Utiliser des référentiels pour le déploiement

  • 3 minutes

Lorsque vous créez du contenu personnalisé, vous pouvez le stocker et le gérer dans vos propres espaces de travail Microsoft Sentinel ou dans un référentiel externe de contrôle de code source tel que les référentiels GitHub et Azure DevOps. La gestion de votre contenu dans un référentiel externe vous permet de mettre à jour ce contenu en dehors de Microsoft Sentinel et de faire en sorte qu’il soit déployé automatiquement dans vos espaces de travail.

Prérequis et étendue

Avant de connecter votre espace de travail Microsoft Sentinel à un référentiel externe de contrôle de code source, assurez-vous de disposer de ce qui suit :

  • Accès à un référentiel GitHub ou Azure DevOps, avec tous les fichiers de contenu personnalisé que vous souhaitez déployer dans vos espaces de travail, dans des modèles Azure Resource Manager (ARM) pertinents.

    Microsoft Sentinel prend actuellement en charge uniquement les connexions aux référentiels GitHub et Azure DevOps.

  • Un rôle Propriétaire dans le groupe de ressources contenant votre espace de travail Microsoft Sentinel. Ce rôle est obligatoire pour créer la connexion entre Microsoft Sentinel et votre dépôt de contrôle de code source. Si vous ne pouvez pas utiliser le rôle Propriétaire dans votre environnement, vous pouvez à la place utiliser la combinaison des rôles Administrateur d’accès utilisateur et Contributeur Sentinel pour créer la connexion.

Nombre maximal de connexions et de déploiements

Chaque espace de travail Microsoft Sentinel est actuellement limité à cinq connexions.

L’historique de déploiement de chaque groupe de ressources Azure est limité à 800 déploiements. Si vous avez un grand nombre de déploiements de modèles ARM dans votre ou vos groupes de ressources, une erreur QuotaExceeded du déploiement peut s’afficher.

Valider votre contenu

Le déploiement de contenu sur Microsoft Sentinel via une connexion au référentiel ne valide pas ce contenu, si ce n’est pour vérifier que les données sont dans le format correct du modèle ARM.

Nous vous recommandons de valider vos modèles de contenu à l’aide de votre processus de validation normal. Vous pouvez utiliser les outils et le processus de validation GitHub de Microsoft Sentinel pour configurer votre propre processus de validation.

Connecter un référentiel

Cette procédure décrit comment connecter un référentiel GitHub ou Azure DevOps à votre espace de travail Microsoft Sentinel, où vous pouvez enregistrer et gérer votre contenu personnalisé, plutôt que dans Microsoft Sentinel.

Chaque connexion peut prendre en charge plusieurs types de contenus personnalisés, dont des règles d’analyse, des règles d’automatisation, des requêtes de chasse, des analyseurs, des playbooks et des classeurs. Pour plus d’informations, consultez À propos du contenu et des solutions Microsoft Sentinel.

Pour créer votre connexion :

  • Assurez-vous que vous êtes connecté à votre application de contrôle de code source avec les informations d’identification que vous souhaitez utiliser pour votre connexion. Si vous êtes actuellement connecté à l’aide d’autres informations d’identification, commencez par vous déconnecter.

  • Dans Microsoft Sentinel, sur la gauche, sous Gestion du contenu, sélectionnez Référentiels.

  • Sélectionnez Ajouter nouveau, puis, dans la page Créer une connexion, entrez un nom et une description explicites pour votre connexion.

  • Dans la liste déroulante Contrôle de code source, sélectionnez le type de référentiel auquel vous souhaitez vous connecter, puis choisissez Autoriser.

  • Sélectionnez l’un des onglets suivants en fonction de votre type de connexion :

GitHub

  • Lorsque vous y êtes invité, entrez vos informations d’identification GitHub.

    La première fois que vous ajoutez une connexion, une nouvelle fenêtre ou un nouvel onglet de navigateur s’affichent, vous invitant à autoriser la connexion à Microsoft Sentinel. Si vous êtes déjà connecté à votre compte GitHub sur le même navigateur, vos informations d’identification GitHub sont renseignées automatiquement.

  • Une zone Référentiel s’affiche à présent dans la page Créer une connexion, dans laquelle vous pouvez sélectionner un référentiel existant auquel vous connecter. Sélectionnez votre référentiel dans la liste, puis choisissez Ajouter un référentiel.

    La première fois que vous vous connectez à un référentiel spécifique, une nouvelle fenêtre ou un nouvel onglet de navigateur s’affichent, vous invitant à installer l’application Azure-Sentinel sur votre référentiel. Si vous avez plusieurs référentiels, sélectionnez ceux sur lesquels vous souhaitez installer l’application Azure-Sentinel, puis installez-la.

    Vous êtes redirigé vers GitHub pour continuer l’installation de l’application.

  • Une fois l’application Azure-Sentinel installée dans votre référentiel, la liste déroulante Branche dans la page Créer une connexion est remplie avec vos branches. Sélectionnez la branche que vous souhaitez connecter à votre espace de travail Microsoft Sentinel.

  • Dans la liste déroulante Types de contenus, sélectionnez le type de contenu que vous allez déployer.

    • Les analyseurs et les requêtes de chasse utilisent l’API Recherches enregistrées pour déployer du contenu sur Microsoft Sentinel. Si vous sélectionnez l’un de ces types de contenus et disposez d’un contenu de l’autre type dans votre branche, les deux types de contenus sont déployés.

    • Pour tous les autres types de contenus, la sélection d’un type de contenu dans le volet Créer une connexion a pour effet de déployer uniquement ce contenu sur Microsoft Sentinel. Le contenu des autres types n’est pas déployé.

  • Sélectionnez Créer pour créer votre connexion.

Une fois la connexion créée, un nouveau flux de travail ou pipeline est généré dans votre référentiel, et le contenu stocké dans votre référentiel est déployé sur votre espace de travail Microsoft Sentinel.

La durée du déploiement peut varier en fonction du volume du contenu que vous déployez.

Azure DevOps

  • Vous êtes automatiquement autorisé à accéder à Azure DevOps à l’aide de vos informations d’identification Azure actuelles. Pour garantir une connectivité valide, vérifiez que vous êtes autorisé à utiliser le même compte Azure DevOps que celui auquel vous vous connectez depuis Microsoft Sentinel ou utilisez une fenêtre de navigateur InPrivate pour créer votre connexion.

  • Dans Microsoft Sentinel, dans les listes déroulantes qui s’affichent, sélectionnez vos valeurs Organisation, Projet, Référentiel, Branche et Types de contenus.

    • Les analyseurs et les requêtes de chasse utilisent l’API Recherches enregistrées pour déployer du contenu sur Microsoft Sentinel. Si vous sélectionnez l’un de ces types de contenus et disposez d’un contenu de l’autre type dans votre branche, les deux types de contenus sont déployés.

    • Pour tous les autres types de contenus, la sélection d’un type de contenu dans le volet Créer une connexion a pour effet de déployer uniquement ce contenu sur Microsoft Sentinel. Le contenu des autres types n’est pas déployé.

  • Sélectionnez Créer pour créer votre connexion. Par exemple :

Une fois la connexion créée, un nouveau flux de travail ou pipeline est généré dans votre référentiel, et le contenu stocké dans votre référentiel est déployé sur votre espace de travail Microsoft Sentinel.

La durée du déploiement peut varier en fonction du volume du contenu que vous déployez.