Implementar conteúdo personalizado a partir do repositório (Pré-visualização pública)

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ao criar conteúdo personalizado, você pode gerenciá-lo a partir de seus próprios espaços de trabalho do Microsoft Sentinel ou de um repositório de controle de origem externo. Este artigo descreve como criar e gerenciar conexões entre o Microsoft Sentinel e repositórios do GitHub ou do Azure DevOps. Gerenciar seu conteúdo em um repositório externo permite que você faça atualizações desse conteúdo fora do Microsoft Sentinel e o implante automaticamente em seus espaços de trabalho. Para obter mais informações, consulte Atualizar conteúdo personalizado com conexões de repositório.

Importante

  • O recurso Repositórios do Microsoft Sentinel está atualmente em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
  • O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos e âmbito

Atualmente, o Microsoft Sentinel oferece suporte a conexões com repositórios do GitHub e do Azure DevOps. Antes de conectar seu espaço de trabalho do Microsoft Sentinel ao repositório de controle do código-fonte, verifique se você tem:

  • Uma função Proprietário no grupo de recursos que contém seu espaço de trabalho do Microsoft Sentinel ou uma combinação de funções de Administrador de Acesso de Usuário e Colaborador do Sentinel para criar a conexão
  • Acesso de colaborador ao repositório GitHub ou acesso de Administrador de Projeto ao repositório do Azure DevOps
  • Ações habilitadas para GitHub e Pipelines habilitados para Azure DevOps
  • Acesso a aplicativos de terceiros por meio de OAuth habilitado para políticas de conexão de aplicativos do Azure DevOps.
  • Verifique se os arquivos de conteúdo personalizados que você deseja implantar em seus espaços de trabalho estão em modelos relevantes do Azure Resource Manager (ARM).

Para obter mais informações, consulte Validar seu conteúdo.

Conectar um repositório

Este procedimento descreve como conectar um repositório GitHub ou Azure DevOps ao seu espaço de trabalho do Microsoft Sentinel.

Cada conexão pode oferecer suporte a vários tipos de conteúdo personalizado, incluindo regras de análise, regras de automação, consultas de caça, analisadores, playbooks e pastas de trabalho. Para obter mais informações, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel.

Não pode criar ligações duplicadas, com o mesmo repositório e ramo, numa única área de trabalho do Microsoft Sentinel.

Crie a sua ligação:

  1. Certifique-se de que tem sessão iniciada na aplicação de controlo do código-fonte com as credenciais que pretende utilizar para a sua ligação. Se você estiver conectado usando credenciais diferentes, saia primeiro.

  2. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Repositórios.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Repositories.

  3. Selecione Adicionar novo e, na página Criar nova conexão de implantação, insira um nome e uma descrição significativos para sua conexão.

  4. Na lista suspensa Controle do código-fonte, selecione o tipo de repositório ao qual deseja se conectar e selecione Autorizar.

  5. Selecione uma das seguintes guias, dependendo do seu tipo de conexão:

    1. Insira suas credenciais do GitHub quando solicitado.

      Na primeira vez que adicionar uma ligação, ser-lhe-á pedido para autorizar a ligação ao Microsoft Sentinel. Se você já estiver conectado à sua conta do GitHub no mesmo navegador, suas credenciais do GitHub serão preenchidas automaticamente.

    2. Uma área Repositório agora é exibida na página Criar nova conexão de implantação, onde você pode selecionar um repositório existente ao qual se conectar. Selecione seu repositório na lista e, em seguida, selecione Adicionar repositório.

      Na primeira vez que você se conectar a um repositório específico, verá uma nova janela ou guia do navegador, solicitando que você instale o aplicativo Azure-Sentinel em seu repositório. Se você tiver vários repositórios, selecione aqueles em que deseja instalar o aplicativo Azure-Sentinel e instale-o.

      Você é direcionado para o GitHub para continuar a instalação do aplicativo.

    3. Depois que o aplicativo Azure-Sentinel é instalado em seu repositório, a lista suspensa Ramificação na página Criar nova conexão de implantação é preenchida com suas ramificações. Selecione a ramificação que você deseja conectar ao seu espaço de trabalho do Microsoft Sentinel.

    4. Na lista suspensa Tipos de conteúdo, selecione o tipo de conteúdo que você está implantando.

      • Tanto os analisadores quanto as consultas de caça usam a API de Pesquisas Salvas para implantar conteúdo no Microsoft Sentinel. Se você selecionar um desses tipos de conteúdo e também tiver conteúdo do outro tipo em sua ramificação, ambos os tipos de conteúdo serão implantados.

      • Para todos os outros tipos de conteúdo, selecionar um tipo de conteúdo no painel Criar nova conexão de implantação implanta apenas esse conteúdo no Microsoft Sentinel. O conteúdo de outros tipos não é implantado.

    5. Selecione Criar para criar sua conexão. Por exemplo:

      Captura de tela de uma nova conexão de repositório GitHub.

Depois de criar a conexão, um novo fluxo de trabalho ou pipeline é gerado em seu repositório. O conteúdo armazenado no repositório é implantado no espaço de trabalho do Microsoft Sentinel.

O tempo de implantação pode variar dependendo do volume de conteúdo que você está implantando.

Exibir o status da implantação

No GitHub: na guia Ações do repositório, selecione o arquivo .yaml do fluxo de trabalho para acessar logs de implantação detalhados e quaisquer mensagens de erro específicas.

No Azure DevOps: exiba o status da implantação na guia Pipelines do repositório.

Após a conclusão da implantação:

  • O conteúdo armazenado no repositório é exibido no espaço de trabalho do Microsoft Sentinel, na página relevante do Microsoft Sentinel.

  • Os detalhes da conexão na página Repositórios são atualizados com o link para os logs de implantação da conexão e o status e a hora da última implantação. Por exemplo:

    Captura de tela dos logs de implantação de uma conexão de repositório GitHub.

O fluxo de trabalho padrão implanta apenas o conteúdo modificado desde a última implantação com base em confirmações no repositório. Mas convém desativar implantações inteligentes ou executar outras personalizações. Por exemplo, você pode configurar diferentes gatilhos de implantação ou implantar conteúdo exclusivamente de uma pasta raiz específica. Para saber mais, consulte Personalizar implantações de repositório.

Editar conteúdo

Quando você cria com êxito uma conexão com o repositório de controle do código-fonte, seu conteúdo é implantado no Sentinel. Recomendamos que você edite o conteúdo armazenado em um repositório conectado somente no repositório, e não no Microsoft Sentinel. Por exemplo, para fazer alterações em suas regras de análise, faça-o diretamente no GitHub ou no Azure DevOps.

Se, em vez disso, você editar o conteúdo no Microsoft Sentinel, certifique-se de exportá-lo para o repositório de controle do código-fonte para evitar que as alterações sejam substituídas na próxima vez que o conteúdo do repositório for implantado no espaço de trabalho.

Eliminar conteúdo

A exclusão de conteúdo do repositório não o exclui do espaço de trabalho do Microsoft Sentinel. Se você quiser remover o conteúdo que foi implantado por meio de repositórios, exclua-o do repositório e do Microsoft Sentinel. Por exemplo, defina um filtro para o conteúdo com base no nome da fonte para facilitar a identificação do conteúdo dos repositórios.

Captura de tela de regras de análise filtradas pelo nome de origem dos repositórios.

Remover uma conexão de repositório

Este procedimento descreve como remover a conexão com um repositório de controle do código-fonte do Microsoft Sentinel.

Para remover a ligação:

  1. No Microsoft Sentinel, em Gerenciamento de conteúdo, selecione Repositórios.
  2. Na grelha, selecione a ligação que pretende remover e, em seguida, selecione Eliminar.
  3. Selecione Sim para confirmar a exclusão.

Depois de remover a ligação, o conteúdo que foi anteriormente implementado através da ligação permanece na área de trabalho do Microsoft Sentinel. O conteúdo adicionado ao repositório após a remoção da conexão não é implantado.

Se você encontrar problemas ou uma mensagem de erro ao excluir sua conexão, recomendamos que verifique o controle do código-fonte. Confirme se o fluxo de trabalho do GitHub ou o pipeline do Azure DevOps associado à conexão foi excluído.

Remova o aplicativo Microsoft Sentinel do repositório GitHub

Se você pretende excluir o aplicativo Microsoft Sentinel de um repositório GitHub, recomendamos que primeiro remova todas as conexões associadas da página Repositórios do Microsoft Sentinel.

Cada instalação do aplicativo Microsoft Sentinel tem uma ID exclusiva que é usada ao adicionar e remover a conexão. Se a ID estiver ausente ou alterada, remova a conexão da página Repositórios do Microsoft Sentinel e remova manualmente o fluxo de trabalho do repositório do GitHub para evitar futuras implantações de conteúdo.

Próximos passos

Use seu conteúdo personalizado no Microsoft Sentinel da mesma forma que usaria conteúdo pronto para uso.

Para obter mais informações, consulte: