Egyéni tartalom üzembe helyezése adattárból (nyilvános előzetes verzió)
Egyéni tartalom létrehozásakor saját Microsoft Sentinel-munkaterületekről vagy külső forrásvezérlési adattárból kezelheti. Ez a cikk bemutatja, hogyan hozhat létre és kezelhet kapcsolatokat a Microsoft Sentinel és a GitHub vagy az Azure DevOps-adattárak között. A tartalmak külső adattárban való kezelése lehetővé teszi a tartalom frissítését a Microsoft Sentinelen kívül, és automatikusan üzembe helyezhető a munkaterületeken. További információ: Egyéni tartalom frissítése adattárkapcsolatokkal.
Fontos
- A Microsoft Sentinel-adattárak funkció jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
- A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek és hatókör
A Microsoft Sentinel jelenleg támogatja a GitHub és az Azure DevOps-adattárak kapcsolatait. Mielőtt csatlakoztatja a Microsoft Sentinel-munkaterületet a forrásvezérlő adattárához, győződjön meg arról, hogy rendelkezik a következő szolgáltatással:
- Tulajdonosi szerepkör a Microsoft Sentinel-munkaterületet tartalmazó erőforráscsoportban, vagy a felhasználói hozzáférés-rendszergazdai és a Sentinel-közreműködői szerepkörök kombinációja a kapcsolat létrehozásához
- Közreműködői hozzáférés a GitHub-adattárhoz vagy a Projektadminisztrátorhoz az Azure DevOps-adattárhoz való hozzáféréshez
- Az Azure DevOpshoz engedélyezve van a GitHubon és a folyamatokban engedélyezett műveletek
- Az Azure DevOps-alkalmazáskapcsolati szabályzatokhoz engedélyezett OAuth-on keresztüli külső alkalmazáshozzáférés.
- Győződjön meg arról, hogy a munkaterületeken üzembe helyezni kívánt egyéni tartalomfájlok releváns Azure Resource Manager- (ARM-) sablonokban találhatók.
További információ: A tartalom ellenőrzése.
Adattár csatlakoztatása
Ez az eljárás azt ismerteti, hogyan csatlakoztathat GitHub- vagy Azure DevOps-adattárat a Microsoft Sentinel-munkaterülethez.
Minden kapcsolat többféle egyéni tartalmat támogat, beleértve az elemzési szabályokat, az automatizálási szabályokat, a keresési lekérdezéseket, az elemzőket, a forgatókönyveket és a munkafüzeteket. További információ: A Microsoft Sentinel tartalmai és megoldásai.
Egyetlen Microsoft Sentinel-munkaterületen nem hozhat létre több kapcsolatot ugyanazzal az adattárral és ággal.
Hozza létre a kapcsolatot:
Győződjön meg arról, hogy bejelentkezett a forrásvezérlő alkalmazásba a kapcsolathoz használni kívánt hitelesítő adatokkal. Ha jelenleg eltérő hitelesítő adatokkal jelentkezik be, először jelentkezzen ki.
Az Azure Portalon a Microsoft Sentinel esetében a Tartalomkezelés területen válassza az Adattárak lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>tartalomkezelési>adattárait.Válassza az Új hozzáadása lehetőséget, majd az Új üzembehelyezési kapcsolat létrehozása lapon adja meg a kapcsolat nevét és leírását.
A Forrásvezérlő legördülő listában válassza ki a csatlakoztatni kívánt adattár típusát, majd válassza az Engedélyezés lehetőséget.
Válassza az alábbi lapok egyikét a kapcsolat típusától függően:
Amikor a rendszer kéri, adja meg a GitHub-hitelesítő adatait.
Amikor először ad hozzá kapcsolatot, a rendszer kérni fogja, hogy engedélyezze a kapcsolatot a Microsoft Sentinelrel. Ha már bejelentkezett a GitHub-fiókjába ugyanabban a böngészőben, a Rendszer automatikusan feltölti a GitHub-hitelesítő adatait.
Ekkor megjelenik egy adattárterület az Új üzembehelyezési kapcsolat létrehozása lapon, ahol kiválaszthat egy meglévő adattárat, amelyhez csatlakozni szeretne. Válassza ki az adattárat a listából, majd válassza az Adattár hozzáadása lehetőséget.
Amikor először csatlakozik egy adott adattárhoz, megjelenik egy új böngészőablak vagy lap, amely arra kéri, hogy telepítse az Azure-Sentinel alkalmazást az adattárban. Ha több adattárral rendelkezik, jelölje ki azokat, ahol telepíteni szeretné az Azure-Sentinel alkalmazást, és telepítse azt.
A rendszer átirányítja a GitHubra az alkalmazás telepítésének folytatásához.
Miután telepítette az Azure-Sentinel alkalmazást az adattárban, az Új üzembe helyezési kapcsolat létrehozása lapon található Ág legördülő lista fel lesz töltve az ágakkal. Válassza ki a Microsoft Sentinel-munkaterülethez csatlakozni kívánt ágat.
A Tartalomtípusok legördülő listában válassza ki az üzembe helyezhető tartalom típusát.
Az elemzők és a keresési lekérdezések a Mentett keresések API-val helyezik üzembe a tartalmat a Microsoft Sentinelben. Ha kiválasztja az egyik ilyen tartalomtípust, és a másik típusú tartalom is szerepel az ágban, mindkét tartalomtípus üzembe lesz helyezve.
Az összes többi tartalomtípus esetében az Új üzembehelyezési kapcsolat létrehozása panelen kijelölt tartalomtípus csak az adott tartalmat helyezi üzembe a Microsoft Sentinelben. Más típusú tartalom nincs üzembe helyezve.
Válassza a Létrehozás lehetőséget a kapcsolat létrehozásához. Példa:
A kapcsolat létrehozása után egy új munkafolyamat vagy folyamat jön létre az adattárban. Az adattárban tárolt tartalom a Microsoft Sentinel-munkaterületen lesz üzembe helyezve.
Az üzembe helyezés időtartama a telepített tartalom mennyiségétől függően változhat.
Az üzembe helyezés állapotának megtekintése
A GitHubon: Az adattár Műveletek lapján válassza ki a munkafolyamat .yaml fájlját a részletes üzembehelyezési naplók és az esetleges hibaüzenetek eléréséhez.
Az Azure DevOpsban: Az üzembe helyezés állapotának megtekintése az adattár Folyamatok lapján.
Az üzembe helyezés befejezése után:
Az adattárban tárolt tartalom megjelenik a Microsoft Sentinel-munkaterületen, a megfelelő Microsoft Sentinel oldalon.
Az Adattárak lapon a kapcsolat részletei frissülnek a kapcsolat üzembehelyezési naplóira mutató hivatkozással, valamint az utolsó üzembe helyezés állapotával és idejével. Példa:
Az alapértelmezett munkafolyamat csak az utolsó üzembe helyezés óta módosított tartalmakat helyezi üzembe az adattárbeli véglegesítések alapján. Érdemes azonban kikapcsolni az intelligens üzembe helyezéseket, vagy más testreszabásokat végezni. Konfigurálhat például különböző üzembehelyezési eseményindítókat, vagy csak egy adott gyökérmappából telepíthet tartalmat. További információkért tekintse meg az adattárak üzembe helyezésének testreszabását.
Tartalom szerkesztése
Ha sikeresen létrehozott kapcsolatot a forrásvezérlő adattárral, a tartalom üzembe lesz helyezve a Sentinelben. Javasoljuk, hogy a csatlakoztatott adattárban tárolt tartalmakat csak az adattárban szerkessze, a Microsoft Sentinelben nem. Ha például módosítani szeretné az elemzési szabályokat, tegye ezt közvetlenül a GitHubon vagy az Azure DevOpsban.
Ha ehelyett a Microsoft Sentinelben szerkessze a tartalmat, exportálja azt a forrásvezérlő tárházába, hogy megakadályozza a módosítások felülírását az adattár tartalmának a munkaterületen való következő üzembe helyezésekor.
Tartalom törlése
Ha törli a tartalmat az adattárból, az nem törli azt a Microsoft Sentinel-munkaterületről. Ha el szeretné távolítani az adattárakon keresztül üzembe helyezett tartalmat, törölje azt az adattárból és a Microsoft Sentinelből is. Állítson be például egy szűrőt a tartalomhoz a forrásnév alapján, hogy könnyebben azonosítható legyen a tartalom az adattárakból.
Adattárkapcsolat eltávolítása
Ez az eljárás azt ismerteti, hogyan távolíthatja el a kapcsolatot egy forrásvezérlő adattárral a Microsoft Sentinelből.
A kapcsolat eltávolítása:
- A Microsoft Sentinel Tartalomkezelés területén válassza az Adattárak lehetőséget.
- A rácson válassza ki az eltávolítani kívánt kapcsolatot, majd válassza a Törlés lehetőséget.
- A törlés megerősítéséhez válassza az Igen lehetőséget.
A kapcsolat eltávolítása után a kapcsolaton keresztül korábban üzembe helyezett tartalmak a Microsoft Sentinel-munkaterületen maradnak. A kapcsolat eltávolítása után az adattárhoz hozzáadott tartalom nincs üzembe helyezve.
Ha problémákat vagy hibaüzenetet tapasztal a kapcsolat törlésekor, javasoljuk, hogy ellenőrizze a forrásvezérlőt. Ellenőrizze, hogy a GitHub-munkafolyamat vagy a kapcsolathoz társított Azure DevOps-folyamat törlődik-e.
A Microsoft Sentinel alkalmazás eltávolítása a GitHub-adattárból
Ha törölni szeretné a Microsoft Sentinel alkalmazást egy GitHub-adattárból, javasoljuk, hogy először távolítsa el az összes társított kapcsolatot a Microsoft Sentinel-adattárak oldaláról.
Minden Microsoft Sentinel-alkalmazás telepítése egyedi azonosítóval rendelkezik, amelyet a kapcsolat hozzáadásakor és eltávolításakor is használnak. Ha az azonosító hiányzik vagy módosult, távolítsa el a kapcsolatot a Microsoft Sentinel-adattárak oldaláról, és manuálisan távolítsa el a munkafolyamatot a GitHub-adattárból, hogy megakadályozza a jövőbeli tartalomtelepítéseket.
Következő lépések
Az egyéni tartalmakat a Microsoft Sentinelben ugyanúgy használhatja, mint a beépített tartalmakat.
További információk: