Anpassa lagringsplatsdistributioner (allmänt tillgänglig förhandsversion)

Det finns två huvudsakliga sätt att anpassa distributionen av lagringsplatsens innehåll till Microsoft Sentinel arbetsytor. Varje metod använder olika filer och syntax, så tänk på de här exemplen för att komma igång.

Anpassningsmetod	Distributionsalternativ som omfattas
GitHub-arbetsflöde DevOps-pipeline	Anpassa anslutningens distributionsutlösare Anpassa distributionssökvägen Smart distributionsaktivering
Konfigurationsfiler	Kontrollera den prioriterade ordningen för dina innehållsdistributioner Välj att undanta specifika innehållsfiler från distributioner Skala distributioner över olika arbetsytor genom att mappa parameterfiler till specifika innehållsfiler

Viktigt

Funktionen Microsoft Sentinel lagringsplatser finns för närvarande i FÖRHANDSVERSION. Mer juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet finns i kompletterande användningsvillkor för Microsoft Azure förhandsversioner.

Förhandskrav

För att kunna anpassa en lagringsplatsdistribution måste det finnas en databasanslutning. Mer information om hur du skapar anslutningen finns i Distribuera anpassat innehåll från din lagringsplats. När anslutningen har upprättats gäller följande krav:

• Samarbetspartners åtkomst till din GitHub-lagringsplats eller projektadministratörsåtkomst till din Azure DevOps-lagringsplats
• Åtgärder aktiverade för GitHub och pipelines som är aktiverade för Azure DevOps
• Se till att anpassade innehållsfiler som du vill distribuera till dina arbetsytor har ett format som stöds. Format som stöds finns i Planera ditt lagringsplatsinnehåll.

Mer information om distributionsbara innehållstyper finns i Planera ditt lagringsplatsinnehåll.

Anpassa arbetsflödet eller pipelinen

Standardarbetsflödet distribuerar endast innehåll som ändrats sedan den senaste distributionen, baserat på incheckningar till lagringsplatsen. Anpassa för att konfigurera olika distributionsutlösare eller för att distribuera innehåll exklusivt från en specifik rotmapp.

Välj någon av följande flikar beroende på din anslutningstyp:

Github

Så här anpassar du ditt GitHub-distributionsarbetsflöde:

1. I GitHub går du till din lagringsplats och hittar arbetsflödet i katalogen .github/workflows .

   Arbetsflödesfilen är YML-filen som börjar med sentinel-deploy-xxxxx.yml. Öppna filen och arbetsflödets namn visas på den första raden och har följande standardnamnkonvention: Deploy Content to <workspace-name> [<deployment-id>].

   Till exempel: name: Deploy Content to repositories-demo [xxxxx-dk5d-3s94-4829-9xvnc7391v83a]

2. Välj pennknappen längst upp till höger på sidan för att öppna filen för redigering och ändra sedan distributionen på följande sätt:

   • Om du vill ändra distributionsutlösaren uppdaterar on du avsnittet i koden, som beskriver händelsen som utlöser arbetsflödet att köras.

     Som standard är den här konfigurationen inställd på on: push, vilket innebär att arbetsflödet utlöses vid varje push-överföring till den anslutna grenen, inklusive både ändringar av befintligt innehåll och tillägg av nytt innehåll på lagringsplatsen. Till exempel:

     on:
         push:
             branches: [ main ]
             paths:
             - `**`
             - `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
             - `.github/workflows/sentinel-deploy-<deployment-id>.yml`
     

     Ändra dessa inställningar, till exempel för att schemalägga arbetsflödet så att det körs regelbundet eller för att kombinera olika arbetsflödeshändelser tillsammans.

     Mer information finns i GitHub-dokumentationen om hur du konfigurerar arbetsflödeshändelser.

   • Inaktivera smarta distributioner: Beteendet för smarta distributioner är separat från distributionsutlösaren som beskrivs. Gå till avsnittet i jobs arbetsflödet. smartDeployment Växla standardvärdet från true till false. När den här ändringen har utförts stängs funktionen för smart distribution av och alla framtida distributioner för den här anslutningen distribuerar om alla lagringsplatsens relevanta innehållsfiler till de anslutna arbetsytorna.

   • Så här ändrar du distributionssökvägen:

     I standardkonfigurationen som visas för on avsnittet anger jokertecken (**) på den första raden i paths avsnittet att hela grenen är i sökvägen för distributionsutlösarna.

     Den här standardkonfigurationen innebär att ett distributionsarbetsflöde utlöses varje gång innehållet skickas till någon del av grenen.

     Senare i filen jobs innehåller avsnittet följande standardkonfiguration: directory: '${{ github.workspace }}'. Den här raden anger att hela GitHub-grenen finns i sökvägen för innehållsdistributionen, utan filtrering för några mappsökvägar.

     Om du bara vill distribuera innehåll från en specifik mappsökväg lägger du till det i både paths och konfigurationen directory . Om du till exempel bara vill distribuera innehåll från en rotmapp med namnet SentinelContentuppdaterar du koden på följande sätt:

     paths:
     - `SentinelContent/**`
     - `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
     - `.github/workflows/sentinel-deploy-<deployment-id>.yml`
     
     ...
         directory: '${{ github.workspace }}/SentinelContent'
     

Mer information finns i GitHub-dokumentationen om GitHub Actions och redigering av GitHub-arbetsflöden.

Azure DevOps

Så här anpassar du din Azure DevOps-distributionspipeline:

1. I Azure DevOps går du till lagringsplatsen och letar upp din pipelinedefinitionsfil i .sentinel-katalogen.

   Pipelinenamnet visas på den första raden i pipelinefilen och har följande standardnamnkonvention: Deploy Content to <workspace-name> [<deployment-id>].

   Till exempel: name: Deploy Content to repositories-demo [xxxxx-dk5d-3s94-4829-9xvnc7391v83a]

2. Välj pennknappen längst upp till höger på sidan för att öppna filen för redigering och ändra sedan distributionen på följande sätt:

   • Om du vill ändra distributionsutlösaren uppdaterar trigger du avsnittet i koden, som beskriver händelsen som utlöser arbetsflödet att köras.

     Som standard är den här konfigurationen inställd på att identifiera push-överföring till den anslutna grenen, inklusive både ändringar av befintligt innehåll och tillägg av nytt innehåll till lagringsplatsen.

     Ändra den här utlösaren till alla tillgängliga Azure DevOps-utlösare, till exempel en schemaläggningsutlösare eller utlösare för pull-begäranden. Mer information finns i dokumentationen om Azure DevOps-utlösare.

   • Inaktivera smarta distributioner: Beteendet för smarta distributioner är separat från distributionsutlösaren som beskrivs. Gå till avsnittet i ScriptArguments din pipeline. smartDeployment Växla standardvärdet från true till false. När den här ändringen har bekräftats stängs funktionen för smart distribution av och alla framtida distributioner för den här anslutningen distribuerar om alla lagringsplatsens relevanta innehållsfiler till de anslutna arbetsytorna.

   • Så här ändrar du distributionssökvägen:

     Standardkonfigurationen trigger för avsnittet har följande kod, vilket anger att grenen main är i sökvägen för distributionsutlösarna:

     trigger:
         branches:
             include:
             - main
     

     Den här standardkonfigurationen innebär att en distributionspipeline utlöses varje gång innehållet skickas till någon del av grenen main .

     Om du bara vill distribuera innehåll från en specifik mappsökväg lägger du till mappnamnet i include avsnittet för utlösaren och distributionssökvägen till avsnittet steps .

     Om du till exempel bara vill distribuera innehåll från en rotmapp med namnet SentinelContent i din main gren lägger du till include och workingDirectory inställningar i koden på följande sätt:

     paths:
         exclude:
         - .sentinel/*
         include:
         - .sentinel/sentinel-deploy-39d8ekc8-397-5963-49g8-5k63k5953829.yml
         - SentinelContent
     ....
     steps:
     - task: AzurePowerShell@5
       inputs:
         azureSubscription: `Sentinel_Deploy_ServiceConnection_0000000000000000`
         workingDirectory: `SentinelContent`
     

Mer information finns i Azure DevOps-dokumentationen om Azure DevOps YAML-schema.

Viktigt

I både GitHub och Azure DevOps kontrollerar du att du håller utlösarsökvägen och distributionssökvägens kataloger konsekventa.

Skala dina distributioner med parameterfiler

I stället för att skicka parametrar som infogade värden i innehållsfilerna bör du överväga att använda en Bicep-parameterfil eller en JSON-fil som innehåller parametervärdena. Mappa sedan parameterfilerna till deras associerade Microsoft Sentinel innehållsfiler för att skala distributionerna bättre på olika arbetsytor.

Det finns flera sätt att mappa parameterfiler till innehållsfilerna. Tänk på att Bicep-parameterfiler endast stöder Bicep-filmallar, men JSON-parameterfiler stöder båda. Distributionspipelinen för lagringsplatser tar hänsyn till parameterfiler i följande ordning:

1. Finns det en mappning i sentinel-deployment.config?
   Mer information finns i Anpassa anslutningskonfigurationen.

2. Finns det en mappad parameterfil för arbetsytan? Ja, innehållsfilerna finns i samma katalog med en arbetsytemappad parameterfil som matchar något av följande mönster:
   .<WorkspaceID.bicepparam.parameters-WorkspaceID>
   <>.json

3. Finns det en standardparameterfil? Ja, innehållsfilerna finns i samma katalog med en parameterfil som matchar något av följande mönster:
   .bicepparam
   .parameters.json

Undvik konflikter med flera arbetsytedistributioner genom att mappa parameterfilerna via konfigurationsfilen eller ange arbetsyte-ID:t i filnamnet.

Viktigt

När en parameterfilmatchning har fastställts baserat på mappningsprioritet ignorerar pipelinen eventuella återstående mappningar.

Om du ändrar den mappade parameterfilen som anges i sentinel-deployment.config utlöses distributionen av dess länkade innehållsfil. Att lägga till eller ändra en mappad parameterfil för arbetsytan eller en standardparameterfil utlöser också en distribution av de kopplade innehållsfilerna tillsammans med de nyligen ändrade parametrarna, såvida inte en högre prioritetsparametermappning finns på plats. Andra innehållsfiler distribueras inte så länge funktionen för smarta distributioner fortfarande är aktiverad i definitionsfilen för arbetsflöde/pipeline.

Anpassa anslutningskonfigurationen

Distributionsskriptet för lagringsplatser stöder användningen av en distributionskonfigurationsfil för varje lagringsplatsgren från och med juli 2022. JSON-konfigurationsfilen hjälper dig att mappa parameterfiler till relevanta innehållsfiler, prioritera specifikt innehåll i distributioner och exkludera specifikt innehåll från distributioner.

1. Skapa filen sentinel-deployment.config i roten på lagringsplatsen. Om du lägger till, tar bort eller ändrar den här konfigurationsfilen utlöses en fullständig distribution av allt innehåll på lagringsplatsen enligt den uppdaterade konfigurationen.

   

2. Inkludera ditt strukturerade innehåll i tre valfria avsnitt, "prioritizedcontentfiles":, "excludecontentfiles":och "parameterfilemappings":. Om inga avsnitt ingår eller om .config fil utelämnas körs distributionsprocessen fortfarande. Ogiltiga eller okända avsnitt ignoreras.

Här är ett exempel på hela innehållet i en giltig sentinel-deployment.config fil. Det här exemplet finns också i exemplet Microsoft Sentinel CICD-lagringsplatser.

{
  "prioritizedcontentfiles": [
    "parsers/Sample/ASimAuthenticationAWSCloudTrail.json",
    "workbooks/sample/TrendMicroDeepSecurityAttackActivity_ARM.json",
    "Playbooks/PaloAlto-PAN-OS/PaloAltoCustomConnector/azuredeploy.bicep"
  ], 
  "excludecontentfiles": [
     "Detections/Sample/PaloAlto-PortScanning.json",
     "parameters"
  ],
  "parameterfilemappings": {
    "879001c8-2181-4374-be7d-72e5dc69bd2b": {
      "Playbooks/PaloAlto-PAN-OS/Playbooks/PaloAlto-PAN-OS-BlockIP/azuredeploy.bicep": "parameters/samples/auzredeploy.bicepparam"
    },
    "9af71571-7181-4cef-992e-ef3f61506b4e": {
      "Playbooks/Enrich-SentinelIncident-GreyNoiseCommunity-IP/azuredeploy.json": "path/to/any-parameter-file.json"
    }
  },
  "DummySection": "This shouldn't impact deployment"
}

Obs!

Använd inte omvänt snedstreck i någon av innehållssökvägarna. Använd snedstrecket "/" i stället.

• Så här prioriterar du innehållsfiler:

  I takt med att mängden innehåll på lagringsplatsen växer kan distributionstiderna öka. Lägg till tidskänsligt innehåll i det här avsnittet för att prioritera distributionen när en utlösare inträffar.

  Lägg till fullständiga sökvägsnamn i "prioritizedcontentfiles": avsnittet. Jokerteckenmatchning stöds inte just nu.

• Om du vill undanta innehållsfiler ändrar du avsnittet "excludecontentfiles": med fullständiga sökvägsnamn för enskilda .json innehållsfiler.

• Så här mappar du parametrar:

  Distributionsskriptet accepterar tre metoder för att mappa parametrar enligt beskrivningen i Skala dina distributioner med parameterfiler. Att mappa parametrar via sentinel-deployment.config har högsta prioritet och garanterar att en viss parameterfil mappas till dess associerade innehållsfiler. Ändra avsnittet med målanslutningens "parameterfilemappings": arbetsyte-ID och fullständiga sökvägsnamn för enskilda .json filer.

Relaterat innehåll

Det finns en exempellagringsplats som visar distributionskonfigurationsfilen och alla tre metoder för parametermappning. Mer information finns i Microsoft Sentinel exempel på CICD-lagringsplatser.

• Förstå strukturen och syntaxen för Bicep-filer
• Parametrar i Bicep
• Skapa Resource Manager parameterfil
• Parametrar i ARM-mallar