Condividi tramite

Gestire il contenuto personalizzato con i repository di Microsoft Sentinel (anteprima pubblica)

  • Articolo

La funzionalità repository di Microsoft Sentinel offre un'esperienza centrale per la distribuzione e la gestione del contenuto di Sentinel come codice. I repository consentono connessioni a un controllo del codice sorgente esterno per l'integrazione continua/recapito continuo (CI/CD). Questa automazione rimuove il carico dei processi manuali per aggiornare e distribuire il contenuto personalizzato tra aree di lavoro. Per altre informazioni sul contenuto di Sentinel, vedere Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.

Importante

La funzionalità Repository di Microsoft Sentinel è attualmente in ANTEPRIMA. Per altre condizioni legali che si applicano alle funzionalità di Azure in versione beta, anteprima o altrimenti non ancora rilasciate in disponibilità generale, vedere Le condizioni aggiuntive per l'uso per Microsoft Azure .

Pianificare la connessione al repository

I repository di Microsoft Sentinel richiedono una pianificazione attenta per assicurarsi di avere le autorizzazioni appropriate dall'area di lavoro al repository (repository) che si desidera connettere. Sono attualmente supportate solo le connessioni ai repository GitHub e Azure DevOps con accesso ai collaboratori. L'applicazione Microsoft Sentinel richiederà l'autorizzazione per il repository e avrà Azioni abilitate per GitHub e Pipelines abilitate per Azure DevOps.

I repository richiedono un ruolo Proprietario nel gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. Questo ruolo è necessario per creare la connessione tra Microsoft Sentinel e il repository di controllo del codice sorgente. Se non è possibile usare il ruolo Proprietario nell'ambiente, è invece possibile usare la combinazione dei ruoli Amministratore accesso utente e Collaboratore Sentinel per creare la connessione.

Se si trova contenuto in un repository pubblico in cui non si è un collaboratore, è necessario ottenere prima il contenuto nel repository. È possibile eseguire questa operazione con un'importazione, un fork o un clone del contenuto in un repository in cui si è un collaboratore. È quindi possibile connettere il repository all'area di lavoro Sentinel. Per altre informazioni, vedere Distribuire contenuto personalizzato dal repository.

Convalidare il contenuto

I tipi di contenuto di Microsoft Sentinel seguenti possono essere distribuiti tramite una connessione al repository:

  • Regole di analisi
  • Regole di automazione
  • Query di ricerca
  • Parser
  • Playbook
  • Workbooks

Suggerimento

Questo articolo non descrive come creare questi tipi di contenuto da zero. Per altre informazioni, vedere il wiki GitHub di Microsoft Sentinel pertinente per ogni tipo di contenuto.

Il contenuto dei repository deve essere archiviato come modelli di Resource Manager. La distribuzione dei repository non convalida il contenuto, tranne per confermare che sia nel formato JSON corretto.

Il primo passaggio per convalidare il contenuto consiste nel testare il contenuto all'interno di Microsoft Sentinel. È anche possibile applicare il processo di convalida e gli strumenti gitHub di Microsoft Sentinel per integrare il processo di convalida.

Un repository di esempio è disponibile con i modelli di Resource Manager per ognuno dei tipi di contenuto elencati in precedenza. Il repository illustra anche come usare funzionalità avanzate delle connessioni del repository. Per altre informazioni, vedere Esempio di repository CICD sentinel.

Screenshot di una connessione di repository riuscita. Viene visualizzato RepositorySampleContent. Questo screenshot è dopo l'importazione dell'esempio dal repository SentinelCICD a un repository GitHub privato nell'organizzazione FourthCoffee.

Connessioni e distribuzioni massime

  • Ogni area di lavoro di Microsoft Sentinel è attualmente limitata a cinque connessioni del repository.

  • Ogni gruppo di risorse di Azure è limitato a 800 distribuzioni nella cronologia della distribuzione. Se si dispone di un volume elevato di distribuzioni di modelli di Resource Manager nel gruppo di risorse, è possibile che venga visualizzato l'errore Deployment QuotaExceeded . Per altre informazioni, vedere DeploymentQuotaExceeded nella documentazione dei modelli di Azure Resource Manager.

Migliorare le prestazioni con le distribuzioni intelligenti

Suggerimento

Per garantire che le distribuzioni intelligenti funzionino in GitHub, i flussi di lavoro devono disporre delle autorizzazioni di lettura e scrittura per il repositoriy. Per altre informazioni, vedere Gestione delle impostazioni di GitHub Actions per un repository.

La funzionalità delle distribuzioni intelligenti è una funzionalità back-end che migliora le prestazioni monitorando attivamente le modifiche apportate ai file di contenuto di un repository connesso. Usa un file CSV all'interno della cartella '.sentinel' nel repository per controllare ogni commit. Il flusso di lavoro evita la ridistribuzione del contenuto che non è stato modificato dall'ultima distribuzione. Questo processo migliora le prestazioni della distribuzione e impedisce la manomissione del contenuto invariato nell'area di lavoro, ad esempio la reimpostazione delle pianificazioni dinamiche delle regole di analisi.

Le distribuzioni intelligenti sono abilitate per impostazione predefinita in connessioni appena create. Se si preferisce distribuire tutti i contenuti del controllo del codice sorgente ogni volta che viene attivata una distribuzione, indipendentemente dal fatto che il contenuto sia stato modificato o meno, è possibile modificare il flusso di lavoro per disabilitare le distribuzioni intelligenti. Per altre informazioni, vedere Personalizzare il flusso di lavoro o la pipeline.

Nota

Questa funzionalità è stata avviata in anteprima pubblica il 20 aprile 2022. Le connessioni create prima dell'avvio devono essere aggiornate o ricreate per attivare le distribuzioni intelligenti.

Prendere in considerazione le opzioni di personalizzazione della distribuzione

Sono disponibili diverse opzioni di personalizzazione per la distribuzione di contenuti con i repository di Microsoft Sentinel.

Personalizzare il flusso di lavoro o la pipeline

È possibile personalizzare il flusso di lavoro o la pipeline in uno dei modi seguenti:

  • configurare trigger di distribuzione diversi
  • distribuire il contenuto solo da una cartella radice specifica per un'area di lavoro specificata
  • pianificare l'esecuzione periodica del flusso di lavoro
  • combinare insieme diversi eventi del flusso di lavoro
  • disattivare le distribuzioni intelligenti

Queste personalizzazioni sono definite in un file con estensione yml specifico per il flusso di lavoro o la pipeline. Per altre informazioni su come implementare, vedere Personalizzare le distribuzioni di repository

Personalizzare la distribuzione

Dopo aver attivato il flusso di lavoro o la pipeline, la distribuzione supporta gli scenari seguenti:

  • priorità del contenuto da distribuire prima del resto del contenuto del repository
  • escludere il contenuto dalla distribuzione
  • specificare i file di parametri del modello di Resource Manager

Queste opzioni sono disponibili tramite una funzionalità dello script di distribuzione di PowerShell chiamato dal flusso di lavoro o dalla pipeline. Per altre informazioni su come implementare queste personalizzazioni, vedere Personalizzare le distribuzioni del repository.

Passaggi successivi

Ottenere altri esempi e istruzioni dettagliate sulla distribuzione di repository di Microsoft Sentinel.