使用存储库进行部署

  • 3 分钟

创建自定义内容时,可以在自己的 Microsoft Sentinel 工作区或外部源代码管理存储库(包括 GitHub 和 Azure DevOps 存储库)中存储和管理它。 通过管理外部存储库中的内容,可以对 Microsoft Sentinel 外部的内容进行更新,并自动将其部署到工作区。

先决条件和范围

在将 Microsoft Sentinel 工作区连接到外部源代码管理存储库之前,请确保符合以下条件:

  • 在相关的 Azure 资源管理器 (ARM) 模板中,具有访问 GitHub 或 Azure DevOps 存储库,以及要部署到工作区的任何自定义内容文件的权限。

    Microsoft Sentinel 目前仅支持与 GitHub 和 Azure DevOps 存储库的连接。

  • 在包含 Microsoft Sentinel 工作区的资源组中,具有“所有者”角色。 需要此角色,才能在 Microsoft Sentinel 和源代码管理存储库之间创建连接。 如果你无法在自己的环境中使用“所有者”角色,可以改为结合使用“用户访问管理员”和“Sentinel 参与者”角色来创建连接。

最大连接数和部署数

每个 Microsoft Sentinel 工作区当前的连接数限制为五个连接。

每个 Azure 资源组在其部署历史记录中的部署数限制为 800 个部署。 如果资源组中具有大量的 ARM 模板部署,则可能会遇到部署 QuotaExceeded 错误。

验证内容

通过存储库连接将内容部署到 Microsoft Sentinel 时,除了验证数据是否采用正确的 ARM 模板格式外,不会验证该内容。

我们建议使用常规验证过程验证内容模板。 可以使用 Microsoft Sentinel GitHub 验证过程和工具来设置自己的验证过程。

连接存储库

此过程介绍如何将 GitHub 或 Azure DevOps 存储库连接到 Microsoft Sentinel 工作区,从而可在工作区(而不是在 Microsoft Sentinel)中保存和管理自定义内容。

每个连接都可以支持多种类型的自定义内容,这些内容类型包括分析规则、自动化规则、搜寻查询、分析器、playbook 和工作簿。 有关详细信息,请参阅关于 Microsoft Sentinel 内容和解决方案。

创建连接:

  • 确保已使用要用于连接的凭据登录源代码管理应用。 如果当前使用不同的凭据登录,请先进行注销。

  • 在Microsoft Sentinel 中左侧的“内容管理”下,选择“存储库” 。

  • 选择“添加新连接”,然后在“创建新连接”页上,为连接输入有意义的名称和说明 。

  • 从“源代码管理”下拉列表中,选择要连接到的存储库类型,然后选择“授权” 。

  • 根据连接类型选择以下选项卡之一:

GitHub

  • 系统出现提示时,输入 GitHub 凭据。

    首次添加连接时,会显示新的浏览器窗口或选项卡,提示对 Microsoft Sentinel 连接进行授权。 如果已在同一浏览器中登录 GitHub 帐户,系统会自动填充 GitHub 凭据。

  • 现在,“创建新连接”页上会显示“存储库”区域,可在其中选择要连接到的现有存储库 。 从列表中选择存储库,然后选择“添加存储库”。

    首次连接到特定存储库时,会看到新的浏览器窗口或选项卡,提示在存储库中安装 Azure-Sentinel 应用。 如果有多个存储库,请选择要安装 Azure-Sentinel 应用的存储库,然后进行安装。

    系统会定向到 GitHub 以便继续安装应用。

  • 在存储库中安装 Azure-Sentinel 应用后,“创建新连接”页中的“分支”下拉列表中会填充分支 。 选择要连接到 Microsoft Sentinel 工作区的分支。

  • 从“内容类型”下拉列表中,选择要部署的内容类型。

    • 分析器和搜寻查询都使用“保存的搜索”API 将内容部署到 Microsoft Sentinel。 如果选择其中一种内容类型,并且分支中也有其他类型的内容,则会部署这两种内容类型。

    • 对于所有其他内容类型,在“创建新连接”窗格中选择内容类型只会将该内容部署到 Microsoft Sentinel。 不会部署其他类型的内容。

  • 选择“创建”以创建连接。

创建连接后,系统会在存储库中生成新的工作流或管道,并且存储库中存储的内容将部署到 Microsoft Sentinel 工作区。

部署时间可能因要部署的内容量而有所不同。

Azure DevOps

  • 系统将自动授权你使用当前 Azure 凭据连接到 Azure DevOps。 为确保连接有效,请验证你是否有权访问从 Microsoft Sentinel 连接到的同一个 Azure DevOps 组织,或使用 InPrivate 浏览器窗口创建连接。

  • 在 Microsoft Sentinel 中,从显示的下拉列表中,依次选择“组织”、“项目”、“存储库”、“分支”和“内容类型” 。

    • 分析器和搜寻查询都使用“保存的搜索”API 将内容部署到 Microsoft Sentinel。 如果选择其中一种内容类型,并且分支中也有其他类型的内容,则会部署这两种内容类型。

    • 对于所有其他内容类型,在“创建新连接”窗格中选择内容类型只会将该内容部署到 Microsoft Sentinel。 不会部署其他类型的内容。

  • 选择“创建”以创建连接。 例如:

创建连接后,系统会在存储库中生成新的工作流或管道,并且存储库中存储的内容将部署到 Microsoft Sentinel 工作区。

部署时间可能因要部署的内容量而有所不同。