Distribuire il contenuto come codice dal repository (anteprima)

Quando si crea contenuto personalizzato, è possibile gestirlo dalle proprie aree di lavoro Microsoft Sentinel o da un repository di controllo del codice sorgente esterno. Questo articolo descrive come creare e gestire connessioni tra Microsoft Sentinel e GitHub o Azure repository DevOps. La gestione del contenuto in un repository esterno consente di eseguire aggiornamenti al di fuori di Microsoft Sentinel e di distribuirlo automaticamente nelle aree di lavoro. Per altre informazioni, vedere Aggiornare il contenuto personalizzato con le connessioni al repository.

Importante

• La funzionalità Microsoft Sentinel Repository è attualmente disponibile in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.
• Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono caricati e reindirizzati automaticamente al portale di Defender. Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: Ritiro della portale di Azure di Microsoft Sentinel per una maggiore sicurezza.

Prerequisiti

Microsoft Sentinel attualmente supporta le connessioni a GitHub e Azure repository DevOps. Prima di connettere l'area di lavoro Microsoft Sentinel al repository del controllo del codice sorgente, assicurarsi che:

• Si dispone di un ruolo proprietario nel gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel
• I file di contenuto personalizzati da distribuire nelle aree di lavoro sono in un formato supportato. Per i formati supportati, vedere Pianificare il contenuto del repository.
• L'account usato per creare la connessione si trova nel tenant principale. Le identità esterne, ad esempio gli account guest B2B e l'accesso delegato, non sono supportate.

Prerequisiti di GitHub

• Accesso dei collaboratori al repository GitHub
• Azioni abilitate per GitHub e Pipeline abilitate per Azure DevOps

prerequisiti Azure DevOps

• Accesso dell'amministratore di progetto al repository DevOps Azure
• Accesso alle applicazioni di terze parti tramite OAuth abilitato per Azure criteri di connessione dell'applicazione DevOps.
• Una connessione Azure DevOps nello stesso tenant dell'area di lavoro Microsoft Sentinel

Per altre informazioni sui tipi di contenuto distribuibili, vedere Pianificare il contenuto del repository.

Connettere un repository

Questa procedura descrive come connettere un repository GitHub o Azure DevOps all'area di lavoro Microsoft Sentinel.

Ogni connessione può supportare più tipi di contenuto personalizzato, tra cui regole di analisi, regole di automazione, query di ricerca, parser, playbook e cartelle di lavoro. Per altre informazioni, vedere Informazioni sul contenuto e sulle soluzioni Microsoft Sentinel.

Non è possibile creare connessioni duplicate, con lo stesso repository e ramo, in una singola area di lavoro Microsoft Sentinel.

Creare la connessione:

1. Assicurarsi di aver eseguito l'accesso all'app di controllo del codice sorgente con le credenziali da usare per la connessione. Se si è attualmente connessi usando credenziali diverse, disconnettersi per primo.

2. Per Microsoft Sentinel nel portale di Azure, in Gestione contenuto selezionare Repository.
   Per Microsoft Sentinel nel portale di Defender selezionare Microsoft Sentinel> Repository di gestione>dei contenuti.

3. Selezionare Aggiungi nuovo e quindi nella pagina Crea nuova connessione di distribuzione immettere un nome e una descrizione significativi per la connessione.

4. Nell'elenco a discesa Controllo del codice sorgente selezionare il tipo di repository a cui connettersi e quindi selezionare Autorizza.

5. Selezionare una delle schede seguenti, a seconda del tipo di connessione:

   GitHub

   1. Immettere le credenziali di GitHub quando richiesto.

      La prima volta che si aggiunge una connessione, viene richiesto di autorizzare la connessione a Microsoft Sentinel. Se si è già connessi all'account GitHub nello stesso browser, le credenziali di GitHub vengono popolate automaticamente.

   2. Un'area Repository viene ora visualizzata nella pagina Crea nuova connessione di distribuzione , in cui è possibile selezionare un repository esistente a cui connettersi. Selezionare il repository nell'elenco e quindi selezionare Aggiungi repository.

      La prima volta che ci si connette a un repository specifico, viene visualizzata una nuova finestra o scheda del browser che richiede di installare l'app Azure-Sentinel nel repository. Se sono presenti più repository, selezionare quelli in cui si vuole installare l'app Azure-Sentinel e installarla.

      Si viene indirizzati a GitHub per continuare l'installazione dell'app.

   3. Dopo aver installato l'app Azure-Sentinel nel repository, l'elenco a discesa Branch nella pagina Crea nuova connessione di distribuzione viene popolato con i rami. Selezionare il ramo da connettere all'area di lavoro Microsoft Sentinel.

   4. Nell'elenco a discesa Tipi di contenuto selezionare il tipo di contenuto che si sta distribuendo.

      • Sia i parser che le query di ricerca usano l'API Ricerche salvate per distribuire il contenuto in Microsoft Sentinel. Se si seleziona uno di questi tipi di contenuto e si dispone anche di contenuto dell'altro tipo nel ramo, vengono distribuiti entrambi i tipi di contenuto.

      • Per tutti gli altri tipi di contenuto, la selezione di un tipo di contenuto nel riquadro Crea nuova connessione alla distribuzione consente di distribuire solo il contenuto in Microsoft Sentinel. Il contenuto di altri tipi non viene distribuito.

   5. Selezionare Crea per creare la connessione. Ad esempio:

      

   Azure DevOps

   Si è autorizzati automaticamente a Azure DevOps usando le credenziali di Azure correnti. Verificare di essere autorizzati allo stesso Azure tenant DevOps a cui ci si connette da Microsoft Sentinel o usare una finestra del browser InPrivate per creare la connessione.

   1. Negli elenchi a discesa visualizzati Microsoft Sentinel selezionare i tipi di organizzazione, progetto, repository, ramo e contenuto.

      • Sia i parser che le query di ricerca usano l'API Ricerche salvate per distribuire il contenuto in Microsoft Sentinel. Se si seleziona uno di questi tipi di contenuto e si dispone anche di contenuto dell'altro tipo nel ramo, vengono distribuiti entrambi i tipi di contenuto.

      • Per tutti gli altri tipi di contenuto, la selezione di un tipo di contenuto nel riquadro Crea nuova connessione alla distribuzione consente di distribuire solo il contenuto in Microsoft Sentinel. Il contenuto di altri tipi non viene distribuito.

   2. Selezionare Crea per creare la connessione. Ad esempio:

      

Dopo aver creato la connessione, viene generato un nuovo flusso di lavoro o una nuova pipeline nel repository. Il contenuto archiviato nel repository viene distribuito nell'area di lavoro Microsoft Sentinel.

Il tempo di distribuzione può variare a seconda del volume di contenuto che si sta distribuendo.

Visualizzare lo stato della distribuzione

In GitHub: nella scheda Azioni del repository selezionare il file yaml del flusso di lavoro per accedere ai log di distribuzione dettagliati e a eventuali messaggi di errore specifici.

In Azure DevOps: visualizzare lo stato della distribuzione dalla scheda Pipeline del repository.

Al termine della distribuzione:

• Il contenuto archiviato nel repository viene visualizzato nell'area di lavoro Microsoft Sentinel, nella pagina Microsoft Sentinel pertinente.

• I dettagli della connessione nella pagina Repository vengono aggiornati con il collegamento ai log di distribuzione della connessione e lo stato e l'ora dell'ultima distribuzione. Ad esempio:

  

Il flusso di lavoro predefinito distribuisce solo il contenuto modificato dall'ultima distribuzione in base ai commit nel repository. È tuttavia possibile disattivare le distribuzioni intelligenti o eseguire altre personalizzazioni. Ad esempio, è possibile configurare trigger di distribuzione diversi o distribuire il contenuto esclusivamente da una cartella radice specifica. Per altre informazioni, vedere Personalizzare le distribuzioni del repository.

Modificare il contenuto

Quando si crea correttamente una connessione al repository del controllo del codice sorgente, il contenuto viene distribuito in Sentinel. È consigliabile modificare il contenuto archiviato in un repository connesso solo nel repository e non in Microsoft Sentinel. Ad esempio, per apportare modifiche alle regole di analisi, eseguire questa operazione direttamente in GitHub o Azure DevOps.

Se invece si modifica il contenuto in Microsoft Sentinel, assicurarsi di esportarlo nel repository del controllo del codice sorgente per evitare che le modifiche vengano sovrascritte alla successiva distribuzione del contenuto del repository nell'area di lavoro.

Eliminare contenuto

L'eliminazione di contenuto dal repository non lo elimina dall'area di lavoro Microsoft Sentinel. Se si vuole rimuovere il contenuto distribuito tramite i repository, eliminarlo sia dal repository che dal Microsoft Sentinel. Ad esempio, impostare un filtro per il contenuto in base al nome dell'origine per semplificare l'identificazione del contenuto dai repository.

Rimuovere una connessione al repository

Questa procedura descrive come rimuovere la connessione a un repository di controllo del codice sorgente da Microsoft Sentinel. Per usare i file Bicep, la connessione al repository deve essere più recente del 1° novembre 2024. Utilizzare questa procedura per rimuovere la connessione e ricrearla per aggiornare la connessione.

Per rimuovere la connessione:

1. In Microsoft Sentinel selezionare Repository in Gestione contenuto.
2. Nella griglia selezionare la connessione da rimuovere e quindi selezionare Elimina.
3. Selezionare Sì per confermare l'eliminazione.

Dopo aver rimosso la connessione, il contenuto distribuito in precedenza tramite la connessione rimane nell'area di lavoro Microsoft Sentinel. Il contenuto aggiunto al repository dopo la rimozione della connessione non viene distribuito.

Se si verificano problemi o un messaggio di errore quando si elimina la connessione, è consigliabile controllare il controllo del codice sorgente. Verificare che il flusso di lavoro di GitHub o Azure pipeline DevOps associata alla connessione venga eliminato.

Rimuovere l'app Microsoft Sentinel dal repository GitHub

Se si intende eliminare l'app Microsoft Sentinel da un repository GitHub, è consigliabile rimuovere prima di tutto tutte le connessioni associate dalla pagina Microsoft Sentinel Repository.

Ogni Microsoft Sentinel'installazione dell'app ha un ID univoco usato sia per l'aggiunta che per la rimozione della connessione. Se l'ID è mancante o modificato, rimuovere la connessione dalla pagina Microsoft Sentinel Repository e rimuovere manualmente il flusso di lavoro dal repository GitHub per impedire distribuzioni di contenuto future.

Contenuto correlato

Usare il contenuto personalizzato in Microsoft Sentinel nello stesso modo in cui si usa il contenuto predefinito.

Per altre informazioni, vedere:

• Personalizzare le distribuzioni del repository
• Individuare e distribuire soluzioni Microsoft Sentinel (anteprima pubblica)
• connettori dati Microsoft Sentinel