle de code source, assurez-vous que vous disposez de ce qui suit :
- Rôle Propriétaire dans le groupe de ressources auquel appartient votre espace de travail Microsoft Sentinel ou combinaison des rôles Administrateur de l’accès utilisateur et Contributeur Sentinel pour créer la connexion
- Accès collaborateur à votre référentiel GitHub ou accès administrateur de projet à votre référentiel Azure DevOps
- Actions activées pour GitHub et Pipelines activés pour Azure DevOps
- Accès aux applications tierces via OAuth activé pour les stratégies de connexion d’application Azure DevOps.
- Vérifiez que les fichiers de contenu personnalisé que vous souhaitez déployer dans vos espaces de travail se trouvent dans les modèles Azure Resource Manager (ARM) pertinents.
Pour plus d’informations, consultez Valider votre contenu.
Connecter un référentiel
Cette procédure explique comment connecter une base de données de référentiel à GitHub ou Azure DevOps à votre espace de travail Microsoft Sentinel.
Chaque connexion peut prendre en charge plusieurs types de contenus personnalisés, dont des règles d’analyse, des règles d’automatisation, des requêtes de chasse, des analyseurs, des playbooks et des classeurs. Pour plus d’informations, consultez À propos du contenu et des solutions Microsoft Sentinel.
Vous ne pouvez pas créer de connexions en double avec les mêmes référentiel et branche dans un espace de travail Microsoft Sentinel unique.
Créez votre connexion :
Assurez-vous que vous êtes connecté à votre application de contrôle de code source avec les informations d’identification que vous souhaitez utiliser pour votre connexion. Si vous êtes actuellement connecté à l’aide d’autres informations d’identification, commencez par vous déconnecter.
Dans Microsoft Sentinel, sur le Portail Azure, sous Gestion du contenu, sélectionnez Référentiels.
Pour Microsoft Sentinel, sur le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Référentiels.Sélectionnez Ajouter nouveau, puis, sur la page Créer une nouvelle connexion de déploiement, entrez un nom et une description explicites pour votre connexion.
Dans la liste déroulante Contrôle de code source, sélectionnez le type de référentiel auquel vous souhaitez vous connecter, puis choisissez Autoriser.
Sélectionnez l’un des onglets suivants en fonction de votre type de connexion :
Lorsque vous y êtes invité, entrez vos informations d’identification GitHub.
La première fois que vous ajoutez une connexion, vous êtes invité à autoriser la connexion à Microsoft Sentinel. Si vous êtes déjà connecté à votre compte GitHub sur le même navigateur, vos informations d’identification GitHub sont renseignées automatiquement.
Une zone Référentiel s’affiche à présent sur la page Créer une nouvelle connexion de déploiement. Vous pouvez y sélectionner un référentiel existant auquel vous connecter. Sélectionnez votre référentiel dans la liste, puis choisissez Ajouter un référentiel.
La première fois que vous vous connectez à un référentiel spécifique, une nouvelle fenêtre ou un nouvel onglet de navigateur s’affichent, vous invitant à installer l’application Azure-Sentinel sur votre référentiel. Si vous avez plusieurs référentiels, sélectionnez ceux sur lesquels vous souhaitez installer l’application Azure-Sentinel, puis installez-la.
Vous êtes redirigé vers GitHub pour continuer l’installation de l’application.
Une fois l’application Azure Sentinel installée dans votre référentiel, le menu déroulant Branche sur la page Créer une nouvelle connexion de déploiement est remplie avec vos branches. Sélectionnez la branche que vous souhaitez connecter à votre espace de travail Microsoft Sentinel.
Dans le menu déroulant Types de contenus, sélectionnez le type de contenu que vous allez déployer.
Les analyseurs et les requêtes de chasse utilisent l’API Recherches enregistrées pour déployer du contenu sur Microsoft Sentinel. Si vous sélectionnez l’un de ces types de contenus et disposez d’un contenu de l’autre type dans votre branche, les deux types de contenus sont déployés.
Pour tous les autres types de contenus, la sélection d’un type de contenu dans le volet Créer une nouvelle connexion de déploiement a pour effet de déployer uniquement ce contenu sur Microsoft Sentinel. Le contenu des autres types n’est pas déployé.
Sélectionnez Créer pour créer votre connexion. Par exemple :
Une fois la connexion créée, un nouveau flux de travail ou pipeline est généré dans votre référentiel. Le contenu stocké dans votre référentiel est déployé sur votre espace de travail Microsoft Sentinel.
La durée du déploiement peut varier en fonction du volume du contenu que vous déployez.
Visualiser l’état du déploiement
Dans GitHub: sous l’onglet Actions du référentiel, sélectionnez le fichier .yaml de flux de travail pour accéder aux journaux de déploiement détaillés et à tous les messages d’erreur spécifiques.
Dans Azure DevOps: affichez l’état du déploiement à partir de l’onglet Pipelines du référentiel.
Une fois le déploiement terminé :
Le contenu stocké dans votre référentiel s’affiche dans votre espace de travail Microsoft Sentinel, dans la page Microsoft Sentinel correspondante.
Les détails de connexion de la page Référentiels sont mis à jour avec le lien vers les journaux de déploiement de la connexion et l’état et l’heure du dernier déploiement. Par exemple :
Le workflow par défaut déploie uniquement le contenu qui a été modifié depuis le dernier déploiement en fonction des commits dans le référentiel. Cependant, vous souhaitez peut-être désactiver les déploiements intelligents ou effectuer d’autres personnalisations. Par exemple, vous pouvez configurer différents déclencheurs de déploiement, ou déployer du contenu exclusivement à partir d’un dossier racine spécifique. Pour en savoir plus, consultez Personnaliser les déploiements de référentiels.
Modifier le contenu
Quand vous créez une connexion à votre référentiel de contrôle de code source, votre contenu est déployé sur Sentinel. Nous vous recommandons de modifier le contenu stocké dans un référentiel connecté seulement dans le référentiel, et non pas dans Microsoft Sentinel. Par exemple, pour apporter des modifications à vos règles d’analyse, faites-le directement dans GitHub ou Azure DevOps.
Si au lieu de cela vous avez modifié le contenu dans Microsoft Sentinel, veillez à l’exporter vers votre référentiel de contrôle de code source pour éviter que vos modifications soient remplacées lors du déploiement suivant du contenu du référentiel sur votre espace de travail.
Supprimer du contenu
La suppression de contenu de votre référentiel ne le supprime pas de votre espace de travail Microsoft Sentinel. Si vous souhaitez supprimer du contenu déployé par l’intermédiaire de référentiels, veillez à le supprimer à la fois de votre référentiel et de Microsoft Sentinel. Par exemple, définissez un filtre pour le contenu en fonction du nom de la source afin de faciliter l’identification de ce contenu dans les référentiels.
Supprimer une connexion de référentiel
Cette procédure décrit comment supprimer la connexion à un référentiel de contrôle de code source à partir de Microsoft Sentinel.
Pour supprimer votre connexion :
- Dans Microsoft Sentinel, sous Gestion du contenu, sélectionnez Référentiels.
- Dans la grille, sélectionnez la connexion que vous souhaitez supprimer, puis choisissez Supprimer.
- Sélectionnez Oui pour confirmer la suppression.
Une fois que vous avez supprimé votre connexion, le contenu précédemment déployé via la connexion reste dans votre espace de travail Microsoft Sentinel. Le contenu ajouté au référentiel après la suppression de la connexion n’est pas déployé.
Si vous rencontrez des problèmes ou un message d’erreur lorsque vous supprimez votre connexion, nous vous recommandons de vérifier votre contrôle de code source. Vérifiez que le flux de travail GitHub ou le pipeline Azure DevOps associé à la connexion est supprimé.
Suppression de l’application Microsoft Sentinel de votre référentiel GitHub
Si vous envisagez de supprimer l’application Microsoft Sentinel d’un référentiel GitHub, nous vous recommandons de supprimer d’abord toutes les connexions associées de la page Référentiels de Microsoft Sentinel.
Chaque installation de l’application Microsoft Sentinel a un ID unique qui est utilisé lors de l’ajout et de la suppression de la connexion. Si l’ID est manquant ou a été modifié, vous devez supprimer la connexion de la page Référentiels de Microsoft Sentinel et supprimer manuellement le flux de travail de votre référentiel GitHub pour empêcher tout déploiement ultérieur du contenu.
Étapes suivantes
Utilisez votre contenu personnalisé dans Microsoft Sentinel de la même façon que vous utilisez du contenu prêt à l’emploi.
Pour plus d'informations, consultez les pages suivantes :