Inhoud implementeren als code vanuit uw opslagplaats (preview)

Wanneer u aangepaste inhoud maakt, kunt u deze beheren vanuit uw eigen Microsoft Sentinel werkruimten of een externe opslagplaats voor broncodebeheer. In dit artikel wordt beschreven hoe u verbindingen maakt en beheert tussen Microsoft Sentinel en GitHub- of Azure DevOps-opslagplaatsen. Als u uw inhoud in een externe opslagplaats beheert, kunt u deze inhoud buiten Microsoft Sentinel bijwerken en deze automatisch implementeren in uw werkruimten. Zie Aangepaste inhoud bijwerken met opslagplaatsverbindingen voor meer informatie.

Belangrijk

• De functie Microsoft Sentinel Opslagplaatsen is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
• Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal. Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.

Vereisten

Microsoft Sentinel ondersteunt momenteel verbindingen met GitHub- en Azure DevOps-opslagplaatsen. Voordat u uw Microsoft Sentinel werkruimte verbindt met uw bronbeheeropslagplaats, moet u ervoor zorgen dat:

• U hebt de rol Eigenaar in de resourcegroep die uw Microsoft Sentinel werkruimte bevat
• Aangepaste inhoudsbestanden die u in uw werkruimten wilt implementeren, hebben een ondersteunde indeling. Zie De inhoud van uw opslagplaats plannen voor ondersteunde indelingen.
• Het account dat u gebruikt om de verbinding te maken, bevindt zich in uw thuistenant. Externe identiteiten, zoals B2B-gastaccounts, en gedelegeerde toegang worden niet ondersteund.

Vereisten voor GitHub

• Toegang van medewerkers tot uw GitHub-opslagplaats
• Acties ingeschakeld voor GitHub en Pijplijnen ingeschakeld voor Azure DevOps

DevOps-vereisten Azure

• Projectbeheerderstoegang tot uw Azure DevOps-opslagplaats
• Toegang van toepassingen van derden via OAuth ingeschakeld voor Azure DevOps-toepassingsverbindingsbeleid.
• Een Azure DevOps-verbinding in dezelfde tenant als uw Microsoft Sentinel werkruimte

Zie De inhoud van uw opslagplaats plannen voor meer informatie over implementeerbare inhoudstypen.

Een opslagplaats verbinden

In deze procedure wordt beschreven hoe u een GitHub- of Azure DevOps-opslagplaats verbindt met uw Microsoft Sentinel werkruimte.

Elke verbinding kan meerdere typen aangepaste inhoud ondersteunen, waaronder analyseregels, automatiseringsregels, opsporingsquery's, parsers, playbooks en werkmappen. Zie Over Microsoft Sentinel inhoud en oplossingen voor meer informatie.

U kunt geen dubbele verbindingen maken, met dezelfde opslagplaats en vertakking, in één Microsoft Sentinel werkruimte.

Maak uw verbinding:

1. Zorg ervoor dat u bent aangemeld bij uw broncodebeheer-app met de referenties die u wilt gebruiken voor uw verbinding. Als u momenteel bent aangemeld met andere referenties, meldt u zich eerst af.

2. Voor Microsoft Sentinel in de Azure Portal selecteert u onder Inhoudsbeheer de optie Opslagplaatsen.
   Selecteer Microsoft Sentinel Opslagplaatsenvoorinhoudsbeheer> voor Microsoft Sentinel> in de Defender-portal.

3. Selecteer Nieuwe toevoegen en voer vervolgens op de pagina Nieuwe implementatieverbinding maken een betekenisvolle naam en beschrijving in voor uw verbinding.

4. Selecteer in de vervolgkeuzelijst Broncodebeheer het type opslagplaats waarmee u verbinding wilt maken en selecteer vervolgens Autoriseren.

5. Selecteer een van de volgende tabbladen, afhankelijk van uw verbindingstype:

   GitHub

   1. Voer uw GitHub-referenties in wanneer u hierom wordt gevraagd.

      De eerste keer dat u een verbinding toevoegt, wordt u gevraagd om de verbinding met Microsoft Sentinel te autoriseren. Als u al bent aangemeld bij uw GitHub-account in dezelfde browser, worden uw GitHub-referenties automatisch ingevuld.

   2. Een opslagplaatsgebied wordt nu weergegeven op de pagina Nieuwe implementatieverbinding maken , waar u een bestaande opslagplaats kunt selecteren waarmee u verbinding wilt maken. Selecteer uw opslagplaats in de lijst en selecteer vervolgens Opslagplaats toevoegen.

      De eerste keer dat u verbinding maakt met een specifieke opslagplaats, ziet u een nieuw browservenster of -tabblad, waarin u wordt gevraagd de Azure-Sentinel-app in uw opslagplaats te installeren. Als u meerdere opslagplaatsen hebt, selecteert u de opslagplaatsen waar u de app Azure-Sentinel wilt installeren en installeert u deze.

      U wordt omgeleid naar GitHub om door te gaan met de installatie van de app.

   3. Nadat de app Azure-Sentinel is geïnstalleerd in uw opslagplaats, wordt de vervolgkeuzelijst Branch op de pagina Nieuwe implementatieverbinding maken gevuld met uw vertakkingen. Selecteer de vertakking die u wilt verbinden met uw Microsoft Sentinel werkruimte.

   4. Selecteer in de vervolgkeuzelijst Inhoudstypen het type inhoud dat u wilt implementeren.

      • Zowel parsers als opsporingsquery's gebruiken de API Opgeslagen zoekopdrachten om inhoud te implementeren in Microsoft Sentinel. Als u een van deze inhoudstypen selecteert en ook inhoud van het andere type in uw vertakking hebt, worden beide inhoudstypen geïmplementeerd.

      • Als u voor alle andere inhoudstypen een inhoudstype selecteert in het deelvenster Nieuwe implementatieverbinding maken, wordt alleen die inhoud geïmplementeerd in Microsoft Sentinel. Inhoud van andere typen wordt niet geïmplementeerd.

   5. Selecteer Maken om de verbinding te maken. Bijvoorbeeld:

      

   Azure DevOps

   U bent automatisch gemachtigd om DevOps te Azure met behulp van uw huidige Azure referenties. Controleer of u bent gemachtigd voor dezelfde Azure DevOps-tenant waarmee u verbinding maakt vanuit Microsoft Sentinel of gebruik een InPrivate-browservenster om uw verbinding te maken.

   1. Selecteer in Microsoft Sentinel in de vervolgkeuzelijsten die worden weergegeven uw organisatie, project, opslagplaats, vertakking en inhoudstypen.

      • Zowel parsers als opsporingsquery's gebruiken de API Opgeslagen zoekopdrachten om inhoud te implementeren in Microsoft Sentinel. Als u een van deze inhoudstypen selecteert en ook inhoud van het andere type in uw vertakking hebt, worden beide inhoudstypen geïmplementeerd.

      • Als u voor alle andere inhoudstypen een inhoudstype selecteert in het deelvenster Nieuwe implementatieverbinding maken, wordt alleen die inhoud geïmplementeerd in Microsoft Sentinel. Inhoud van andere typen wordt niet geïmplementeerd.

   2. Selecteer Maken om de verbinding te maken. Bijvoorbeeld:

      

Nadat u de verbinding hebt gemaakt, wordt er een nieuwe werkstroom of pijplijn gegenereerd in uw opslagplaats. De inhoud die in uw opslagplaats is opgeslagen, wordt geïmplementeerd in uw Microsoft Sentinel werkruimte.

De implementatietijd kan variëren, afhankelijk van het volume van de inhoud dat u implementeert.

De implementatiestatus weergeven

In GitHub: Selecteer op het tabblad Acties van de opslagplaats het yaml-bestand van de werkstroom voor toegang tot gedetailleerde implementatielogboeken en eventuele specifieke foutberichten.

In Azure DevOps: bekijk de implementatiestatus op het tabblad Pijplijnen van de opslagplaats.

Nadat de implementatie is voltooid:

• De inhoud die in uw opslagplaats is opgeslagen, wordt weergegeven in uw Microsoft Sentinel werkruimte, op de relevante Microsoft Sentinel pagina.

• De verbindingsgegevens op de pagina Opslagplaatsen worden bijgewerkt met de koppeling naar de implementatielogboeken van de verbinding en de status en tijd van de laatste implementatie. Bijvoorbeeld:

  

De standaardwerkstroom implementeert alleen inhoud die is gewijzigd sinds de laatste implementatie op basis van doorvoeringen in de opslagplaats. Maar misschien wilt u slimme implementaties uitschakelen of andere aanpassingen uitvoeren. U kunt bijvoorbeeld verschillende implementatietriggers configureren of inhoud uitsluitend implementeren vanuit een specifieke hoofdmap. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie.

Inhoud bewerken

Wanneer u een verbinding met de opslagplaats voor broncodebeheer hebt gemaakt, wordt uw inhoud geïmplementeerd in Sentinel. We raden u aan inhoud te bewerken die is opgeslagen in een verbonden opslagplaats alleen in de opslagplaats en niet in Microsoft Sentinel. Als u bijvoorbeeld wijzigingen wilt aanbrengen in uw analyseregels, doet u dit rechtstreeks in GitHub of Azure DevOps.

Als u in plaats daarvan de inhoud in Microsoft Sentinel bewerkt, moet u deze exporteren naar de opslagplaats voor broncodebeheer om te voorkomen dat uw wijzigingen worden overschreven wanneer de inhoud van de opslagplaats de volgende keer in uw werkruimte wordt geïmplementeerd.

Inhoud verwijderen

Als u inhoud uit uw opslagplaats verwijdert, wordt deze niet verwijderd uit uw Microsoft Sentinel werkruimte. Als u inhoud wilt verwijderen die via opslagplaatsen is geïmplementeerd, verwijdert u deze uit zowel uw opslagplaats als Microsoft Sentinel. Stel bijvoorbeeld een filter in voor de inhoud op basis van de bronnaam, zodat inhoud uit opslagplaatsen gemakkelijker kan worden geïdentificeerd.

Verbinding met een opslagplaats verwijderen

In deze procedure wordt beschreven hoe u de verbinding met een bronbeheeropslagplaats verwijdert uit Microsoft Sentinel. Als u Bicep-bestanden wilt gebruiken, moet uw opslagplaatsverbinding nieuwer zijn dan 1 november 2024. Gebruik deze procedure om de verbinding te verwijderen en opnieuw te maken om de verbinding bij te werken.

Uw verbinding verwijderen:

1. Selecteer in Microsoft Sentinel onder Inhoudsbeheer de optie Opslagplaatsen.
2. Selecteer in het raster de verbinding die u wilt verwijderen en selecteer vervolgens Verwijderen.
3. Selecteer Ja om de verwijdering te bevestigen.

Nadat u de verbinding hebt verwijderd, blijft inhoud die eerder via de verbinding is geïmplementeerd in uw Microsoft Sentinel werkruimte. Inhoud die is toegevoegd aan de opslagplaats nadat de verbinding is verwijderd, wordt niet geïmplementeerd.

Als u problemen of een foutbericht ondervindt wanneer u uw verbinding verwijdert, wordt u aangeraden uw broncodebeheer te controleren. Controleer of de GitHub-werkstroom of Azure DevOps-pijplijn die aan de verbinding is gekoppeld, is verwijderd.

De Microsoft Sentinel-app verwijderen uit uw GitHub-opslagplaats

Als u de Microsoft Sentinel-app wilt verwijderen uit een GitHub-opslagplaats, wordt u aangeraden eerst alle gekoppelde verbindingen te verwijderen van de pagina Microsoft Sentinel Opslagplaatsen.

Elke Microsoft Sentinel app-installatie heeft een unieke id die wordt gebruikt bij het toevoegen en verwijderen van de verbinding. Als de id ontbreekt of is gewijzigd, verwijdert u de verbinding van de pagina Microsoft Sentinel Opslagplaatsen en verwijdert u de werkstroom handmatig uit uw GitHub-opslagplaats om toekomstige implementaties van inhoud te voorkomen.

Verwante onderwerpen

Gebruik uw aangepaste inhoud in Microsoft Sentinel op dezelfde manier als u kant-en-klare inhoud zou gebruiken.

Zie voor meer informatie:

• Implementaties van opslagplaatsen aanpassen
• Microsoft Sentinel-oplossingen detecteren en implementeren (openbare preview)
• Microsoft Sentinel gegevensconnectors