分享方式:

使用 Microsoft Sentinel 存放庫管理自訂內容 (公開預覽)

  • 文章

Microsoft Sentinel 存放庫功能提供以程式碼形式部署及管理 Sentinel 內容的集中體驗。 存放庫允許外部原始檔控制連線,以供持續整合/持續傳遞 (CI/CD)。 此自動化可減輕更新及部署工作區之間自訂內容的手動程序負擔。 如需關於 Sentinel 內容的詳細資訊,請參閱關於 Microsoft Sentinel 內容和解決方案

重要

Microsoft Sentinel [存放庫] 功能目前處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定

規劃存放庫連線

Microsoft Sentinel 存放庫需要仔細規劃,以確保您有工作區所提供的適當權限,可使用您所要連線的存放庫 (repo)。 目前僅支援具有參與者存取權的 GitHub 和 Azure DevOps 存放庫連線。 Microsoft Sentinel 應用程式需要您存放庫的授權,並且有針對 Azure DevOps 啟用的 GitHub 和已啟用管線的動作。

存放庫需要資源群組中包含 Microsoft Sentinel 工作區的擁有者角色。 如果要建立 Microsoft Sentinel 與原始檔控制存放庫之間的連線,就必須要有此角色。 如果您無法在環境中使用擁有者角色,則可以改用使用者存取管理員Sentinel 參與者角色的組合來建立連線。

如果您在您不是參與者的公開存放庫中找到內容,您必須先將該內容放入存放庫中。 您可以使用匯入、分支或複製內容來執行此動作,以放入您是參與者的存放庫。 接著,您可以將存放庫連線到 Sentinel 工作區。 如需詳細資訊,請參閱從存放庫部署自訂內容

驗證您的內容

您可以透過存放庫連線來部署下列 Microsoft Sentinel 內容類型:

  • Analytics 規則
  • 自動化規則
  • 搜捕查詢
  • 剖析器
  • 劇本
  • 活頁簿

提示

本文「不會」說明如何從頭開始建立這些類型的內容類型。 如需詳細資訊,請參閱每個內容類型的相關 Microsoft Sentinel GitHub Wiki

必須將存放庫內容儲存為 ARM 範本。 存放庫部署不會驗證內容,只會確認其為正確的 JSON 格式。

驗證內容的第一個步驟是在 Microsoft Sentinel 內測試內容。 您也可以套用 Microsoft Sentinel GitHub 驗證流程和工具來補充您的驗證流程。

上列每個內容類型的 ARM 範本都可以使用範例存放庫。 存放庫也會示範存放庫連線的進階功能使用方式。 如需詳細資訊,請參閱 Sentinel CICD 存放庫範例

存放庫連線成功的螢幕擷取畫面。隨即顯示 RepositoriesSampleContent。從 SentinelCICD 存放庫將範例匯入 FourthCoffee 組織的私人 GitHub 存放庫後才會顯示此螢幕擷取畫面。

連線和部署的上限

  • 每個 Microsoft Sentinel 工作區目前的存放庫連線數限制為五個

  • 每個 Azure 資源群組在其部署歷程記錄中的部署數限制為 800 個。 如果您的資源群組中有大量 ARM 範本部署,那麼您可能會看到 Deployment QuotaExceeded 錯誤。 如需詳細資訊,請參閱 Azure Resource Manager 範本文件中的 DeploymentQuotaExceededed

使用智慧部署改善效能

提示

為了確保智慧型部署可在 GitHub 中運作,工作流程必須具有存放庫的讀取和寫入權限。 如需詳細資訊,請參閱管理存放庫的GitHub Actions設定

智慧部署功能是一項後端功能,可對已連線存放庫的內容檔案所進行的修改進行主動追蹤來改善效能。 其會使用存放庫中 '.sentinel' 資料夾內的 CSV 檔案來稽核每個認可。 工作流程可避免將上次部署後從未修改過的內容重新部署。 此流程可改善您的部署效能,並避免竄改工作區中未變更的內容,例如重設分析規則的動態排程。

新建立的連線上預設會啟用智慧部署。 如果您想要每次在觸發部署時,都部署所有原始檔控制內容,不論該內容是否已修改過,您都可以修改工作流程來停用智慧部署。 如需詳細資訊,請參閱自訂工作流程或管線

注意

這項功能已在 2022 年 4 月 20 日的公開預覽中啟動。 針對這項功能啟動之前就已建立的連線,您必須進行更新或重新建立連線,如此才能開啟智慧型部署。

請考慮部署自訂選項

使用 Microsoft Sentinel 存放庫部署內容時,可以考量一些自訂選項。

自訂工作流程或管線

您可以透過下列其中一種方式自訂工作流程或管線:

  • 設定不同的部署觸發程序
  • 僅從指定工作區的特定根資料夾部署內容
  • 排程定期執行工作流程
  • 將不同的工作流程事件結合在一起
  • 關閉智慧部署

這些自訂是在工作流程或管線特定的 .yml 檔案中定義。 如需如何實作的詳細資料,請參閱自訂存放庫部署

自訂部署

觸發工作流程或管線之後,部署支援下列案例:

  • 優先處理要部署的內容,再排列存放庫內容的其餘部分
  • 從部署中排除內容
  • 指定 ARM 範本參數檔案

這些選項可透過從工作流程或管線呼叫的 PowerShell 部署指令碼功能取得。 如需如何實作這些自訂的其他詳細資料,請參閱自訂存放庫部署

後續步驟

取得更多有關部署 Microsoft Sentinel 存放庫的範例和逐步指示。