Развертывание содержимого в виде кода из репозитория (предварительная версия)

При создании пользовательского содержимого вы можете управлять им из собственных Microsoft Sentinel рабочих областей или внешнего репозитория системы управления версиями. В этой статье описывается, как создавать подключения между Microsoft Sentinel и GitHub или Azure репозиториями DevOps и управлять ими. Управление содержимым во внешнем репозитории позволяет обновлять это содержимое за пределами Microsoft Sentinel и автоматически развертывать его в рабочих областях. Дополнительные сведения см. в разделе Обновление пользовательского содержимого с помощью подключений к репозиторию.

Важно!

• Функция репозиториев Microsoft Sentinel в настоящее время доступна в предварительной версии. Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.
• После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender. Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуем начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.

Предварительные условия

Microsoft Sentinel сейчас поддерживает подключения к репозиториям GitHub и Azure DevOps. Перед подключением рабочей области Microsoft Sentinel к репозиторию системы управления версиями убедитесь, что:

• У вас есть роль владельца в группе ресурсов, содержащей рабочую область Microsoft Sentinel.
• Файлы пользовательского содержимого, которые необходимо развернуть в рабочих областях, имеют поддерживаемый формат. Поддерживаемые форматы см. в статье Планирование содержимого репозитория.
• Учетная запись, используемая для создания подключения, находится в вашем домашнем клиенте. Внешние удостоверения, такие как гостевые учетные записи B2B и делегированный доступ, не поддерживаются.

Предварительные требования для GitHub

• Доступ к репозиторию GitHub для участников совместной работы
• Действия, включенные для GitHub и Pipelines, включенные для Azure DevOps

предварительные требования Azure DevOps

• Доступ администратора проекта к репозиторию DevOps Azure
• Доступ к сторонним приложениям через OAuth включен для Azure политик подключения приложений DevOps.
• Подключение Azure DevOps в том же клиенте, что и рабочая область Microsoft Sentinel.

Дополнительные сведения о развертываемых типах контента см. в статье Планирование содержимого репозитория.

Подключение репозитория

В этой процедуре описывается, как подключить репозиторий GitHub или Azure DevOps к рабочей области Microsoft Sentinel.

Каждое подключение может поддерживать несколько типов пользовательского содержимого, включая правила аналитики, правила автоматизации, запросы охоты, средства синтаксического анализа, сборники схем и книги. Дополнительные сведения см. в разделе Сведения о содержимом и решениях Microsoft Sentinel.

Невозможно создать повторяющиеся подключения с одним репозиторием и ветвью в одной рабочей области Microsoft Sentinel.

Создайте подключение:

1. Убедитесь, что вы вошли в приложение системы управления версиями с учетными данными, которые вы хотите использовать для подключения. Если вы вошли в систему с другими учетными данными, сначала выйдите из нее.

2. Для Microsoft Sentinel в портал Azure в разделе Управление содержимым выберите Репозитории.
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Репозитории управления>клиентами.

3. Выберите Добавить, а затем на странице Создание подключения развертывания введите понятное имя и описание подключения.

4. В раскрывающемся списке Система управления версиями выберите тип репозитория, к которому требуется подключиться, а затем выберите Авторизовать.

5. Выберите одну из следующих вкладок в зависимости от типа подключения:

   GitHub

   1. При появлении запроса введите учетные данные GitHub.

      При первом добавлении подключения вам будет предложено авторизовать подключение для Microsoft Sentinel. Если вы уже вошли в учетную запись GitHub в том же браузере, учетные данные GitHub заполняются автоматически.

   2. Теперь на странице Создание подключения к развертыванию отображается область Репозиторий, в которой можно выбрать существующий репозиторий для подключения. Выберите репозиторий в списке, а затем выберите Добавить репозиторий.

      При первом подключении к определенному репозиторию появится новое окно или вкладка браузера с предложением установить приложение Azure Sentinel в репозитории. Если у вас несколько репозиториев, выберите те, в которые вы хотите установить приложение Azure Sentinel, и установите его.

      Вы будете перенаправлены на GitHub, чтобы продолжить установку приложения.

   3. После установки приложения Azure-Sentinel в репозитории раскрывающийся список "Ветвь" на странице Создание подключения к развертыванию будет заполнен вашими ветвями. Выберите ветвь, которую вы хотите подключить к рабочей области Microsoft Sentinel.

   4. В раскрывающемся списке Типы контента выберите тип развертываемого содержимого.

      • Средства синтаксического анализа и запросы охоты используют API сохраненных поисковых запросов для развертывания содержимого в Microsoft Sentinel. Если вы выбрали один из этих типов контента, а также имеете содержимое другого типа в ветви, будут развернуты оба типа контента.

      • Для всех остальных типов контента при выборе типа контента на панели Создание подключения к развертыванию будет развернуто только это содержимое в Microsoft Sentinel. Содержимое других типов не развертывается.

   5. Выберите Создать , чтобы создать подключение. Например, вы можете:

      

   Azure DevOps

   Вы автоматически авторизованы на Azure DevOps, используя текущие учетные данные Azure. Убедитесь, что вы авторизованы на тот же Azure клиент DevOps, к которому вы подключаетесь из Microsoft Sentinel, или используйте окно браузера InPrivate для создания подключения.

   1. В Microsoft Sentinel в раскрывающихся списках выберите организация, проект, репозиторий, ветвь и типы контента.

      • Средства синтаксического анализа и запросы охоты используют API сохраненных поисковых запросов для развертывания содержимого в Microsoft Sentinel. Если вы выбрали один из этих типов контента, а также имеете содержимое другого типа в ветви, будут развернуты оба типа контента.

      • Для всех остальных типов контента при выборе типа контента на панели Создание подключения к развертыванию будет развернуто только это содержимое в Microsoft Sentinel. Содержимое других типов не развертывается.

   2. Выберите Создать , чтобы создать подключение. Например, вы можете:

      

После создания подключения в репозитории создается новый рабочий процесс или конвейер. Содержимое, хранящееся в репозитории, развертывается в рабочей области Microsoft Sentinel.

Время развертывания может отличаться в зависимости от объема развертываемого содержимого.

Просмотр состояния развертывания

В GitHub: на вкладке Действия репозитория выберите YAML-файл рабочего процесса, чтобы получить доступ к подробным журналам развертывания и определенным сообщениям об ошибках.

В Azure DevOps: просмотрите состояние развертывания на вкладке Конвейеры репозитория.

После завершения развертывания:

• Содержимое, хранящееся в репозитории, отображается в рабочей области Microsoft Sentinel на соответствующей странице Microsoft Sentinel.

• Сведения о подключении на странице Репозитории обновляются со ссылкой на журналы развертывания подключения, а также состояние и время последнего развертывания. Например, вы можете:

  

Рабочий процесс по умолчанию развертывает только содержимое, измененное с момента последнего развертывания, на основе фиксаций в репозитории. Но вы можете отключить интеллектуальные развертывания или выполнить другие настройки. Например, можно настроить различные триггеры развертывания или развернуть содержимое исключительно из определенной корневой папки. Дополнительные сведения см. в статье Настройка развертываний репозитория.

Изменение содержимого

При успешном создании подключения к репозиторию системы управления версиями содержимое развертывается в Sentinel. Рекомендуется изменять содержимое, хранящееся в подключенном репозитории, только в репозитории, а не в Microsoft Sentinel. Например, чтобы внести изменения в правила аналитики, сделайте это непосредственно в GitHub или Azure DevOps.

При изменении содержимого в Microsoft Sentinel обязательно экспортируйте его в репозиторий системы управления версиями, чтобы предотвратить перезапись изменений при следующем развертывании содержимого репозитория в рабочей области.

Удаление содержимого

При удалении содержимого из репозитория оно не удаляется из рабочей области Microsoft Sentinel. Если вы хотите удалить содержимое, развернутое через репозитории, удалите его как из репозитория, так и из Microsoft Sentinel. Например, задайте фильтр для содержимого на основе имени источника, чтобы упростить идентификацию содержимого из репозиториев.

Удаление подключения к репозиторию

В этой процедуре описывается удаление подключения к репозиторию системы управления версиями из Microsoft Sentinel. Чтобы использовать файлы Bicep, подключение к репозиторию должно быть новее 1 ноября 2024 г. Используйте эту процедуру, чтобы удалить подключение и повторно создать его для обновления подключения.

Чтобы удалить подключение, выполните приведенные далее действия.

1. В Microsoft Sentinel в разделе Управление содержимым выберите Репозитории.
2. В сетке выберите подключение, которое нужно удалить, а затем нажмите кнопку Удалить.
3. Выберите Да , чтобы подтвердить удаление.

После удаления подключения содержимое, которое ранее было развернуто через подключение, остается в рабочей области Microsoft Sentinel. Содержимое, добавленное в репозиторий после удаления подключения, не развертывается.

Если при удалении подключения возникают проблемы или возникает сообщение об ошибке, рекомендуется проверка систему управления версиями. Убедитесь, что рабочий процесс GitHub или конвейер Azure DevOps, связанный с подключением, удален.

Удаление приложения Microsoft Sentinel из репозитория GitHub

Если вы планируете удалить приложение Microsoft Sentinel из репозитория GitHub, рекомендуется сначала удалить все связанные подключения на странице репозиториев Microsoft Sentinel.

Каждая установка приложения Microsoft Sentinel имеет уникальный идентификатор, который используется как при добавлении, так и при удалении подключения. Если идентификатор отсутствует или изменен, удалите подключение со страницы репозиториев Microsoft Sentinel и вручную удалите рабочий процесс из репозитория GitHub, чтобы предотвратить развертывание содержимого в будущем.

Связанные материалы

Используйте пользовательское содержимое в Microsoft Sentinel так же, как и содержимое из коробки.

Дополнительные сведения см. в разделе:

• Настройка развертываний репозитория
• Обнаружение и развертывание решений Microsoft Sentinel (общедоступная предварительная версия)
• соединители данных Microsoft Sentinel