Usare i repository per la distribuzione

3 minuti

Quando si crea contenuto personalizzato, è possibile archiviarlo e gestirlo nelle proprie aree di lavoro di Microsoft Sentinel o in un repository di controllo del codice sorgente esterno, inclusi i repository di GitHub e Azure DevOps. La gestione del contenuto in un repository esterno consente di apportare aggiornamenti a tale contenuto all'esterno di Microsoft Sentinel e di distribuirlo automaticamente nelle aree di lavoro.

Prerequisiti e ambito

Prima di connettere l'area di lavoro di Microsoft Sentinel a un repository di controllo del codice sorgente esterno, assicurarsi di avere:

Accesso a un repository di GitHub o Azure DevOps, con tutti i file di contenuto personalizzati da distribuire nelle aree di lavoro, nei modelli di Azure Resource Manager (ARM) pertinenti.

Microsoft Sentinel supporta attualmente solo le connessioni con i repository di GitHub e Azure DevOps.
Ruolo Proprietario nel gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. Questo ruolo è necessario per creare la connessione tra Microsoft Sentinel e il repository di controllo del codice sorgente. Se non è possibile usare il ruolo Proprietario nell'ambiente, è invece possibile usare la combinazione di ruoli Amministratore Accesso utenti e Collaboratore di Sentinel per creare la connessione.

Numero massimo di connessioni e distribuzioni

Ogni area di lavoro di Microsoft Sentinel è attualmente limitata a cinque connessioni.

Ogni gruppo di risorse di Azure è limitato a 800 distribuzioni nella cronologia di distribuzione. Se si ha un volume elevato di distribuzioni di modelli di ARM nei gruppi di risorse, è possibile che venga visualizzato un errore di superamento della quota dell distribuzione.

Convalidare il contenuto

La distribuzione del contenuto in Microsoft Sentinel tramite una connessione al repository non convalida il contenuto, ma verifica solo che i dati siano nel formato del modello di ARM corretto.

È consigliabile convalidare i modelli di contenuto usando il normale processo di convalida. Per configurare il processo di convalida è possibile usare il processo di convalida GitHub di Microsoft Sentinel e i relativi strumenti.

Connettere un repository

Questa procedura descrive come connettere un repository di GitHub o Azure DevOps all'area di lavoro di Microsoft Sentinel, in cui è possibile salvare e gestire il contenuto personalizzato, anziché in Microsoft Sentinel.

Ogni connessione può supportare più tipi di contenuto personalizzato, tra cui regole di analisi, regole di automazione, query di ricerca, parser, playbook e cartelle di lavoro. Per altre informazioni, vedere Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.

Per creare la connessione:

Assicurarsi di aver eseguito l'accesso all'app di controllo del codice sorgente con le credenziali da usare per la connessione. Se è stato eseguito l'accesso con credenziali diverse, disconnettersi.
In Microsoft Sentinel selezionare Repository a sinistra in Gestione contenuto.
Selezionare Aggiungi nuovo e quindi nella pagina Crea una nuova connessione immettere un nome e una descrizione significativi per la connessione.
Nell'elenco a discesa Controllo del codice sorgente selezionare il tipo di repository a cui connettersi e quindi selezionare Autorizza.
Selezionare una delle schede seguenti, a seconda del tipo di connessione:

GitHub

Immettere le credenziali di GitHub quando richiesto.

La prima volta che si aggiunge una connessione, verrà visualizzata una nuova finestra o scheda del browser, che richiede di autorizzare la connessione a Microsoft Sentinel. Se si è già connessi all'account GitHub nello stesso browser, le credenziali di GitHub verranno popolate automaticamente.
Un'area Repository viene ora visualizzata nella pagina Crea una nuova connessione, in cui è possibile selezionare un repository esistente a cui connettersi. Selezionare il repository dall'elenco e quindi selezionare Aggiungi repository.

La prima volta che ci si connette a un repository specifico, verrà visualizzata una nuova finestra o una nuova scheda del browser che richiede di installare l'app Azure-Sentinel nel repository. Se sono presenti più repository, selezionare quelli in cui si vuole installare l'app Azure-Sentinel e installarla.

Si verrà indirizzati a GitHub per continuare l'installazione dell'app.
Dopo l'installazione dell'app Azure-Sentinel nel repository, l'elenco a discesa Ramo nella pagina Crea una nuova connessione viene popolato con i rami. Selezionare il ramo che si vuole connettere all'area di lavoro di Microsoft Sentinel.
Nell'elenco a discesa Tipi di contenuto selezionare il tipo di contenuto che verrà distribuito.
- Sia i parser che le query di ricerca usano l'API Ricerche salvate per distribuire il contenuto in Microsoft Sentinel. Se si seleziona uno di questi tipi di contenuto e nel ramo è presente anche contenuto di altro tipo, vengono distribuiti entrambi i tipi di contenuto.
- Per tutti gli altri tipi di contenuto, la selezione di un tipo di contenuto nel riquadro Crea una nuova connessione distribuisce solo tale contenuto in Microsoft Sentinel. Altri tipi di contenuto non vengono distribuiti.
Fare clic su Crea per creare la connessione.

Dopo la creazione della connessione, viene generato un nuovo flusso di lavoro o una nuova pipeline nel repository e il contenuto archiviato nel repository viene distribuito nell'area di lavoro di Microsoft Sentinel.

Il tempo di distribuzione può variare a seconda del volume di contenuto che si sta distribuendo.

Azure DevOps

Si è autorizzati automaticamente ad accedere ad Azure DevOps usando le credenziali di Azure correnti. Per garantire la connettività valida, verificare di aver eseguito l'autorizzazione alla stessa organizzazione di Azure DevOps a cui ci si connette da Microsoft Sentinel o di usare una finestra del browser InPrivate per creare la connessione.
In Microsoft Sentinel selezionare l'organizzazione, il progetto, il repository, il ramo e i tipi di contenuto dagli elenchi a discesa visualizzati.
- Sia i parser che le query di ricerca usano l'API Ricerche salvate per distribuire il contenuto in Microsoft Sentinel. Se si seleziona uno di questi tipi di contenuto e nel ramo è presente anche contenuto di altro tipo, vengono distribuiti entrambi i tipi di contenuto.
- Per tutti gli altri tipi di contenuto, la selezione di un tipo di contenuto nel riquadro Crea una nuova connessione distribuisce solo tale contenuto in Microsoft Sentinel. Altri tipi di contenuto non vengono distribuiti.
Fare clic su Crea per creare la connessione. Ad esempio: