Compartilhar via

Gerir conteúdo como código com Microsoft Sentinel repositórios

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel repositórios permitem-lhe implementar e gerir conteúdos de Sentinel personalizados a partir de um repositório de controlo de origem externo para integração contínua/entrega contínua (CI/CD). Esta automatização elimina a necessidade de processos manuais para atualizar e implementar o conteúdo personalizado nas áreas de trabalho. Um subconjunto de conteúdo como código são deteções como código (DaC). Microsoft Sentinel Repositórios também implementa o DaC.

Para obter mais informações sobre Sentinel conteúdo, veja Acerca Microsoft Sentinel conteúdos e soluções.

Como funcionam Microsoft Sentinel repositórios

Pode implementar estes Microsoft Sentinel tipos de conteúdo personalizados a partir de um repositório de controlo de origem externo ao qual se liga Microsoft Sentinel:

  • Regras de análise
  • Regras de automatização
  • Consultas de investigação
  • Analisadores
  • Manuais de procedimentos
  • Pastas de trabalho

Atualizações efetuar aos conteúdos nos repositórios do Microsoft Sentinel são sincronizados com a sua área de trabalho Microsoft Sentinel e substituem quaisquer alterações efetuadas a esses conteúdos através do portal Microsoft Sentinel. Os seus Microsoft Sentinel repositórios tornam-se a sua única fonte de verdade para conteúdos personalizados nas áreas de trabalho ligadas.

Planear a ligação do repositório

Microsoft Sentinel repositórios requerem um planeamento cuidadoso para garantir que tem as permissões adequadas da área de trabalho para o repositório (repositório) que pretende ligar.

  • Apenas são suportadas ligações ao GitHub e Azure repositórios de DevOps.
  • É necessário acesso de colaborador ao seu repositório do GitHub ou administrador de projetos ao seu Azure repositório de DevOps.
  • A aplicação Microsoft Sentinel precisa de autorização para o seu repositório.
  • As ações têm de estar ativadas para o GitHub.
  • Os pipelines têm de estar ativados para Azure DevOps.
  • Uma ligação Azure DevOps tem de estar no mesmo inquilino que a área de trabalho Microsoft Sentinel.

Criar uma ligação a um repositório requer uma função de Proprietário no grupo de recursos que contém o Microsoft Sentinel área de trabalho.

Se encontrar conteúdo num repositório público em que não é um contribuidor, importe primeiro, bifurque ou clone o conteúdo para um repositório onde é um contribuidor. Em seguida, ligue o repositório à área de trabalho Microsoft Sentinel. Para obter mais informações, veja Implementar conteúdo personalizado a partir do seu repositório.

Máximo de ligações e implementações

  • Cada Microsoft Sentinel área de trabalho está atualmente limitada a cinco ligações de repositório.
  • Cada Azure grupo de recursos está limitado a 800 implementações no histórico de implementações. Se tiver um grande volume de implementações de modelos num ou mais dos seus grupos de recursos, poderá ver o Deployment QuotaExceeded erro. Para obter mais informações, veja DeploymentQuotaExceeded na documentação Azure Resource Manager modelos.

Planear o conteúdo do repositório

Microsoft Sentinel repositórios suportam a implementação de conteúdos armazenados como ficheiros Bicep ou modelos de Azure Resource Manager (ARM). Recomendamos a utilização do Bicep, que é mais intuitivo e facilita a descrição Azure recursos e Microsoft Sentinel conteúdo.

O modelo para cada tipo de conteúdo tem uma estrutura específica e um nome de parâmetro, conforme documentado na referência de modelo de recursos de Sentinel. Para obter exemplos de cada tipo de conteúdo, veja RepositóriosSampleContent.

Fornecemos um repositório de exemplo com modelos para cada um dos tipos de conteúdo listados. O repositório também demonstra como utilizar funcionalidades avançadas de ligações de repositório. Para obter mais informações, veja Microsoft Sentinel exemplo de repositórios CI/CD.

Captura de ecrã a mostrar uma ligação de repositório com êxito. É apresentado RepositóriosSampleContent. Esta captura de ecrã ocorre depois de o exemplo ter sido importado do repositório SentinelCICD para um repositório privado do GitHub na organização FourthCoffee.

Embora possa criar modelos do zero, é frequentemente mais fácil começar a partir dos ficheiros YAML do repositório do GitHub Público Sentinel ou de conteúdos Microsoft Sentinel inicial. Esta tabela descreve como converter um modelo do ARM para utilização com Microsoft Sentinel Repositórios.

Tipo de Conteúdo Converter de Sentinel YAML Público Exportar do Sentinel Referência de Modelo Modelos de Exemplo
Regras de análise Script do Windows PowerShell Exportar funcionalidade ou script do PowerShell Reference Modelos do ARM
Regras de automatização N/D Exportar a funcionalidade ou os scripts do PowerShell Reference N/D
Consultas de investigação Script do Windows PowerShell Azure comandos da CLI Reference Conteúdo de Exemplo
Analisadores Script do PowerShell do ASIM Azure comandos da CLI Reference Templates
Manuais de procedimentos N/D Utilitário do PowerShell Reference N/D
Workbooks N/D Exportar livros como modelos do ARM Reference N/D

Importante

Considerações do Bicep:

  • Para utilizar ficheiros Bicep, a ligação de repositórios tem de ser atualizada se a ligação tiver sido criada antes de 1 de novembro de 2024. As ligações de repositórios têm de ser removidas e recriadas para serem atualizadas.
  • Os ficheiros bicep não suportam a id propriedade . Ao decompor o JSON do ARM para Bicep, certifique-se de que não tem esta propriedade. Por exemplo, os modelos de regras analíticas exportados de Microsoft Sentinel têm a id propriedade que precisa de ser removida.
  • Altere o esquema JSON do ARM para a versão 2019-04-01 para obter os melhores resultados ao decompor-se.

Importante

As regras de análise implementadas com a funcionalidade Repositórios Microsoft Sentinel só podem utilizar consultas entre áreas de trabalho se a área de trabalho de destino estiver no mesmo Grupo de Recursos que a área de trabalho ligada ao repositório.

Para obter informações sobre como criar conteúdo personalizado do zero, veja o wiki relevante Microsoft Sentinel GitHub para cada tipo de conteúdo.

Melhorar o desempenho com implementações inteligentes

Dica

Para garantir que as implementações inteligentes funcionam no GitHub, os Fluxos de Trabalho têm de ter permissões de leitura e escrita no seu repositório. Para obter mais informações, veja Managing GitHub Actions settings for a repository (Gerir definições de GitHub Actions de um repositório).

A funcionalidade de implementações inteligentes é uma capacidade de back-end que melhora o desempenho ao controlar ativamente as modificações efetuadas aos ficheiros de conteúdo de um repositório ligado. Utiliza um ficheiro CSV na pasta no .sentinel seu repositório para auditar cada consolidação. O fluxo de trabalho evita reimplementar conteúdos que não foram modificados desde a última implementação. Este processo melhora o desempenho da implementação e impede a adulteração de conteúdos inalterados na área de trabalho, como a reposição de agendamentos dinâmicos das regras de análise.

As implementações inteligentes estão ativadas por predefinição nas ligações recém-criadas. Se preferir todo o conteúdo de controlo de origem implementado sempre que uma implementação é acionada, quer esse conteúdo tenha sido modificado ou não, modifique o fluxo de trabalho para desativar implementações inteligentes. Para obter mais informações, veja Personalizar o fluxo de trabalho ou pipeline.

Considerar as opções de personalização da implementação

Considere as seguintes opções de personalização ao implementar conteúdo com Microsoft Sentinel repositórios.

Personalizar o fluxo de trabalho ou pipeline

Personalize o fluxo de trabalho ou pipeline de uma das seguintes formas:

  • configurar diferentes acionadores de implementação
  • implementar conteúdo apenas a partir de uma pasta raiz específica para uma determinada área de trabalho
  • agendar o fluxo de trabalho para ser executado periodicamente
  • combinar diferentes eventos de fluxo de trabalho em conjunto
  • desativar implementações inteligentes

Estas personalizações são definidas num ficheiro .yml específico do fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar, veja Personalizar implementações de repositório

Personalizar a implementação

Depois de o fluxo de trabalho ou pipeline ser acionado, a implementação suporta os seguintes cenários:

  • atribuir prioridades ao conteúdo a implementar antes do resto do conteúdo do repositório
  • excluir conteúdo da implementação
  • especificar ficheiros de parâmetros do modelo arm

Estas opções estão disponíveis através de uma funcionalidade do script de implementação do PowerShell chamada a partir do fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar estas personalizações, veja Personalizar implementações de repositório.

Gerir Microsoft Sentinel repositórios com a API

Para obter informações sobre como gerir Microsoft Sentinel repositórios com a API, veja as ações Controlo de Código Fonte e Controlos de Código Fonte na API REST Microsoft Sentinel.

Importante

A partir de junho de 2026, as versões mais antigas da API utilizadas pelo Microsoft Sentinel repositórios deixarão de ser suportadas. Se estiver a utilizar APIs para criar e gerir ligações de repositório, transite para a versão 2025-09-01, 2025-06-01 ou 2025-07-01-preview antes de 15 de junho de 2026 para evitar a interrupção do serviço. As ligações de repositório existentes não são afetadas.

Próximas etapas

Obtenha mais exemplos e instruções passo a passo sobre como implementar Microsoft Sentinel repositórios.

  • Last updated on