打包并发布Microsoft Sentinel平台解决方案

Microsoft Sentinel平台解决方案是Microsoft Sentinel数据湖的可部署包。 它包括有助于分析和响应安全数据的代码和配置。

本文介绍如何在 Microsoft 安全存储中打包和发布已完成的平台解决方案。

先决条件

在开始之前，请查看Microsoft Sentinel平台解决方案先决条件。

准备解决方案组件

在创建包清单之前，检查所有解决方案组件都遵循所需的结构和命名格式。

重要

每个平台解决方案必须包含一个 AgentManifest.yaml 文件。

• 一个AgentManifest.yaml 文件。
• 可以包括 Copilot 插件规范：
  • 名为 或 openapispec_<number>.json的 openapispec_<number>.yaml API 插件规范。
  • 名为 template_<number>.txt的 GPT 或 KQL 插件规范。
• 可以包括Sentinel Data Lake 笔记本作业：
  • 每个作业必须包含一个 .job.yaml 文件和相应的笔记本。
• 如果解决方案部署Azure资源，则可以包括 mainTemplate.json 。

注意

ARM 模板不支持用户输入。

创建包清单

创建包清单以列出解决方案组件。 它包括要打包的解决方案名称、说明和内容。

1. 在Visual Studio Code中，打开文件资源管理器视图。

2. 右键单击空白区域，然后选择“Microsoft Sentinel>创建包清单”。

3. 在“ 另存为 ”对话框中输入名称，并将清单保存在解决方案文件夹中。 VS Code 创建一个 .package.yaml 文件，并在包清单编辑器中打开该文件。

4. 在编辑器中填写包详细信息：

   • 包名称： 出现在Microsoft安全存储区中的名称。

   • 描述： 包的作用的简短说明。

   • 包括路径： 包含代理清单、作业 YAML 文件、笔记本和其他必需文件的文件夹。

     

5. (可选) 选择“ 查看 YAML ”以编辑 YAML 文件。

示例清单

packageName: ContosoPlatformSolution
description: Provides advanced hunting notebooks and Copilot plugins for Contoso firewall logs.
includePaths:
  - ./AgentManifest.yaml
  - ./jobs/
  - ./notebooks/

创建可部署的 ZIP 文件

定义包清单后，创建Microsoft安全存储所需的 ZIP 文件。

1. .package.yaml在 Visual Studio Code 中打开清单。
2. 在清单编辑器中，选择“ 创建包 ZIP 文件”。
3. 该工具创建 ZIP 文件并将其保存在本地。

发布到Microsoft安全存储

创建 ZIP 文件后，将其发布到Microsoft安全存储中。

1. 打开 Microsoft安全存储发布者门户。
2. 创建新的 平台解决方案 产品/服务并上传 ZIP 包。
3. 完成所需的产品/服务详细信息并提交以进行验证。

提示

首先作为专用产品/服务发布，以在环境中对其进行验证。

相关内容

有关Microsoft Sentinel SIEM 解决方案的简介，请参阅：

• 将解决方案发布到Microsoft Sentinel。
• 为Microsoft Sentinel创建无代码连接器。