Implementar conteúdo como código a partir do seu repositório (Pré-visualização)

Ao criar conteúdo personalizado, pode geri-lo a partir das suas próprias áreas de trabalho Microsoft Sentinel ou de um repositório de controlo de código fonte externo. Este artigo descreve como criar e gerir ligações entre Microsoft Sentinel e o GitHub ou Azure repositórios de DevOps. Gerir os seus conteúdos num repositório externo permite-lhe fazer atualizações a esse conteúdo fora do Microsoft Sentinel e implementá-lo automaticamente nas áreas de trabalho. Para obter mais informações, veja Atualizar conteúdo personalizado com ligações de repositório.

Importante

• A funcionalidade Repositórios Microsoft Sentinel está atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
• Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender. Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).

Pré-requisitos

Microsoft Sentinel atualmente suporta ligações ao GitHub e Azure repositórios de DevOps. Antes de ligar a área de trabalho Microsoft Sentinel ao repositório de controlo de origem, certifique-se de que:

• Tem uma função de Proprietário no grupo de recursos que contém o Microsoft Sentinel área de trabalho
• Os ficheiros de conteúdo personalizados que pretende implementar nas áreas de trabalho estão num formato suportado. Para obter os formatos suportados, veja Planear o conteúdo do repositório.
• A conta que utiliza para criar a ligação encontra-se no seu inquilino de casa. As identidades externas, como as contas de convidado B2B e o acesso delegado, não são suportadas.

Pré-requisitos do GitHub

• Acesso de colaborador ao seu repositório do GitHub
• Ações ativadas para o GitHub e Pipelines ativadas para Azure DevOps

pré-requisitos do Azure DevOps

• Acesso do Administrador do Project ao seu repositório de DevOps do Azure
• Acesso a aplicações de terceiros através de OAuth ativado para Azure políticas de ligação de aplicações de DevOps.
• Uma ligação Azure DevOps no mesmo inquilino que a área de trabalho Microsoft Sentinel

Para obter mais informações sobre tipos de conteúdo implementáveis, veja Planear o conteúdo do repositório.

Ligar um repositório

Este procedimento descreve como ligar um repositório do GitHub ou Azure DevOps à área de trabalho Microsoft Sentinel.

Cada ligação pode suportar vários tipos de conteúdo personalizado, incluindo regras de análise, regras de automatização, consultas de investigação, analisadores, manuais de procedimentos e livros. Para obter mais informações, veja Acerca Microsoft Sentinel conteúdos e soluções.

Não pode criar ligações duplicadas, com o mesmo repositório e ramo, numa única Microsoft Sentinel área de trabalho.

Crie a ligação:

1. Certifique-se de que tem sessão iniciada na sua aplicação de controlo de origem com as credenciais que pretende utilizar para a sua ligação. Se tiver sessão iniciada atualmente com credenciais diferentes, termine a sessão primeiro.

2. Para Microsoft Sentinel na portal do Azure, em Gestão de conteúdos, selecione Repositórios.
   Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Positórios de gestão> de inquilinos.

3. Selecione Adicionar novo e, em seguida, na página Criar nova ligação de implementação , introduza um nome e uma descrição relevantes para a sua ligação.

4. Na lista pendente Controlo de Código Fonte , selecione o tipo de repositório ao qual pretende ligar e, em seguida, selecione Autorizar.

5. Selecione um dos seguintes separadores, consoante o tipo de ligação:

   GitHub

   1. Introduza as suas credenciais do GitHub quando lhe for pedido.

      Quando adicionar uma ligação pela primeira vez, ser-lhe-á pedido que autorize a ligação a Microsoft Sentinel. Se já tiver sessão iniciada na sua conta do GitHub no mesmo browser, as suas credenciais do GitHub são preenchidas automaticamente.

   2. Uma área de Repositório é agora apresentada na página Criar nova ligação de implementação , onde pode selecionar um repositório existente ao qual ligar. Selecione o seu repositório na lista e, em seguida, selecione Adicionar repositório.

      Quando se ligar pela primeira vez a um repositório específico, verá uma nova janela ou separador do browser, solicitando-lhe que instale a aplicação Azure Sentinel no seu repositório. Se tiver vários repositórios, selecione os que pretende instalar a aplicação Azure-Sentinel e instale-a.

      É direcionado para o GitHub para continuar a instalação da aplicação.

   3. Após a instalação da aplicação Azure-Sentinel no seu repositório, o menu pendente Ramo na página Criar nova ligação de implementação é preenchido com os ramos. Selecione o ramo que pretende ligar à área de trabalho Microsoft Sentinel.

   4. Na lista pendente Tipos de Conteúdo , selecione o tipo de conteúdo que está a implementar.

      • Tanto os analisadores como as consultas de investigação utilizam a API de Pesquisas Guardadas para implementar conteúdo no Microsoft Sentinel. Se selecionar um destes tipos de conteúdo e também tiver conteúdo do outro tipo no ramo, ambos os tipos de conteúdo são implementados.

      • Para todos os outros tipos de conteúdo, selecionar um tipo de conteúdo no painel Criar nova ligação de implementação implementa apenas esse conteúdo para Microsoft Sentinel. O conteúdo de outros tipos não é implementado.

   5. Selecione Criar para criar a ligação. Por exemplo:

      

   Azure DevOps

   Está automaticamente autorizado a Azure DevOps com as suas credenciais de Azure atuais. Verifique se está autorizado para o mesmo inquilino Azure DevOps ao qual se está a ligar a partir do Microsoft Sentinel ou utilize uma janela do browser InPrivate para criar a ligação.

   1. No Microsoft Sentinel, nas listas pendentes apresentadas, selecione a sua Organização, Projeto, Repositório, Ramo e Tipos de Conteúdo.

      • Tanto os analisadores como as consultas de investigação utilizam a API de Pesquisas Guardadas para implementar conteúdo no Microsoft Sentinel. Se selecionar um destes tipos de conteúdo e também tiver conteúdo do outro tipo no ramo, ambos os tipos de conteúdo são implementados.

      • Para todos os outros tipos de conteúdo, selecionar um tipo de conteúdo no painel Criar nova ligação de implementação implementa apenas esse conteúdo para Microsoft Sentinel. O conteúdo de outros tipos não é implementado.

   2. Selecione Criar para criar a ligação. Por exemplo:

      

Depois de criar a ligação, é gerado um novo fluxo de trabalho ou pipeline no seu repositório. O conteúdo armazenado no seu repositório é implementado na área de trabalho Microsoft Sentinel.

O tempo de implementação pode variar consoante o volume de conteúdo que está a implementar.

Ver o estado da implementação

No GitHub: no separador Ações do repositório, selecione o ficheiro .yaml do fluxo de trabalho para aceder a registos de implementação detalhados e a quaisquer mensagens de erro específicas.

No Azure DevOps: veja o estado da implementação no separador Pipelines do repositório.

Após a conclusão da implementação:

• O conteúdo armazenado no seu repositório é apresentado na área de trabalho Microsoft Sentinel, na página de Microsoft Sentinel relevante.

• Os detalhes de ligação na página Repositórios são atualizados com a ligação para os registos de implementação da ligação e o estado e a hora da última implementação. Por exemplo:

  

O fluxo de trabalho predefinido só implementa conteúdos modificados desde a última implementação com base em consolidações no repositório. No entanto, poderá querer desativar as implementações inteligentes ou efetuar outras personalizações. Por exemplo, pode configurar diferentes acionadores de implementação ou implementar conteúdo exclusivamente a partir de uma pasta raiz específica. Para saber mais, veja Personalizar implementações de repositórios.

Editar conteúdo

Quando cria com êxito uma ligação ao repositório de controlo de origem, o seu conteúdo é implementado no Sentinel. Recomendamos que edite conteúdo armazenado num repositório ligado apenas no repositório e não no Microsoft Sentinel. Por exemplo, para fazer alterações às regras de análise, faça-o diretamente no GitHub ou Azure DevOps.

Se editar o conteúdo no Microsoft Sentinel, certifique-se de que o exporta para o repositório de controlo de origem para impedir que as alterações sejam substituídas da próxima vez que o conteúdo do repositório for implementado na área de trabalho.

Eliminar conteúdo

A eliminação de conteúdo do repositório não o elimina da área de trabalho Microsoft Sentinel. Se quiser remover conteúdos que foram implementados através de repositórios, elimine-o do repositório e Microsoft Sentinel. Por exemplo, defina um filtro para o conteúdo com base no nome de origem para facilitar a identificação de conteúdos de repositórios.

Remover uma ligação de repositório

Este procedimento descreve como remover a ligação a um repositório de controlo de origem de Microsoft Sentinel. Para utilizar ficheiros Bicep, a ligação do repositório tem de ser mais recente do que 1 de novembro de 2024. Utilize este procedimento para remover a ligação e recriá-la para atualizar a ligação.

Para remover a ligação:

1. Em Microsoft Sentinel, em Gestão de conteúdos, selecione Repositórios.
2. Na grelha, selecione a ligação que pretende remover e, em seguida, selecione Eliminar.
3. Selecione Sim para confirmar a eliminação.

Depois de remover a ligação, o conteúdo que foi implementado anteriormente através da ligação permanece na área de trabalho Microsoft Sentinel. O conteúdo adicionado ao repositório depois de remover a ligação não é implementado.

Se encontrar problemas ou uma mensagem de erro ao eliminar a ligação, recomendamos que verifique o controlo de origem. Confirme que o fluxo de trabalho do GitHub ou Azure pipeline de DevOps associado à ligação foi eliminado.

Remover a aplicação Microsoft Sentinel do seu repositório do GitHub

Se pretender eliminar a aplicação Microsoft Sentinel de um repositório do GitHub, recomendamos que remova primeiro todas as ligações associadas da página repositórios Microsoft Sentinel.

Cada instalação da Aplicação Microsoft Sentinel tem um ID exclusivo que é utilizado ao adicionar e remover a ligação. Se o ID estiver em falta ou alterado, remova a ligação da página repositórios Microsoft Sentinel e remova manualmente o fluxo de trabalho do seu repositório do GitHub para impedir futuras implementações de conteúdos.

Conteúdos relacionados

Utilize os seus conteúdos personalizados no Microsoft Sentinel da mesma forma que utilizaria conteúdo inicial.

Para mais informações, consulte:

• Personalizar implementações de repositório
• Descobrir e implementar soluções de Microsoft Sentinel (Pré-visualização pública)
• Microsoft Sentinel conectores de dados