你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从存储库部署自定义内容(公共预览版)
创建自定义内容时,可以在自己的 Microsoft Sentinel 工作区或外部源代码管理存储库中管理它。 本文介绍如何创建和管理 Microsoft Sentine 与 GitHub 或 Azure DevOps 存储库之间的连接。 通过管理外部存储库中的内容,可以对 Microsoft Sentinel 外部的内容进行更新,并自动将其部署到工作区。 有关详细信息,请参阅使用存储库连接更新自定义内容。
重要
- Microsoft Sentinel 存储库功能目前以预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅Microsoft Defender 门户中的 Microsoft Sentinel。
Microsoft Sentinel 目前仅支持与 GitHub 和 Azure DevOps 存储库的连接。 在将 Microsoft Sentinel 工作区连接到源代码管理存储库之前,请确保符合以下条件:
- 资源组中的“所有者”角色,该资源组包含包含 Microsoft Sentinel 工作区,或者用于创建连接的“用户访问管理员”和“Sentinel 参与者”角色的组合
- 协作者对 GitHub 存储库的访问权限或项目管理员对 Azure DevOps 存储库的访问权限
- 分别为 GitHub 和 Azure DevOps 启用了操作和管道
- 通过为 Azure DevOps 应用程序连接策略启用的 OAuth 进行的第三方应用程序访问。
- 确保要部署到工作区的自定义内容文件位于相关的 Azure 资源管理器 (ARM) 模板中。
有关详细信息,请参阅验证内容。
此过程介绍如何将 GitHub 或 Azure DevOps 存储库连接到 Microsoft Sentinel 工作区。
每个连接都可以支持多种类型的自定义内容,这些内容类型包括分析规则、自动化规则、搜寻查询、分析器、playbook 和工作簿。 有关详细信息,请参阅关于 Microsoft Sentinel 内容和解决方案。
不能在单个 Microsoft Sentinel 工作区中使用相同的存储库和分支创建重复的连接。
创建连接:
确保已使用要用于连接的凭据登录源代码管理应用。 如果当前使用不同的凭据登录,请先进行注销。
对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“存储库”。
对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“存储库”。选择“添加新连接”,然后在“创建新部署连接”页上,为连接输入有意义的名称和说明。
从“源代码管理”下拉列表中,选择要连接到的存储库类型,然后选择“授权” 。
根据连接类型选择以下选项卡之一:
系统出现提示时,输入 GitHub 凭据。
首次添加连接时,系统会提示对 Microsoft Sentinel 的连接进行授权。 如果已在同一浏览器中登录 GitHub 帐户,系统会自动填充 GitHub 凭据。
现在,“创建新部署连接”页上会显示“存储库”区域,可在其中选择要连接的现有存储库。 从列表中选择存储库,然后选择“添加存储库”。
首次连接到特定存储库时,会看到新的浏览器窗口或选项卡,提示在存储库中安装 Azure-Sentinel 应用。 如果有多个存储库,请选择要安装 Azure-Sentinel 应用的存储库,然后进行安装。
系统会定向到 GitHub 以便继续安装应用。
在存储库中安装 Azure-Sentinel 应用后,“创建新部署连接”页中的“分支”下拉列表中会填充分支。 选择要连接到 Microsoft Sentinel 工作区的分支。
从“内容类型”下拉列表中,选择要部署的内容类型。
分析器和搜寻查询都使用“保存的搜索”API 将内容部署到 Microsoft Sentinel。 如果选择其中一种内容类型,并且分支中也有其他类型的内容,则会部署这两种内容类型。
对于所有其他内容类型,在“创建新部署连接”窗格中选择内容类型只会将该内容部署到 Microsoft Sentinel。 不会部署其他类型的内容。
选择“创建”以创建连接。 例如:
创建连接后,会在存储库中生成一个新的工作流或管道。 存储库中存储的内容会部署到 Microsoft Sentinel 工作区。
部署时间可能因要部署的内容量而有所不同。
在 GitHub 中:在存储库的“操作”选项卡上,选择工作流 .yaml 文件,以访问详细的部署日志和任何特定的错误消息。
在 Azure DevOps 中:从存储库的“管道”选项卡查看部署状态。
部署完成后:
存储库中存储的内容会显示在 Microsoft Sentinel 工作区的相关 Microsoft Sentinel 页中。
“存储库”页上的连接详细信息会更新,包含连接的部署日志的链接以及上次部署的状态和时间。 例如:
默认工作流仅部署自上次部署以来根据提交到存储库而修改的内容。 但建议关闭智能部署或执行其他自定义。 例如,你可以配置不同的部署触发器,或专门从特定根文件夹部署内容。 若要了解详细信息,请参阅自定义存储库部署。
成功创建到源代码管理存储库的连接时,你的内容将部署到 Sentinel。 我们建议“仅”在存储库中编辑存储在已连接存储库中的任何内容,而不要在 Microsoft Sentinel 中进行编辑。 例如,若要更改分析规则,请直接在 GitHub 或 Azure DevOps 中进行更改。
如果已在 Microsoft Sentinel 中编辑内容,请确保将其导出到源代码管理存储库,以防止下次将存储库内容部署到工作区时会覆盖所做的更改。
从存储库中删除内容不会将其从 Microsoft Sentinel 工作区中删除。 如果要删除通过存储库部署的内容,请将其从存储库和 Microsoft Sentinel 中删除。 例如,根据源名称为内容设置筛选器,以便更轻松地识别存储库中的内容。
本过程介绍如何从 Microsoft Sentinel 中删除与源代码管理存储库的连接。
删除连接:
- 在 Microsoft Sentinel 中的“内容管理”下,选择“存储库”。
- 在网格中,选择要删除的连接,然后选择“删除”。
- 选择“是”确认删除。
删除连接后,以前通过该连接部署的内容会保留在 Microsoft Sentinel 工作区中。 系统不会部署删除连接后添加到存储库中的内容。
如果在删除连接时遇到问题或错误消息,建议检查源代码管理。 确认已删除与连接关联的 GitHub 工作流或 Azure DevOps 管道。
如果要从 GitHub 存储库中删除 Microsoft Sentinel 应用,建议首先从 Microsoft Sentinel“存储库”页中删除所有关联的连接。
每个 Microsoft Sentinel 应用安装都有一个唯一 ID,在添加和删除连接时都需要使用该 ID。 如果 ID 缺失或已更改,请从 Microsoft Sentinel“存储库”页中删除连接,并手动从 GitHub 存储库中删除工作流,以防止将来部署任何内容。
在 Microsoft Sentinel 中以与使用现成内容相同的方式使用自定义内容。
有关详细信息,请参阅: