Compartilhar via

Gerenciar conteúdo como código com repositórios do Microsoft Sentinel (versão prévia)

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Os repositórios do Microsoft Sentinel permitem implantar e gerenciar conteúdo personalizado do Sentinel de um repositório de controle do código-fonte externo para CI/CD (integração contínua/entrega contínua). Essa automação remove a necessidade de processos manuais para atualizar e implantar seu conteúdo personalizado em workspaces. Um subconjunto de conteúdo como código é detecções como código (DaC). Os repositórios do Microsoft Sentinel também implementam o DaC.

Para obter mais informações sobre o conteúdo do Sentinel, consulte sobre o conteúdo e as soluções do Microsoft Sentinel.

Importante

O recurso Repositórios do Microsoft Sentinel está atualmente em VERSÃO PRÉVIA. Consulte os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos mais legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.

Como funcionam os repositórios do Microsoft Sentinel

Você pode implantar esses tipos de conteúdo personalizado do Microsoft Sentinel de um repositório de controle do código-fonte externo que você conecta ao Microsoft Sentinel:

  • Regras de análise
  • Regras de automação
  • Consultas de busca
  • Analisadores
  • Guias estratégicos
  • Pastas de Trabalho

As atualizações que você faz no conteúdo em seus repositórios do Microsoft Sentinel são sincronizadas com sua área de trabalho do Microsoft Sentinel e substituem as alterações que você faz nesse conteúdo por meio do portal do Microsoft Sentinel. Seus repositórios do Microsoft Sentinel tornam-se sua "única fonte de verdade" para conteúdo personalizado nos workspaces conectados.

Planejar sua conexão de repositório

Os repositórios do Microsoft Sentinel exigem um planejamento cuidadoso, a fim de garantir ao workspace as permissões adequadas para o repositório (repo) que será conectado.

  • Há suporte apenas para conexões a repositórios do GitHub e Azure DevOps.
  • É obrigatório ter acesso de colaborador ao seu repositório do GitHub ou acesso de Administrador do Projeto ao seu repositório do Azure DevOps.
  • O aplicativo Microsoft Sentinel precisa de autorização para seu repositório.
  • As ações devem ser habilitadas para o GitHub.
  • Os pipelines devem ser habilitados para o Azure DevOps.
  • Uma conexão do Azure DevOps deve estar no mesmo locatário que seu workspace do Microsoft Sentinel.

Criar uma conexão com um repositório requer uma função proprietário no grupo de recursos que contém seu workspace do Microsoft Sentinel. Se não for possível usar a função Proprietário em seu ambiente, use a combinação de funções de Administrador de Acesso do Usuário e Colaborador do Sentinel para criar a conexão.

Se você encontrar conteúdo em um repositório público em que você não é um colaborador, primeiro importe, crie um fork ou clone o conteúdo em um repositório em que você é colaborador. Em seguida, conecte o repositório ao workspace do Microsoft Sentinel. Para obter mais informações, consulte Implantar conteúdo personalizado do repositório.

Máximo de conexões e implantações

  • Cada workspace do Microsoft Sentinel está atualmente limitado a cinco conexões de repositório.
  • Cada grupo de recursos do Azure é limitado a 800 implantações em seu histórico de implantação. Se você tiver um grande volume de implantações de modelo em um ou mais de seus grupos de recursos, poderá ver o erro Deployment QuotaExceeded. Para obter mais informações, consulte DeploymentQuotaExceeded na documentação de modelos do Azure Resource Manager.

Planejar o conteúdo do repositório

Os repositórios do Microsoft Sentinel dão suporte à implantação de conteúdo que você armazena como arquivos Bicep ou modelos do ARM (Azure Resource Manager). É recomendável usar o Bicep, que é mais intuitivo e facilita a descrição dos recursos do Azure e do conteúdo do Microsoft Sentinel.

O modelo para cada tipo de conteúdo tem uma estrutura e um nome de parâmetro específicos, conforme documentado na referência de modelo de recursos do Sentinel. Para obter exemplos de cada tipo de conteúdo, consulte o repositório RepositoriesSampleContent.

Fornecemos um repositório de exemplo com modelos para cada um dos tipos de conteúdo listados. O repositório também demonstra como usar recursos avançados de conexões de repositório. Para obter mais informações, consulte o exemplo de repositórios de CI/CD do Microsoft Sentinel.

Captura de tela de uma conexão de repositório bem-sucedida. O RepositoriesSampleContent é mostrado. Esta captura de tela ocorre depois que o conteúdo do exemplo foi importado do repositório SentinelCICD para um repositório GitHub privado no FourthCoffee.

Embora você possa criar modelos do zero, geralmente é mais fácil começar a partir dos arquivos YAML do repositório Público do Sentinel do GitHub ou do conteúdo pronto para uso do Microsoft Sentinel. Esta tabela descreve como converter um modelo do ARM para uso com repositórios do Microsoft Sentinel.

Tipo de conteúdo Converter do YAML público do Sentinel Exportar do Sentinel Referência de modelo Modelos de exemplo
Regras analíticas Script do PowerShell Exportar recurso ou script do PowerShell Referência Modelos ARM
Regras de automação N/A Exportar recursos ou scripts do PowerShell Referência N/A
Consultas de busca Script do PowerShell Comandos da CLI do Azure Referência Conteúdo de exemplo
Analisadores Script do ASIM PowerShell Comandos da CLI do Azure Referência Modelos
Playbooks N/A Utilitário do PowerShell Referência N/A
Planilhas N/A Exportando pastas de trabalho como modelos do ARM Referência N/A

Importante

Considerações sobre o Bicep

  • Para usar arquivos Bicep, a conexão de repositórios precisará ser atualizada se a conexão tiver sido criada antes de 1º de novembro de 2024. As conexões de repositórios devem ser removidas e recriadas para serem atualizadas.
  • Os arquivos Bicep não dão suporte à propriedade id. Ao descompilar o JSON do ARM para o Bicep, verifique se você não tem essa propriedade. Por exemplo, modelos de regra analíticos exportados do Microsoft Sentinel têm a propriedade id, que precisa ser removida.
  • Altere o esquema JSON do ARM para a versão 2019-04-01 para obter melhores resultados ao descompilar.

Importante

As regras analíticas implantadas usando o recurso Repositórios do Microsoft Sentinel só poderão usar consultas entre workspaces se o workspace de destino estiver no mesmo Grupo de Recursos que o workspace conectado ao repositório.

Para obter informações sobre como criar conteúdo personalizado do zero, consulte o wiki relevante do GitHub do Microsoft Sentinel para cada tipo de conteúdo.

Melhorar o desempenho com implantações inteligentes

Dica

Para garantir que as implantações inteligentes funcionem no GitHub, os fluxos de trabalho devem ter permissões de leitura e gravação no repositório. Consulte Como gerenciar as configurações do GitHub Actions para um repositório para obter mais detalhes.

O recurso de implantações inteligentes é uma funcionalidade de back-end que melhora o desempenho acompanhando ativamente as modificações feitas nos arquivos de conteúdo de um repositório conectado. Ele usa um arquivo CSV dentro da pasta .sentinel no repositório para auditar cada commit. O fluxo de trabalho evita a reimplantação de conteúdos que não foram modificados desde a última implantação. Esse processo melhora o desempenho da implantação e evita a adulteração de conteúdos inalterados no workspace, como a redefinição de agendamentos dinâmicos de suas regras de análise.

As implantações inteligentes são habilitadas por padrão em conexões recém-criadas. Se você preferir que todo o conteúdo do controle do código-fonte seja implantado sempre que uma implantação for disparada, independentemente de haver ou não modificações nele, modifique seu fluxo de trabalho para desabilitar as implantações inteligentes. Para obter mais informações, consulte Personalizar o fluxo de trabalho ou o pipeline.

Considerar as opções de personalização de implantação

Considere as seguintes opções de personalização ao implantar conteúdo com repositórios do Microsoft Sentinel.

Personalizar o fluxo de trabalho ou o pipeline

Personalize o fluxo de trabalho ou o pipeline de uma das seguintes maneiras:

  • configurar diferentes gatilhos de implantação
  • só implantar conteúdos de uma pasta raiz específica para um determinado workspace
  • agendar a execução periódica do fluxo de trabalho
  • combinar diferentes eventos de fluxo de trabalho
  • desativar implantações inteligentes

Essas personalizações são definidas em um arquivo .yml específico para seu fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar, consulte Personalizar implantações de repositório

Personalizar a implantação

Depois que o fluxo de trabalho ou o pipeline é disparado, a implantação dá suporte aos seguintes cenários:

  • priorizar o conteúdo a ser implantado antes do restante do conteúdo do repositório
  • excluir conteúdo da implantação
  • especificar arquivos de parâmetro de modelo do ARM

Essas opções estão disponíveis por meio de um recurso do script de implantação do PowerShell chamado do fluxo de trabalho ou do pipeline. Para obter mais informações sobre como implementar essas personalizações, consulte Personalizar implantações de repositório.

Próximas etapas

Obtenha mais exemplos e instruções passo a passo sobre a implantação de repositórios do Microsoft Sentinel.

  • Last updated on