カスタム コンテンツを作成したら、独自の Microsoft Sentinel ワークスペースから、または外部のソース管理リポジトリから、それを管理できます。 この記事では、Microsoft Sentinel と GitHub または Azure DevOps リポジトリの間の接続を作成して管理する方法について説明します。 外部リポジトリでコンテンツを管理することで、Microsoft Sentinel の外部でコンテンツを更新し、ワークスペースに自動的にデプロイさせることができます。 詳細については、「 リポジトリ接続を使用してカスタム コンテンツを更新する」を参照してください。
重要
- Microsoft Sentinel リポジトリ 機能は現在 プレビュー段階です。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される追加の法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
- Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。 Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画 (ブログ)」を参照してください。
前提条件
Microsoft Sentinel では、現在、GitHub および Azure DevOps リポジトリへの接続がサポートされています。 Microsoft Sentinel ワークスペースをお使いのソース管理リポジトリに接続する前に、次のものがあることを確認してください。
- Microsoft Sentinel ワークスペースを含むリソース グループの 所有者 ロール 、または 接続を作成するための ユーザー アクセス管理者 ロールと Sentinel 共同作成者 ロールの組み合わせ
- ワークスペースに展開するカスタム コンテンツ ファイルがサポートされている形式であることを確認します。 サポートされている形式については、「 リポジトリのコンテンツを計画する」を参照してください。
- GitHub リポジトリへのコラボレーター アクセス
- GitHub に対して有効なアクションと、Azure DevOps に対して有効なパイプライン
展開可能なコンテンツ タイプの詳細については、「 コンテンツの検証」を参照してください。
リポジトリの接続
この手順では、GitHub または Azure DevOps リポジトリを Microsoft Sentinel ワークスペースに接続する方法について説明します。
各接続では、分析ルール、自動化ルール、ハンティング クエリ、パーサー、プレイブック、ブックなど、多くの種類のカスタム コンテンツをサポートできます。 詳細については、「 Microsoft Sentinel のコンテンツとソリューションについて」を参照してください。
同じリポジトリとブランチを含む重複する接続を 1 つの Microsoft Sentinel ワークスペースに作成することはできません。
接続を作成します。
接続に使用する資格情報で、ソース管理アプリにサインインしていることを確認します。 現在、別の資格情報を使用してサインインしている場合は、まずサインアウトします。
Azure portal の Microsoft Sentinel の場合、[コンテンツ管理] で [リポジトリ] を選択します。
Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Content management>Repositories を選択します。[ 新規追加] を選択し、[ 新しいデプロイ接続の作成 ] ページで、接続のわかりやすい名前と説明を入力します。
[ ソース管理 ] ドロップダウンから、接続先のリポジトリの種類を選択し、[ 承認] を選択します。
接続の種類に応じて、次のいずれかのタブを選択します。
入力を求められたら、GitHub 資格情報を入力します。
接続を初めて追加すると、Microsoft Sentinel への接続を承認するように求められます。 同じブラウザーで GitHub アカウントに既にログインしている場合は、GitHub 資格情報が自動的に設定されます。
[新しいデプロイ接続の作成] ページにリポジトリ領域が表示され、接続先の既存のリポジトリを選択できます。 一覧からリポジトリを選択し、[ リポジトリの追加] を選択します。
特定のリポジトリに初めて接続すると、新しいブラウザー ウィンドウまたはタブが表示され、リポジトリに Azure-Sentinel アプリをインストールするように求められます。 複数のリポジトリがある場合は、 Azure-Sentinel アプリをインストールするリポジトリを選択してインストールします。
GitHub に移動し、アプリのインストールを続行します。
Azure-Sentinel アプリがリポジトリにインストールされると、[新しいデプロイ接続の作成] ページの [ブランチ] ドロップダウンにブランチが設定されます。 Microsoft Sentinel ワークスペースに接続するブランチを選択します。
[ コンテンツ タイプ] ドロップダウンから、展開するコンテンツの種類を選択します。
パーサーとハンティング クエリはどちらも 、保存された検索 API を使用して Microsoft Sentinel にコンテンツをデプロイします。 これらのコンテンツの種類のいずれかを選択し、ブランチに他の種類のコンテンツも含まれる場合は、両方のコンテンツの種類がデプロイされます。
その他のすべてのコンテンツ タイプについて、[ 新しい展開接続の作成 ] ウィンドウでコンテンツ タイプを選択すると、そのコンテンツのみが Microsoft Sentinel に展開されます。 他の種類のコンテンツはデプロイされません。
[ 作成] を選択して接続を作成します。 たとえば、次のように入力します。
接続を作成すると、新しいワークフローまたはパイプラインがリポジトリに生成されます。 リポジトリに保存されているコンテンツは、Microsoft Sentinel ワークスペースにデプロイされます。
デプロイ時間は、デプロイするコンテンツの量によって変わる可能性があります。
デプロイの状態を表示する
GitHub: リポジトリの [アクション] タブで、ワークフロー の .yaml ファイルを選択して、詳細なデプロイ ログと特定のエラー メッセージにアクセスします。
Azure DevOps: リポジトリの [パイプライン] タブからデプロイの状態 を 表示します。
デプロイの完了後:
リポジトリに格納されているコンテンツは、Microsoft Sentinel ワークスペースの関連する Microsoft Sentinel ページに表示されます。
[ リポジトリ ] ページの接続の詳細は、接続のデプロイ ログへのリンクと、最後のデプロイの状態と時刻で更新されます。 たとえば、次のように入力します。
既定のワークフローでは、リポジトリへのコミットに基づいて、前回のデプロイ以降に変更されたコンテンツのみがデプロイされます。 ただし、スマート デプロイのオフへの切り替えや、他のカスタマイズを実行することもできます。 たとえば、異なるデプロイ トリガーを構成したり、特定のルート フォルダーのコンテンツのみをデプロイしたりすることができます。 詳細については、 リポジトリのデプロイのカスタマイズに関するページを参照してください。
コンテンツの編集
ソース管理リポジトリへの接続が正常に作成されると、コンテンツは Sentinel にデプロイされます。 接続されているリポジトリに格納されているコンテンツは、Microsoft Sentinel ではなく、リポジトリ 内でのみ 編集することをお勧めします。 たとえば、分析ルールを変更するには、GitHub または Azure DevOps で直接行います。
代わりに、Microsoft Sentinel でコンテンツを編集する場合は、次回にリポジトリ コンテンツがワークスペースにデプロイされたときに、変更が上書きされるのを防ぐために、必ずソース管理リポジトリにエクスポートしてください。
コンテンツを削除する
リポジトリからコンテンツを削除しても、Microsoft Sentinel ワークスペースからは削除されません。 リポジトリ経由でデプロイされたコンテンツを削除する場合は、リポジトリと Microsoft Sentinel の両方から削除してください。 たとえば、リポジトリでコンテンツを識別しやすくするには、ソース名に基づいてコンテンツのフィルターを設定します。
リポジトリ接続を削除する
この手順では、Microsoft Sentinel からソース管理リポジトリへの接続を削除する方法について説明します。 Bicep ファイルを使用するには、リポジトリ接続が 2024 年 11 月 1 日より新しい必要があります。 接続を更新するには、次の手順に従って接続を削除し、再作成します。
接続を削除するには:
- Microsoft Sentinel の [ コンテンツ管理] で、[ リポジトリ] を選択します。
- グリッドで、削除する接続を選択し、[削除] を選択 します。
- 削除を確認するには、[ はい ] を選択します。
接続を削除後、接続によって以前にデプロイされたコンテンツは、Microsoft Sentinel ワークスペースに残ります。 接続の削除後にリポジトリに追加されたコンテンツはデプロイされません。
接続を削除するときに問題やエラー メッセージが発生した場合は、ソース管理を確認することをお勧めします。 接続に関連する GitHub ワークフローまたは Azure DevOps パイプラインが削除されていることを確認します。
GitHub リポジトリから Microsoft Sentinel アプリを削除する
GitHub リポジトリから Microsoft Sentinel アプリを削除する場合は、 まず 、関連付けられているすべての接続を Microsoft Sentinel リポジトリ ページから削除することをお勧めします。
各 Microsoft Sentinel アプリのインストールには、接続の追加と削除時の両方で使用される一意の ID があります。 ID が見つからないか変更されている場合は、Microsoft Sentinel リポジトリ ページから接続を削除し、GitHub リポジトリからワークフローを手動で削除して、今後のコンテンツのデプロイを防ぎます。
関連するコンテンツ
Microsoft Sentinel で、すぐ利用できるコンテンツを使用する場合と同じように、カスタム コンテンツを使用します。
詳細については、次を参照してください。