Share via

Zarządzanie zawartością niestandardową za pomocą repozytoriów usługi Microsoft Sentinel (publiczna wersja zapoznawcza)

  • Artykuł

Funkcja repozytoriów usługi Microsoft Sentinel zapewnia centralne środowisko wdrażania zawartości usługi Sentinel i zarządzania nią jako kodu. Repozytoria umożliwiają nawiązywanie połączeń z zewnętrzną kontrolą źródła na potrzeby ciągłej integracji/ciągłego dostarczania (CI/CD). Ta automatyzacja eliminuje obciążenie procesów ręcznych w celu aktualizowania i wdrażania niestandardowej zawartości między obszarami roboczymi. Aby uzyskać więcej informacji na temat zawartości usługi Sentinel, zobacz About Microsoft Sentinel content and solutions (Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel).

Ważne

Funkcja Repozytoria usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla platformy Microsoft Azure w wersji zapoznawczej , aby uzyskać dodatkowe warunki prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w ogólnej dostępności.

Planowanie połączenia repozytorium

Repozytoria usługi Microsoft Sentinel wymagają starannego planowania, aby upewnić się, że masz odpowiednie uprawnienia z obszaru roboczego do repozytorium (repozytorium), które chcesz połączyć. Obecnie obsługiwane są tylko połączenia z repozytoriami GitHub i Azure DevOps z dostępem współautora. Aplikacja Microsoft Sentinel będzie musiała mieć autoryzację dla repozytorium i włączyć akcje dla usługi GitHub i potoków dla usługi Azure DevOps.

Repozytoria wymagają roli Właściciel w grupie zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. Ta rola jest wymagana do utworzenia połączenia między usługą Microsoft Sentinel i repozytorium kontroli źródła. Jeśli nie możesz użyć roli Właściciel w twoim środowisku, możesz zamiast tego użyć kombinacji ról administratorów dostępu użytkowników i współautora usługi Sentinel , aby utworzyć połączenie.

Jeśli znajdziesz zawartość w repozytorium publicznym, w którym nie jesteś współautorem, musisz najpierw pobrać zawartość do repozytorium. Możesz to zrobić za pomocą importowania, rozwidlenia lub klonowania zawartości do repozytorium, w którym jesteś współautorem. Następnie możesz połączyć repozytorium z obszarem roboczym usługi Sentinel. Aby uzyskać więcej informacji, zobacz Wdrażanie zawartości niestandardowej z repozytorium.

Weryfikowanie zawartości

Następujące typy zawartości usługi Microsoft Sentinel można wdrożyć za pośrednictwem połączenia repozytorium:

  • Reguły analizy
  • Reguły automatyzacji
  • Zapytania dotyczące wyszukiwania zagrożeń
  • Parsery
  • Podręczniki
  • Skoroszyty

Porada

W tym artykule nie opisano sposobu tworzenia tych typów zawartości od podstaw. Aby uzyskać więcej informacji, zobacz odpowiednią witrynę typu wiki usługi GitHub usługi Microsoft Sentinel dla każdego typu zawartości.

Zawartość repozytoriów musi być przechowywana jako szablony usługi ARM. Wdrożenie repozytoriów nie weryfikuje zawartości z wyjątkiem potwierdzenia, że jest w poprawnym formacie JSON.

Pierwszym krokiem do zweryfikowania zawartości jest przetestowanie jej w usłudze Microsoft Sentinel. Możesz również zastosować proces weryfikacji i narzędzia usługi GitHub usługi Microsoft Sentinel w celu uzupełnienia procesu weryfikacji.

Przykładowe repozytorium jest dostępne z szablonami usługi ARM dla każdego z wymienionych powyżej typów zawartości. Repozytorium pokazuje również, jak korzystać z zaawansowanych funkcji połączeń repozytorium. Aby uzyskać więcej informacji, zobacz Przykładowe repozytoria CICD usługi Sentinel.

Zrzut ekranu przedstawiający pomyślne połączenie repozytorium. Zostaną wyświetlone repozytoriaSampleContent. Ten zrzut ekranu jest po zaimportowaniu przykładu z repozytorium SentinelCICD do prywatnego repozytorium GitHub w organizacji FourthCoffee.

Maksymalna liczba połączeń i wdrożeń

  • Każdy obszar roboczy usługi Microsoft Sentinel jest obecnie ograniczony do pięciu połączeń repozytorium.

  • Każda grupa zasobów platformy Azure jest ograniczona do 800 wdrożeń w historii wdrożenia. Jeśli masz dużą liczbę wdrożeń szablonów usługi ARM w grupach zasobów, może zostać wyświetlony Deployment QuotaExceeded błąd. Aby uzyskać więcej informacji, zobacz DeploymentQuotaExceededed w dokumentacji szablonów usługi Azure Resource Manager.

Zwiększanie wydajności przy użyciu wdrożeń inteligentnych

Porada

Aby zapewnić, że inteligentne wdrożenia działają w usłudze GitHub, przepływy pracy muszą mieć uprawnienia do odczytu i zapisu w repozytoriach. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami GitHub Actions repozytorium.

Funkcja wdrożeń inteligentnych to funkcja zaplecza, która poprawia wydajność, aktywnie śledząc modyfikacje wprowadzone w plikach zawartości połączonego repozytorium. Używa on pliku CSV w folderze ".sentinel" w repozytorium do inspekcji każdego zatwierdzenia. Przepływ pracy unika ponownego wdrażania zawartości, która nie została zmodyfikowana od ostatniego wdrożenia. Ten proces poprawia wydajność wdrożenia i uniemożliwia manipulowanie niezmienioną zawartością w obszarze roboczym, na przykład resetowanie dynamicznych harmonogramów reguł analizy.

Wdrożenia inteligentne są domyślnie włączone w nowo utworzonych połączeniach. Jeśli wolisz wdrożyć całą zawartość kontroli źródła za każdym razem, gdy wdrożenie zostanie wyzwolone, niezależnie od tego, czy ta zawartość została zmodyfikowana, czy nie, możesz zmodyfikować przepływ pracy, aby wyłączyć inteligentne wdrożenia. Aby uzyskać więcej informacji, zobacz Dostosowywanie przepływu pracy lub potoku.

Uwaga

Ta funkcja została uruchomiona w publicznej wersji zapoznawczej 20 kwietnia 2022 r. Połączenia utworzone przed uruchomieniem muszą zostać zaktualizowane lub ponownie utworzone w celu włączenia inteligentnych wdrożeń.

Rozważ opcje dostosowywania wdrożenia

Podczas wdrażania zawartości za pomocą repozytoriów usługi Microsoft Sentinel jest dostępnych wiele opcji dostosowywania.

Dostosowywanie przepływu pracy lub potoku

Możesz dostosować przepływ pracy lub potok w jeden z następujących sposobów:

  • konfigurowanie różnych wyzwalaczy wdrażania
  • wdrażanie zawartości tylko z określonego folderu głównego dla danego obszaru roboczego
  • planowanie przepływu pracy do okresowego uruchamiania
  • łączenie różnych zdarzeń przepływu pracy razem
  • wyłączanie wdrożeń inteligentnych

Te dostosowania są definiowane w pliku yml specyficznym dla przepływu pracy lub potoku. Aby uzyskać więcej informacji na temat implementowania, zobacz Dostosowywanie wdrożeń repozytorium

Dostosowywanie wdrożenia

Po wyzwoleniu przepływu pracy lub potoku wdrożenie obsługuje następujące scenariusze:

  • Określanie priorytetów zawartości do wdrożenia przed resztą zawartości repozytorium
  • wykluczanie zawartości z wdrożenia
  • określanie plików parametrów szablonu usługi ARM

Te opcje są dostępne za pośrednictwem funkcji skryptu wdrażania programu PowerShell wywoływanego z przepływu pracy lub potoku. Aby uzyskać więcej informacji na temat implementowania tych dostosowań, zobacz Dostosowywanie wdrożeń repozytorium.

Następne kroki

Uzyskaj więcej przykładów i instrukcje krok po kroku dotyczące wdrażania repozytoriów usługi Microsoft Sentinel.