Dela via

Hantera anpassat innehåll med Microsoft Sentinel-lagringsplatser (offentlig förhandsversion)

  • Artikel

Funktionen Microsoft Sentinel-lagringsplatser ger en central upplevelse för distribution och hantering av Sentinel-innehåll som kod. Lagringsplatser tillåter anslutningar till en extern källkontroll för kontinuerlig integrering/kontinuerlig leverans (CI/CD). Den här automatiseringen tar bort bördan av manuella processer för att uppdatera och distribuera ditt anpassade innehåll på arbetsytor. Mer information om Sentinel-innehåll finns i Om Microsoft Sentinel-innehåll och -lösningar.

Viktigt

Funktionen Microsoft Sentinel-lagringsplatser är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Planera din lagringsplatsanslutning

Microsoft Sentinel-lagringsplatser kräver noggrann planering för att säkerställa att du har rätt behörigheter från din arbetsyta till den lagringsplats (lagringsplats) som du vill ansluta. För närvarande stöds endast anslutningar till GitHub- och Azure DevOps-lagringsplatser med deltagaråtkomst. Microsoft Sentinel-programmet behöver auktorisering till din lagringsplats och har Åtgärder aktiverade för GitHub och Pipelines aktiverade för Azure DevOps.

Lagringsplatser kräver en ägarroll i resursgruppen som innehåller din Microsoft Sentinel-arbetsyta. Den här rollen krävs för att skapa anslutningen mellan Microsoft Sentinel och källkontrolllagringsplatsen. Om du inte kan använda rollen Ägare i din miljö kan du i stället använda kombinationen av rollerna Administratör för användaråtkomst och Sentinel-deltagare för att skapa anslutningen.

Om du hittar innehåll på en offentlig lagringsplats där du inte är deltagare måste du först hämta innehållet till lagringsplatsen. Du kan göra det med en import, förgrening eller klon av innehållet till en lagringsplats där du är deltagare. Sedan kan du ansluta lagringsplatsen till Sentinel-arbetsytan. Mer information finns i Distribuera anpassat innehåll från din lagringsplats.

Verifiera ditt innehåll

Följande Microsoft Sentinel-innehållstyper kan distribueras via en lagringsplatsanslutning:

  • Analysregler
  • Automatiseringsregler
  • Jaktfrågor
  • Tolkar
  • Spelböcker
  • Arbetsböcker

Tips

Den här artikeln beskriver inte hur du skapar dessa typer av innehåll från grunden. Mer information finns i relevant GitHub-wiki för Microsoft Sentinel för varje innehållstyp.

Lagringsplatsernas innehåll måste lagras som ARM-mallar. Distributionen av lagringsplatser validerar inte innehållet förutom för att bekräfta att det har rätt JSON-format.

Det första steget för att verifiera ditt innehåll är att testa det i Microsoft Sentinel. Du kan också använda Valideringsprocessen och verktygen för GitHub i Microsoft Sentinel för att komplettera valideringsprocessen.

En exempellagringsplats är tillgänglig med ARM-mallar för var och en av de innehållstyper som anges ovan. Lagringsplatsen visar också hur du använder avancerade funktioner i lagringsplatsanslutningar. Mer information finns i Exempel på Sentinel CICD-lagringsplatser.

Skärmbild av en lyckad lagringsplatsanslutning. RepositoriesSampleContent visas. Den här skärmbilden är efter att exemplet har importerats från SentinelCICD-lagringsplatsen till en privat GitHub-lagringsplats i FourthCoffee-organisationen.

Maximalt antal anslutningar och distributioner

  • Varje Microsoft Sentinel-arbetsyta är för närvarande begränsad till fem lagringsplatsanslutningar.

  • Varje Azure-resursgrupp är begränsad till 800 distributioner i sin distributionshistorik . Om du har en stor mängd ARM-malldistributioner i dina resursgrupper kan du se Deployment QuotaExceeded felet. Mer information finns i DeploymentQuotaExceededed i dokumentationen för Azure Resource Manager-mallar.

Förbättra prestanda med smarta distributioner

Tips

För att säkerställa att smarta distributioner fungerar i GitHub måste arbetsflöden ha läs- och skrivbehörighet för din repositoriy. Mer information finns i Hantera GitHub Actions inställningar för en lagringsplats.

Funktionen för smarta distributioner är en serverdelsfunktion som förbättrar prestandan genom att aktivt spåra ändringar som gjorts i innehållsfilerna på en ansluten lagringsplats. Den använder en CSV-fil i mappen .sentinel på lagringsplatsen för att granska varje incheckning. Arbetsflödet undviker att distribuera om innehåll som inte har ändrats sedan den senaste distributionen. Den här processen förbättrar distributionsprestandan och förhindrar manipulering av oförändrat innehåll på arbetsytan, till exempel återställning av dynamiska scheman för dina analysregler.

Smarta distributioner är aktiverade som standard på nyligen skapade anslutningar. Om du föredrar att allt källkontrollinnehåll distribueras varje gång en distribution utlöses, oavsett om innehållet har ändrats eller inte, kan du ändra arbetsflödet för att inaktivera smarta distributioner. Mer information finns i Anpassa arbetsflödet eller pipelinen.

Anteckning

Den här funktionen lanserades i offentlig förhandsversion den 20 april 2022. Anslutningar som skapades före start måste uppdateras eller återskapas för att smarta distributioner ska kunna aktiveras.

Överväg anpassningsalternativ för distribution

Det finns ett antal anpassningsalternativ att tänka på när du distribuerar innehåll med Microsoft Sentinel-lagringsplatser.

Anpassa arbetsflödet eller pipelinen

Du kanske vill anpassa arbetsflödet eller pipelinen på något av följande sätt:

  • konfigurera olika distributionsutlösare
  • distribuera innehåll endast från en specifik rotmapp för en viss arbetsyta
  • schemalägga arbetsflödet så att det körs regelbundet
  • kombinera olika arbetsflödeshändelser tillsammans
  • inaktivera smarta distributioner

Dessa anpassningar definieras i en .yml-fil som är specifik för ditt arbetsflöde eller din pipeline. Mer information om hur du implementerar finns i Anpassa lagringsplatsdistributioner

Anpassa distributionen

När arbetsflödet eller pipelinen har utlösts stöder distributionen följande scenarier:

  • prioritera innehåll som ska distribueras före resten av lagringsplatsens innehåll
  • exkludera innehåll från distribution
  • ange ARM-mallparameterfiler

De här alternativen är tillgängliga via en funktion i PowerShell-distributionsskriptet som anropas från arbetsflödet eller pipelinen. Mer information om hur du implementerar dessa anpassningar finns i Anpassa lagringsplatsdistributioner.

Nästa steg

Få fler exempel och stegvisa instruktioner om hur du distribuerar Microsoft Sentinel-lagringsplatser.