Partilhar via

Empacotar e publicar uma solução de plataforma Microsoft Sentinel

Uma solução de plataforma Microsoft Sentinel é um pacote implantável para o data lake do Microsoft Sentinel. Inclui código e configuração que o ajudam a analisar e responder a dados de segurança.

Este artigo mostra como empacotar e publicar sua solução de plataforma concluída no Microsoft Security Store.

Pré-requisitos

Antes de começar, consulte os pré-requisitos da solução de plataforma Microsoft Sentinel.

Preparar os componentes da solução

Antes de criar o manifesto do pacote, verifique se todos os componentes da solução aderem à estrutura e aos formatos de nomenclatura necessários.

Importante

Cada solução de plataforma deve incluir um AgentManifest.yaml arquivo.

  • UmAgentManifest.yaml arquivo.
  • Você pode incluir as especificações do plugin Copilot:
    • Especificações do plug-in da API nomeadas openapispec_<number>.yaml ou openapispec_<number>.json.
    • Especificações do plugin GPT ou KQL nomeadas template_<number>.txt.
  • Você pode incluir tarefas de notebooks do Sentinel Data Lake:
    • Cada trabalho deve incluir um .job.yaml arquivo e o bloco de anotações correspondente.
  • Você pode incluir mainTemplate.json se sua solução implanta recursos do Azure.

Observação

O modelo ARM não suporta a entrada do usuário.

Criar o manifesto do pacote

Crie um manifesto de pacote para listar os componentes da solução. Inclui o nome da solução, a descrição e o conteúdo do pacote.

  1. No Visual Studio Code, abra a vista Explorador de Ficheiros.

  2. Clique com o botão direito do mouse em uma área vazia e selecione Microsoft Sentinel > Create Package Manifest.

  3. Insira um nome na caixa de diálogo Salvar como e salve o manifesto na pasta da solução. O VS Code cria um .package.yaml arquivo e o abre no editor de manifesto do pacote.

  4. Preencha os detalhes do pacote no editor:

    • Nome do pacote: O nome que aparece no Microsoft Security Store.

    • Descrição: Uma breve explicação do que o pacote faz.

    • Incluir caminhos: As pastas que contêm o manifesto do agente, arquivos YAML de trabalho, blocos de anotações e outros arquivos necessários.

      Captura de tela da caixa de diálogo Criar Definição de Pacote no Visual Studio Code mostrando campos para nome do pacote, descrição e caminhos de inclusão.

  5. (Opcional) Selecione Exibir YAML para editar o arquivo YAML.

Exemplo de manifesto

packageName: ContosoPlatformSolution
description: Provides advanced hunting notebooks and Copilot plugins for Contoso firewall logs.
includePaths:
  - ./AgentManifest.yaml
  - ./jobs/
  - ./notebooks/

Criar o arquivo ZIP implantável

Depois de definir o manifesto do pacote, crie o arquivo ZIP exigido pelo Microsoft Security Store.

  1. Abra o ficheiro de manifesto .package.yaml no Visual Studio Code.
  2. No editor de manifesto, selecione Criar arquivo ZIP de pacote.
  3. A ferramenta cria um arquivo ZIP e o salva localmente.

Publicar na Loja de Segurança da Microsoft

Depois de criar o ficheiro ZIP, publique-o no Microsoft Security Store.

  1. Abra o portal do editor do Microsoft Security Store.
  2. Crie uma nova oferta de solução de plataforma e carregue o pacote ZIP.
  3. Preencha os detalhes da oferta necessária e envie para validação.

Sugestão

Publique primeiro como uma oferta privada para fazer a sua validação no seu ambiente.

Conteúdo relacionado

Para obter uma introdução às soluções Microsoft Sentinel SIEM, consulte:

  • Last updated on