Поделиться через

Управление пользовательским содержимым с помощью репозиториев Microsoft Sentinel (общедоступная предварительная версия)

  • Статья

Функция репозиториев Microsoft Sentinel обеспечивает централизованное развертывание и управление содержимым Sentinel в виде кода. Репозитории позволяют подключаться к функциям внешнего управления версиями для непрерывной интеграции и непрерывной поставки (CI/CD). Эта автоматизация устраняет необходимость выполнять процессы обновления и развертывания вашего пользовательского содержимого в рабочих областях вручную. Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel.

Важно!

Функция Репозитории Microsoft Sentinel сейчас предоставляется в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Планирование подключения к репозиторию

Для работы с репозиториями Microsoft Sentinel требуются тщательное планирование, так как у вас должны быть надлежащие разрешения на доступ из вашей рабочей области к репозиторию, который вы хотите подключить. Сейчас поддерживаются только подключения к репозиториям GitHub и Azure DevOps с доступом участника. Для приложения Microsoft Sentinel потребуется выполнить авторизацию для вашего репозитория. Также нужно включить GitHub Actions и Azure DevOps Pipelines.

Для работы с репозиториями требуется роль Владелец в группе ресурсов, которая содержит рабочую область Microsoft Sentinel. Эта роль требуется для создания подключения между Microsoft Sentinel и репозиторием системы управления версиями. Если вы не можете использовать роль владельца в своей среде, для создания подключения можно воспользоваться сочетанием ролей Администратор доступа пользователей и Участник Sentinel.

Если вы найдете содержимое в общедоступном репозитории, в котором вы не являетесь участников, вам необходимо сначала добавить это содержимое в свой репозиторий. Вы можете сделать это с помощью импорта, создания вилки или клонирования содержимого в репозиторий, в котором вы являетесь участником. Затем можно подключить репозиторий к рабочей области Sentinel. Дополнительные сведения см. в статье Развертывание пользовательского содержимого из репозитория.

Проверка содержимого

Следующие типы содержимого Microsoft Sentinel можно развернуть через подключение к репозиторию:

  • Правила аналитики
  • Правила автоматизации
  • Запросы слежения
  • Средства синтаксического анализа
  • Сборники тренировочных заданий
  • Workbooks

Совет

В этой статье не описывается, как создавать определенные типы содержимого. Дополнительные сведения о каждом типе содержимого см. на соответствующей вики-странице GitHub Microsoft Sentinel.

Содержимое репозиториев должно храниться в виде шаблонов ARM. Развертывание репозиториев не проверяет содержимое, только чтобы убедиться, что оно имеет правильный формат JSON.

Первым шагом при проверке содержимого является проверка содержимого в Microsoft Sentinel. Вы также можете применить средства и процесс проверки Microsoft Sentinel GitHub, чтобы дополнить процесс проверки.

Пример репозитория доступен с шаблонами ARM для каждого из перечисленных выше типов содержимого. В репозитории также показано, как использовать расширенные функции подключения к репозиторию. Дополнительные сведения см. в примере репозиториев CICD Sentinel.

Снимок экрана: успешное подключение к репозиторию. Отображается RepositoriesSampleContent. Этот снимок экрана сделан после того, как пример был импортирован из репозитория Sentinel CICD в частный репозиторий GitHub в организации FourthCoffee.

Максимальное число подключений и развертываний

  • Каждая рабочая область Microsoft Sentinel сейчас может иметь не более пяти подключений к репозиторию.

  • В журнале развертывания у каждой группы ресурсов Azure может быть не больше 800 развертываний. Если в ваших группах ресурсов много развертываний шаблонов ARM, может возникнуть ошибка Deployment QuotaExceeded. Дополнительные сведения см. в разделе DeploymentQuotaExceeded в документации по шаблонам Azure Resource Manager.

Повышение производительности с помощью интеллектуальных развертываний

Совет

Чтобы обеспечить работу интеллектуальных развертываний в GitHub, рабочие процессы должны иметь разрешения на чтение и запись в репозитории. Дополнительные сведения см. в разделе Управление параметрами GitHub Actions для репозитория.

Интеллектуальные развертывания — это серверная возможность, которая повышает производительность за счет активного отслеживания изменений, внесенных в файлы содержимого подключенного репозитория. При этом используется CSV-файл в папке .sentinel в репозитории для аудита каждой фиксации. Рабочий процесс позволяет избежать повторного развертывания содержимого, которое не было изменено с момента последнего развертывания. Этот процесс повышает производительность развертывания и предотвращает незаконное изменение неизменного содержимого в рабочей области, например сброс динамических расписаний правил аналитики.

Интеллектуальные развертывания включены по умолчанию для созданных подключений. Если вы предпочитаете, чтобы все содержимое системы управления версиями развертывалось при каждой активации развертывания независимо от того, было ли это содержимое изменено или нет, вы можете изменить свой рабочий процесс, чтобы отключить интеллектуальные развертывания. Дополнительные сведения см. в разделе Настройка рабочего процесса или конвейера.

Примечание

Эта возможность была запущена в режиме общедоступной предварительной версии 20 апреля 2022 года. Чтобы включить интеллектуальные развертывания для подключений, созданных до запуска возможности, необходимо обновить или повторно создать эти подключения.

Возможность использования настройки развертывания

При развертывании содержимого с помощью репозиториев Microsoft Sentinel можно учитывать ряд параметров настройки.

Настройка рабочего процесса или конвейера

Можно настроить рабочий процесс или конвейер одним из следующих способов:

  • настройка различных триггеров развертывания;
  • развертывание содержимого только из определенной корневой папки для указанной рабочей области;
  • планирование задания для периодического выполнения;
  • объединение различных событий рабочего процесса вместе;
  • отключение интеллектуальных развертываний;

Эти настройки определяются в YML-файле, который относится к рабочему процессу или конвейеру. Дополнительные сведения о реализации см. в разделе Настройка развертываний репозитория.

Настройка развертывания

После активации рабочего процесса или конвейера развертывание поддерживает следующие сценарии:

  • Определение приоритета содержимого для развертывания до остального содержимого репозитория
  • исключение содержимого из развертывания
  • указание файлов параметров шаблона ARM

Эти параметры доступны с помощью функции скрипта развертывания PowerShell, вызываемого из рабочего процесса или конвейера. Дополнительные сведения о том, как реализовать эти настройки, см. в разделе Настройка развертываний репозитория.

Дальнейшие действия

Получите дополнительные примеры и пошаговые инструкции по развертыванию репозиториев Microsoft Sentinel.