리포지토리에서 코드로 콘텐츠 배포(미리 보기)

사용자 지정 콘텐츠를 만들 때 사용자 고유의 Microsoft Sentinel 작업 영역 또는 외부 소스 제어 리포지토리에서 관리할 수 있습니다. 이 문서에서는 Microsoft Sentinel GitHub 또는 Azure DevOps 리포지토리 간의 연결을 만들고 관리하는 방법을 설명합니다. 외부 리포지토리에서 콘텐츠를 관리하면 Microsoft Sentinel 외부에서 해당 콘텐츠를 업데이트하고 작업 영역에 자동으로 배포할 수 있습니다. 자세한 내용은 리포지토리 연결을 사용하여 사용자 지정 콘텐츠 업데이트를 참조하세요.

중요

• Microsoft Sentinel 리포지토리 기능은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
• 2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다. 여전히 Azure Portal Microsoft Sentinel 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 It's Time to Move: Retiring Microsoft Sentinel s Azure Portal for greater security를 참조하세요.

필수 구성 요소

Microsoft Sentinel 현재 GitHub 및 Azure DevOps 리포지토리에 대한 연결을 지원합니다. Microsoft Sentinel 작업 영역을 소스 제어 리포지토리에 연결하기 전에 다음을 확인합니다.

• 리소스 그룹에 Microsoft Sentinel 작업 영역이 포함된 소유자 역할이 있습니다.
• 작업 영역에 배포하려는 사용자 지정 콘텐츠 파일은 지원되는 형식입니다. 지원되는 형식은 리포지토리 콘텐츠 계획을 참조하세요.
• 연결을 만드는 데 사용하는 계정은 홈 테넌트입니다. B2B 게스트 계정 및 위임된 액세스와 같은 외부 ID는 지원되지 않습니다.

GitHub 필수 구성 요소

• GitHub 리포지토리에 대한 공동 작업자 액세스
• Azure DevOps에 사용하도록 설정된 GitHub 및 파이프라인에 대해 사용하도록 설정된 작업

Azure DevOps 필수 구성 요소

• Azure DevOps 리포지토리에 대한 프로젝트 관리자 액세스
• Azure DevOps 애플리케이션 연결 정책에 대해 사용하도록 설정된 OAuth를 통한 타사 애플리케이션 액세스
• Microsoft Sentinel 작업 영역과 동일한 테넌트에서 Azure DevOps 연결

배포 가능한 콘텐츠 형식에 대한 자세한 내용은 리포지토리 콘텐츠 계획을 참조하세요.

리포지토리 연결

이 절차에서는 GitHub 또는 Azure DevOps 리포지토리를 Microsoft Sentinel 작업 영역에 연결하는 방법을 설명합니다.

각 연결은 분석 규칙, 자동화 규칙, 헌팅 쿼리, 파서, 플레이북 및 통합 문서를 포함하여 여러 유형의 사용자 지정 콘텐츠를 지원할 수 있습니다. 자세한 내용은 Microsoft Sentinel 콘텐츠 및 솔루션 정보를 참조하세요.

단일 Microsoft Sentinel 작업 영역에서 동일한 리포지토리 및 분기를 사용하여 중복 연결을 만들 수 없습니다.

연결을 만듭니다.

1. 연결에 사용할 자격 증명을 사용하여 소스 제어 앱에 로그인했는지 확인합니다. 현재 다른 자격 증명을 사용하여 로그인한 경우 먼저 로그아웃합니다.

2. Azure Portal Microsoft Sentinel콘텐츠 관리에서 리포지토리를 선택합니다.
   Defender 포털에서 Microsoft Sentinel Microsoft Sentinel컨트 관리>리포지토리를 선택합니다>.

3. 새로 추가를 선택한 다음 새 배포 연결 만들기 페이지에서 연결에 대한 의미 있는 이름과 설명을 입력합니다.

4. 소스 제어 드롭다운에서 연결할 리포지토리 유형을 선택한 다음 권한 부여를 선택합니다.

5. 연결 유형에 따라 다음 탭 중 하나를 선택합니다.

   GitHub

   1. 메시지가 표시되면 GitHub 자격 증명을 입력합니다.

      처음으로 연결을 추가하면 Microsoft Sentinel 연결에 권한을 부여하라는 메시지가 표시됩니다. 동일한 브라우저에서 GitHub 계정에 이미 로그인한 경우 GitHub 자격 증명이 자동으로 채워집니다.

   2. 이제 리포지토리 영역이 새 배포 연결 만들기 페이지에 표시됩니다. 여기서 연결할 기존 리포지토리를 선택할 수 있습니다. 목록에서 리포지토리를 선택한 다음, 리포지토리 추가를 선택합니다.

      특정 리포지토리에 처음 연결할 때 새 브라우저 창 또는 탭이 표시되어 리포지토리에 Azure Sentinel 앱을 설치하라는 메시지가 표시됩니다. 여러 리포지토리가 있는 경우 Azure Sentinel 앱을 설치할 리포지토리를 선택하고 설치합니다.

      GitHub로 이동하여 앱 설치를 계속합니다.

   3. Azure Sentinel 앱이 리포지토리에 설치되면 새 배포 연결 만들기 페이지의 분기 드롭다운이 분기로 채워집니다. Microsoft Sentinel 작업 영역에 연결할 분기를 선택합니다.

   4. 콘텐츠 형식 드롭다운에서 배포할 콘텐츠 유형을 선택합니다.

      • 파서와 헌팅 쿼리 모두 저장된 검색 API를 사용하여 콘텐츠를 Microsoft Sentinel 배포합니다. 이러한 콘텐츠 형식 중 하나를 선택하고 분기에 다른 형식의 콘텐츠도 있는 경우 두 콘텐츠 형식이 모두 배포됩니다.

      • 다른 모든 콘텐츠 형식의 경우 새 배포 연결 만들기 창에서 콘텐츠 형식을 선택하면 해당 콘텐츠만 Microsoft Sentinel 배포됩니다. 다른 형식의 콘텐츠는 배포되지 않습니다.

   5. 만들기를 선택하여 연결을 만듭니다. 예시:

      

   Azure DevOps

   현재 Azure 자격 증명을 사용하여 DevOps를 Azure 권한이 자동으로 부여됩니다. Microsoft Sentinel 연결하는 동일한 Azure DevOps 테넌트 권한이 있는지 확인하거나 InPrivate 브라우저 창을 사용하여 연결을 만듭니다.

   1. Microsoft Sentinel 표시되는 드롭다운 목록에서 조직, 프로젝트, 리포지토리, 분기 및 콘텐츠 형식을 선택합니다.

      • 파서와 헌팅 쿼리 모두 저장된 검색 API를 사용하여 콘텐츠를 Microsoft Sentinel 배포합니다. 이러한 콘텐츠 형식 중 하나를 선택하고 분기에 다른 형식의 콘텐츠도 있는 경우 두 콘텐츠 형식이 모두 배포됩니다.

      • 다른 모든 콘텐츠 형식의 경우 새 배포 연결 만들기 창에서 콘텐츠 형식을 선택하면 해당 콘텐츠만 Microsoft Sentinel 배포됩니다. 다른 형식의 콘텐츠는 배포되지 않습니다.

   2. 만들기를 선택하여 연결을 만듭니다. 예시:

      

연결을 만든 후 리포지토리에 새 워크플로 또는 파이프라인이 생성됩니다. 리포지토리에 저장된 콘텐츠는 Microsoft Sentinel 작업 영역에 배포됩니다.

배포 시간은 배포하는 콘텐츠의 양에 따라 달라질 수 있습니다.

배포 상태 보기

GitHub: 리포지토리의 작업 탭에서 워크플로 .yaml 파일을 선택하여 자세한 배포 로그 및 특정 오류 메시지에 액세스합니다.

Azure DevOps: 리포지토리의 파이프라인 탭에서 배포 상태 봅니다.

배포가 완료된 후:

• 리포지토리에 저장된 콘텐츠는 Microsoft Sentinel 작업 영역의 관련 Microsoft Sentinel 페이지에 표시됩니다.

• 리포지토리 페이지의 연결 세부 정보는 연결의 배포 로그에 대한 링크와 마지막 배포의 상태 및 시간으로 업데이트됩니다. 예시:

  

기본 워크플로는 리포지토리에 대한 커밋을 기반으로 마지막 배포 이후 수정된 콘텐츠만 배포합니다. 하지만 스마트 배포를 해제하거나 다른 사용자 지정을 수행할 수 있습니다. 예를 들어 다른 배포 트리거를 구성하거나 특정 루트 폴더에서만 콘텐츠를 배포할 수 있습니다. 자세한 내용은 리포지토리 배포 사용자 지정을 참조하세요.

콘텐츠 편집

소스 제어 리포지토리에 대한 연결을 성공적으로 만들면 콘텐츠가 Sentinel 배포됩니다. 연결된 리포지토리에 저장된 콘텐츠는 Microsoft Sentinel 아니라 리포지토리에만 편집하는 것이 좋습니다. 예를 들어 분석 규칙을 변경하려면 GitHub 또는 Azure DevOps에서 직접 변경합니다.

대신 Microsoft Sentinel 콘텐츠를 편집하는 경우 다음에 리포지토리 콘텐츠가 작업 영역에 배포될 때 변경 내용을 덮어쓰지 않도록 소스 제어 리포지토리로 내보내야 합니다.

콘텐츠 삭제

리포지토리에서 콘텐츠를 삭제해도 Microsoft Sentinel 작업 영역에서 삭제되지 않습니다. 리포지토리를 통해 배포된 콘텐츠를 제거하려면 리포지토리와 Microsoft Sentinel 모두 삭제합니다. 예를 들어 리포지토리에서 콘텐츠를 보다 쉽게 식별할 수 있도록 원본 이름에 따라 콘텐츠에 대한 필터를 설정합니다.

리포지토리 연결 제거

이 절차에서는 Microsoft Sentinel 소스 제어 리포지토리에 대한 연결을 제거하는 방법을 설명합니다. Bicep 파일을 사용하려면 리포지토리 연결이 2024년 11월 1일보다 최신이어야 합니다. 연결을 업데이트하려면 이 절차를 사용하여 연결을 제거하고 다시 만듭니다.

연결을 제거하려면 다음을 수행합니다.

1. Microsoft Sentinel 콘텐츠 관리에서 리포지토리를 선택합니다.
2. 표에서 제거할 연결을 선택한 다음 삭제를 선택합니다.
3. 예를 선택하여 삭제를 확인합니다.

연결을 제거한 후에는 연결을 통해 이전에 배포된 콘텐츠가 Microsoft Sentinel 작업 영역에 남아 있습니다. 연결을 제거한 후 리포지토리에 추가된 콘텐츠는 배포되지 않습니다.

연결을 삭제할 때 문제 또는 오류 메시지가 발생하는 경우 소스 제어를 검사 것이 좋습니다. 연결과 연결된 GitHub 워크플로 또는 Azure DevOps 파이프라인이 삭제되어 있는지 확인합니다.

GitHub 리포지토리에서 Microsoft Sentinel 앱 제거

GitHub 리포지토리에서 Microsoft Sentinel 앱을 삭제하려면 먼저 Microsoft Sentinel 리포지토리 페이지에서 연결된 모든 연결을 제거하는 것이 좋습니다.

각 Microsoft Sentinel 앱 설치에는 연결을 추가하고 제거할 때 사용되는 고유한 ID가 있습니다. ID가 누락되거나 변경된 경우 Microsoft Sentinel 리포지토리 페이지에서 연결을 제거하고 GitHub 리포지토리에서 워크플로를 수동으로 제거하여 향후 콘텐츠 배포를 방지합니다.

관련 콘텐츠

기본 제공 콘텐츠를 사용하는 것과 동일한 방식으로 Microsoft Sentinel 사용자 지정 콘텐츠를 사용합니다.

자세한 내용은 다음 항목을 참조하세요.

• 리포지토리 배포 사용자 지정
• Microsoft Sentinel 솔루션 검색 및 배포(공개 미리 보기)
• 데이터 커넥터 Microsoft Sentinel