Compartilhar via

Gerenciar conteúdos personalizados com repositórios do Microsoft Sentinel (versão prévia pública)

  • Artigo

O recurso de repositórios do Microsoft Sentinel fornece uma experiência central para a implantação e o gerenciamento do conteúdo do Sentinel como código. Os repositórios permitem conexões com um controle de código-fonte externo para CI/CD (integração contínua/entrega contínua). Essa automação elimina os processos manuais de atualização e implantação de conteúdo personalizado nos workspaces. Para saber mais sobre os conteúdos do Sentinel, confira Conteúdos e soluções do Microsoft Sentinel.

Importante

O recurso de Repositórios do Microsoft Sentinel está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Planejar sua conexão de repositório

Os repositórios do Microsoft Sentinel exigem um planejamento cuidadoso, a fim de garantir ao workspace as permissões adequadas para o repositório (repo) que será conectado. No momento, só há suporte para conexões com repositórios do GitHub e do Azure DevOps que tenham acesso de colaborador. O aplicativo Microsoft Sentinel precisa de autorização em seu repositório, de ações habilitadas para o GitHub e de pipelines habilitados para o Azure DevOps.

Os repositórios exigem uma função de Proprietário no grupo de recursos que contém o workspace do Microsoft Sentinel. Essa função é necessária para criar a conexão entre o Microsoft Sentinel e o repositório do controle do código-fonte. Se não for possível usar a função de Proprietário no ambiente, use a combinação das funções Administrador de acesso do usuário e Colaborador do Sentinel para criar a conexão.

Quando você encontrar conteúdos em um repositório público do qual não é colaborador, precisará colocá-los em seu repositório primeiro. É possível fazer isso com uma importação, fork ou clonagem do conteúdo em um repositório do qual você é colaborador. Em seguida, é possível conectar seu repositório ao workspace do Sentinel. Para obter mais informações, consulte Como implantar conteúdo personalizado a partir de seu repositório.

Validar seu conteúdo

Os seguintes tipos de conteúdo do Microsoft Sentinel podem ser implantados por meio de uma conexão de repositório:

  • Regras de análise
  • Regras de automação
  • Consultas de busca
  • Analisadores
  • Guias estratégicos
  • Pastas de trabalho

Dica

Este artigo não descreve como criar esses tipos de conteúdo do zero. Para mais informações, confira o Wiki do GitHub do Microsoft Azure Sentinel relevante para cada tipo de conteúdo.

O conteúdo dos repositórios precisa ser armazenado na forma de modelos do ARM. A implantação dos repositórios não valida o conteúdo, exceto para confirmar se ele está no formato JSON correto.

A primeira etapa para validar seu conteúdo é testá-lo no Microsoft Sentinel. Também é possível aplicar ferramentas e o processo de validação do Microsoft Sentinel para GitHub a fim de complementar seu processo de validação.

Um repositório de amostra está disponível com modelos do ARM para cada um dos tipos de conteúdo listados acima. O repositório também demonstra como usar recursos avançados de conexões de repositório. Para saber mais, confira Exemplo de repositórios de CI/CD do Sentinel.

Captura de tela de uma conexão de repositório bem-sucedida. O RepositoriesSampleContent é mostrado. Esta captura de tela é posterior à importação do exemplo do repositório de CI/CD do Sentinel para um repositório privado do GitHub na organização FourthCoffee.

Máximo de conexões e implantações

  • Atualmente, cada workspace do Microsoft Sentinel está limitado a cinco conexões de repositório.

  • Cada grupo de recursos do Azure é limitado a 800 implantações no histórico. Se você tiver um alto volume de implantações de modelos do ARM em seus grupos de recursos, o erro Deployment QuotaExceeded poderá ser exibido. Para obter mais informações, consulte DeploymentQuotaExceeded na documentação de modelos de Azure Resource Manager.

Melhorar o desempenho com implantações inteligentes

Dica

Para garantir que as implantações inteligentes funcionem no GitHub, os fluxos de trabalho devem ter permissões de leitura e gravação no repositório. Consulte Gerenciando configurações do GitHub Actions para um repositório para obter mais detalhes.

O recurso de implantações inteligentes é um recurso de back-end que melhora o desempenho rastreando ativamente as modificações feitas nos arquivos de conteúdo de um repositório conectado. Ele usa um arquivo CSV dentro da pasta '.sentinel' do repositório para auditar cada commit. O fluxo de trabalho evita a reimplantação de conteúdos que não foram modificados desde a última implantação. Esse processo melhora o desempenho da implantação e evita a adulteração de conteúdos inalterados no workspace, como a redefinição de agendamentos dinâmicos de suas regras de análise.

As implantações inteligentes são habilitadas por padrão em conexões recém-criadas. Para que todo o conteúdo do controle de código-fonte seja implantado sempre que uma implantação for disparada, independentemente de haver ou não modificações nele, modifique seu fluxo de trabalho para desabilitar as implantações inteligentes. Para mais informações, confira Personalizar o fluxo de trabalho ou o pipeline.

Observação

Essa funcionalidade foi lançada em versão prévia pública em 20 de abril de 2022. As conexões criadas antes do lançamento precisariam ser atualizadas ou recriadas para que as implantações inteligentes fossem ativadas.

Considerar as opções de personalização de implantação

Várias opções de personalização estão disponíveis para serem consideradas ao implantar conteúdo com repositórios do Microsoft Sentinel.

Personalizar o fluxo de trabalho ou o pipeline

Talvez você queira personalizar o fluxo de trabalho ou o pipeline de uma das seguintes maneiras:

  • configurar diferentes gatilhos de implantação
  • só implantar conteúdos de uma pasta raiz específica para um determinado workspace
  • agendar a execução periódica do fluxo de trabalho
  • combinar diferentes eventos de fluxo de trabalho
  • desativar implantações inteligentes

Essas personalizações são definidas em um arquivo .yml específico para seu fluxo de trabalho ou pipeline. Para mais detalhes sobre como implementar, confira Personalizar implantações de repositório

Personalizar a implantação

Depois que o fluxo de trabalho ou o pipeline é disparado, a implantação dá suporte aos seguintes cenários:

  • priorizar o conteúdo a ser implantado antes do restante do conteúdo do repositório
  • excluir conteúdo da implantação
  • especificar arquivos de parâmetro de modelo do ARM

Essas opções estão disponíveis por meio de um recurso do script de implantação do PowerShell chamado do fluxo de trabalho ou do pipeline. Para saber como implementar essas personalizações, confira Personalizar o implantações de repositório.

Próximas etapas

Obtenha mais exemplos e instruções passo a passo sobre a implantação de repositórios do Microsoft Sentinel.