Wdrażanie zawartości jako kodu z repozytorium (publiczna wersja zapoznawcza)

Podczas tworzenia zawartości niestandardowej możesz zarządzać nią z własnych obszarów roboczych usługi Microsoft Sentinel lub zewnętrznego repozytorium kontroli źródła. W tym artykule opisano sposób tworzenia połączeń między usługami Microsoft Sentinel i GitHub lub Azure DevOps oraz zarządzania nimi. Zarządzanie zawartością w repozytorium zewnętrznym umożliwia aktualizowanie tej zawartości poza usługą Microsoft Sentinel i automatyczne wdrażanie jej w obszarach roboczych. Więcej informacji można znaleźć w Aktualizowanie niestandardowej zawartości za pomocą połączeń repozytorium.

Ważne

• Funkcja repozytoriów usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
• Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych użytkowników jest również automatycznie dołączanych i przekierowywanych z witryny Azure Portal do portalu Defender. Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Usługa Microsoft Sentinel obecnie obsługuje połączenia z repozytoriami GitHub i Azure DevOps. Przed połączeniem obszaru roboczego usługi Microsoft Sentinel z repozytorium kontroli źródła upewnij się, że masz następujące elementy:

• Rola właściciela w grupie zasobów, która zawiera obszar roboczy usługi Microsoft Sentinel lub kombinację ról administratora dostępu użytkowników i współautora usługi Sentinel w celu utworzenia połączenia
• Upewnij się, że niestandardowe pliki zawartości, które chcesz wdrożyć w obszarach roboczych, są w obsługiwanym formacie. Aby uzyskać obsługiwane formaty, zobacz Planowanie zawartości repozytorium.

Wymagania wstępne usługi GitHub

• Dostęp współpracownika do repozytorium GitHub
• Akcje włączone dla usług GitHub i Pipelines w usłudze Azure DevOps

Wymagania wstępne usługi Azure DevOps

• Dostęp administratora projektu do repozytorium usługi Azure DevOps
• Dostęp do aplikacji innych firm za pośrednictwem OAuth jest włączony dla zasad połączeń aplikacji dla Azure DevOps.
• Połączenie usługi Azure DevOps w tej samej dzierżawie co obszar roboczy usługi Microsoft Sentinel

Aby uzyskać więcej informacji na temat wdrażalnych typów zawartości, zobacz Weryfikowanie zawartości.

Łączenie repozytorium

W tej procedurze opisano sposób łączenia repozytorium GitHub lub Azure DevOps z obszarem roboczym usługi Microsoft Sentinel.

Każde połączenie może obsługiwać wiele typów zawartości niestandardowej, w tym reguły analityczne, reguły automatyzacji, zapytania wyszukiwania, analizatory, playbooki i workbooki. Aby uzyskać więcej informacji, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel.

W jednym obszarze roboczym usługi Microsoft Sentinel nie można tworzyć zduplikowanych połączeń z tym samym repozytorium i gałęzią.

Utwórz połączenie:

1. Upewnij się, że logujesz się do aplikacji kontroli źródła przy użyciu poświadczeń, których chcesz użyć na potrzeby połączenia. Jeśli obecnie logujesz się przy użyciu różnych poświadczeń, najpierw wyloguj się.

2. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Repozytoria.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz Microsoft Sentinel>zarządzanie zawartością>Repozytoria.

3. Wybierz pozycję Dodaj nową, a następnie na stronie Tworzenie nowego połączenia wdrożenia wprowadź zrozumiałą nazwę i opis połączenia.

4. Z listy rozwijanej Kontrola źródła wybierz typ repozytorium, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Autoryzuj.

5. Wybierz jedną z następujących zakładek w zależności od typu połączenia.

   Usługa GitHub

   1. Kiedy pojawi się monit, wprowadź swoje poświadczenia GitHub.

      Po pierwszym dodaniu połączenia zostanie wyświetlony monit o autoryzowanie połączenia z usługą Microsoft Sentinel. Jeśli jesteś już zalogowany na swoje konto GitHub w tej samej przeglądarce, dane logowania GitHub są uzupełniane automatycznie.

   2. Obszar Repozytorium jest teraz wyświetlany na stronie Tworzenie nowego połączenia wdrożenia , z którym można wybrać istniejące repozytorium do nawiązania połączenia. Wybierz repozytorium z listy, a następnie wybierz pozycję Dodaj repozytorium.

      Przy pierwszym połączeniu z określonym repozytorium zostanie wyświetlone nowe okno przeglądarki lub karta z monitem o zainstalowanie aplikacji Azure-Sentinel w repozytorium. Jeśli masz wiele repozytoriów, wybierz te, w których chcesz zainstalować aplikację Azure-Sentinel , i zainstaluj ją.

      Możesz przejść do usługi GitHub, aby kontynuować instalację aplikacji.

   3. Po zainstalowaniu aplikacji Azure-Sentinel w repozytorium, lista rozwijana Gałąź na stronie Tworzenie nowego połączenia wdrożenia jest wypełniana gałęziami. Wybierz gałąź, z którą chcesz nawiązać połączenie z obszarem roboczym usługi Microsoft Sentinel.

   4. Z listy rozwijanej Typy zawartości wybierz typ wdrażanej zawartości.

      • Zarówno analizatory, jak i zapytania do wyszukiwania zagrożeń używają interfejsu API Zapisane wyszukiwania do wdrażania treści w Microsoft Sentinel. Jeśli wybierzesz jeden z tych typów zawartości i masz także zawartość innego typu w swojej gałęzi, oba typy zawartości zostaną wdrożone.

      • W przypadku wszystkich innych typów zawartości wybranie typu zawartości w okienku Tworzenie nowego połączenia wdrożenia umożliwia wdrożenie tylko tej zawartości w usłudze Microsoft Sentinel. Zawartość innych typów nie jest implementowana.

   5. Wybierz pozycję Utwórz , aby utworzyć połączenie. Na przykład:

      

   Azure DevOps

   Masz automatyczne uprawnienia do usługi Azure DevOps przy użyciu bieżących poświadczeń platformy Azure. Sprawdź, czy masz autoryzację do tej samej dzierżawy usługi Azure DevOps, do której łączysz się z usługi Microsoft Sentinel, lub użyj okna przeglądarki InPrivate, aby utworzyć połączenie.

   Ze względu na ograniczenia między dzierżawcami, jeśli tworzysz połączenie jako użytkownik-gość w workspacie, adres URL usługi Azure DevOps nie jest wyświetlany w rozwijanej liście. Wprowadź go ręcznie.

   1. W usłudze Microsoft Sentinel na wyświetlonych listach rozwijanych wybierz typy zawartości: Organizacja, Projekt, Repozytorium, Gałąź i Typy zawartości.

      • Zarówno analizatory, jak i zapytania do wyszukiwania zagrożeń używają interfejsu API Zapisane wyszukiwania do wdrażania treści w Microsoft Sentinel. Jeśli wybierzesz jeden z tych typów zawartości i masz także zawartość innego typu w swojej gałęzi, oba typy zawartości zostaną wdrożone.

      • W przypadku wszystkich innych typów zawartości wybranie typu zawartości w okienku Tworzenie nowego połączenia wdrożenia umożliwia wdrożenie tylko tej zawartości w usłudze Microsoft Sentinel. Zawartość innych typów nie jest implementowana.

   2. Wybierz pozycję Utwórz , aby utworzyć połączenie. Na przykład:

      

Po utworzeniu połączenia w repozytorium zostanie utworzony nowy przepływ pracy lub potok. Zawartość przechowywana w repozytorium jest wdrażana w obszarze roboczym usługi Microsoft Sentinel.

Czas wdrażania może się różnić w zależności od ilości wdrażanej zawartości.

Wyświetlanie stanu wdrożenia

W usłudze GitHub: na karcie Akcje repozytorium wybierz plik .yaml workflow, aby uzyskać dostęp do szczegółowych dzienników wdrażania i wszelkich określonych komunikatów o błędach.

W usłudze Azure DevOps: wyświetl stan wdrożenia na karcie Potoki repozytorium.

Po zakończeniu wdrażania:

• Zawartość przechowywana w repozytorium jest wyświetlana w obszarze roboczym usługi Microsoft Sentinel na odpowiedniej stronie usługi Microsoft Sentinel.

• Szczegóły połączenia na stronie Repozytoria są aktualizowane za pomocą linku do dzienników wdrażania połączenia oraz stanu i czasu ostatniego wdrożenia. Na przykład:

  

Domyślny przepływ pracy wdraża tylko zawartość, która jest modyfikowana od ostatniego wdrożenia na podstawie zatwierdzeń w repozytorium. Możesz jednak wyłączyć inteligentne wdrożenia lub wykonać inne dostosowania. Można na przykład skonfigurować różne wyzwalacze wdrażania lub wdrożyć zawartość wyłącznie z określonego folderu głównego. Aby dowiedzieć się więcej, zobacz Dostosowywanie wdrożeń repozytorium.

Edytuj zawartość

Po pomyślnym utworzeniu połączenia z repozytorium kontroli źródła zawartość zostanie wdrożona w usłudze Sentinel. Zalecamy edytowanie zawartości przechowywanej w połączonym repozytorium tylko w repozytorium, a nie w usłudze Microsoft Sentinel. Aby na przykład wprowadzić zmiany w regułach analizy, należy to zrobić bezpośrednio w usłudze GitHub lub Azure DevOps.

Jeśli zamiast tego edytujesz zawartość w usłudze Microsoft Sentinel, pamiętaj, aby wyeksportować ją do repozytorium kontroli źródła, aby zapobiec zastąpieniu zmian przy następnym wdrożeniu zawartości repozytorium w obszarze roboczym.

Usuń zawartość

Usunięcie zawartości z repozytorium nie powoduje usunięcia jej z obszaru roboczego usługi Microsoft Sentinel. Jeśli chcesz usunąć zawartość wdrożona za pośrednictwem repozytoriów, usuń ją zarówno z repozytorium, jak i z usługi Microsoft Sentinel. Na przykład ustaw filtr zawartości na podstawie nazwy źródłowej, aby ułatwić identyfikowanie zawartości z repozytoriów.

Usuń połączenie z repozytorium

W tej procedurze opisano sposób usuwania połączenia z repozytorium kontroli źródła z usługi Microsoft Sentinel. Aby można było używać plików Bicep, połączenie repozytorium musi być nowsze niż 1 listopada 2024 r. Użyj tej procedury, aby usunąć połączenie i utworzyć je ponownie, aby zaktualizować połączenie.

Aby usunąć połączenie:

1. W usłudze Microsoft Sentinel w obszarze Zarządzanie zawartością wybierz pozycję Repozytoria.
2. W siatce wybierz połączenie, które chcesz usunąć, a następnie wybierz pozycję Usuń.
3. Wybierz pozycję Tak , aby potwierdzić usunięcie.

Po usunięciu połączenia zawartość, która została wcześniej wdrożona za pośrednictwem połączenia, pozostaje w obszarze roboczym usługi Microsoft Sentinel. Zawartość dodana do repozytorium po usunięciu połączenia nie zostanie wdrożona.

Jeśli wystąpią problemy lub komunikat o błędzie podczas usuwania połączenia, zalecamy sprawdzenie kontroli źródła. Upewnij się, że przepływ pracy usługi GitHub lub potok usługi Azure DevOps skojarzony z połączeniem został usunięty.

Usuwanie aplikacji Microsoft Sentinel z repozytorium GitHub

Jeśli zamierzasz usunąć aplikację Usługi Microsoft Sentinel z repozytorium GitHub, zalecamy najpierw usunięcie wszystkich skojarzonych połączeń ze strony Repozytoria usługi Microsoft Sentinel.

Każda instalacja aplikacji usługi Microsoft Sentinel ma unikatowy identyfikator używany podczas dodawania i usuwania połączenia. Jeśli brakuje lub zmienisz identyfikator, usuń połączenie ze strony Repozytoria usługi Microsoft Sentinel i ręcznie usuń przepływ pracy z repozytorium GitHub, aby zapobiec wszelkim przyszłym wdrożeniom zawartości.

Powiązana zawartość

Użyj zawartości niestandardowej w usłudze Microsoft Sentinel w taki sam sposób, jak używasz gotowej zawartości.

Aby uzyskać więcej informacji, zobacz:

• Dostosowywanie wdrożeń repozytorium
• Odnajdywanie i wdrażanie rozwiązań usługi Microsoft Sentinel (publiczna wersja zapoznawcza)
• Łączniki danych usługi Microsoft Sentinel