Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met Microsoft Sentinel-opslagplaatsen kunt u aangepaste Sentinel-inhoud implementeren en beheren vanuit een externe opslagplaats voor broncodebeheer voor continue integratie/continue levering (CI/CD). Deze automatisering verwijdert de noodzaak voor handmatige processen om uw aangepaste inhoud in werkruimten bij te werken en te implementeren. Een subset van inhoud als code is detecties als code (DaC). Microsoft Sentinel-opslagplaatsen implementeren ook DaC.
Zie Microsoft Sentinel-inhoud en -oplossingen voor meer informatie over Sentinel-inhoud.
Belangrijk
De functie Microsoft Sentinel-opslagplaatsen is momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.
Hoe Microsoft Sentinel-opslagplaatsen werken
U kunt deze aangepaste Inhoudstypen van Microsoft Sentinel implementeren vanuit een externe opslagplaats voor broncodebeheer waarmee u verbinding maakt met Microsoft Sentinel:
- Analyseregels
- Automatiseringsregels
- Zoekopdrachten
- Parsers (taalanalysatoren)
- Draaiboeken
- Werkmappen
Updates die u aanbrengt in de inhoud in uw Microsoft Sentinel-opslagplaatsen, worden gesynchroniseerd met uw Microsoft Sentinel-werkruimte en overschrijven eventuele wijzigingen die u aanbrengt in die inhoud via de Microsoft Sentinel-portal. Uw Microsoft Sentinel-opslagplaatsen worden uw 'enkele bron van waarheid' voor aangepaste inhoud in de verbonden werkruimten.
De verbinding met uw opslagplaats plannen
Microsoft Sentinel-opslagplaatsen vereisen zorgvuldige planning om ervoor te zorgen dat u over de juiste machtigingen van uw werkruimte beschikt naar de opslagplaats (opslagplaats) die u wilt verbinden.
- Alleen verbindingen met GitHub- en Azure DevOps-opslagplaatsen worden ondersteund.
- Samenwerkertoegang tot uw GitHub-opslagplaats of projectbeheerdertoegang tot uw Azure DevOps-opslagplaats is vereist.
- De Microsoft Sentinel-toepassing heeft autorisatie nodig voor uw opslagplaats.
- Acties moeten zijn ingeschakeld voor GitHub.
- Pijplijnen moeten zijn ingeschakeld voor Azure DevOps.
- Een Azure DevOps-verbinding moet zich in dezelfde tenant bevinden als uw Microsoft Sentinel-werkruimte.
Voor het maken van een verbinding met een opslagplaats is een Eigenaar-rol vereist in de resourcegroep die uw Microsoft Sentinel-werkruimte bevat. Als u de rol Eigenaar in uw omgeving niet kunt gebruiken, gebruikt u de combinatie van de rollen Administrator voor gebruikerstoegang en Sentinel-inzender om de verbinding te maken.
Als u inhoud vindt in een openbare opslagplaats waar u geen inzender bent, importeert, forkt of kloont u de inhoud naar een opslagplaats waar u inzender bent. Verbind uw opslagplaats vervolgens met uw Microsoft Sentinel-werkruimte. Zie Aangepaste inhoud implementeren vanuit uw opslagplaats voor meer informatie.
Maximum aantal verbindingen en implementaties
- Elke Microsoft Sentinel-werkruimte is momenteel beperkt tot vijf opslagplaatsverbindingen.
- Elke Azure-resourcegroep is beperkt tot 800 implementaties in de implementatiegeschiedenis. Als u een groot aantal sjabloonimplementaties in een of meer van uw resourcegroepen hebt, ziet u mogelijk de
Deployment QuotaExceededfout. Zie DeploymentQuotaExceededed in de documentatie over Azure Resource Manager-sjablonen voor meer informatie.
De inhoud van uw opslagplaats plannen
Microsoft Sentinel-opslagplaatsen ondersteunen de implementatie van inhoud die u opslaat als Bicep-bestanden of ARM-sjablonen (Azure Resource Manager). We raden u aan Bicep te gebruiken, wat intuïtiever is en het eenvoudiger maakt om Azure-resources en Microsoft Sentinel-inhoud te beschrijven.
De sjabloon voor elk inhoudstype heeft een specifieke structuur en parameternaam, zoals beschreven in de sjabloonreferentie voor Sentinel-resources. Zie OpslagplaatsenSampleContent-opslagplaats voor voorbeelden van elk inhoudstype.
We hebben een voorbeeldopslagplaats met sjablonen opgegeven voor elk van de vermelde inhoudstypen. De opslagplaats laat ook zien hoe u geavanceerde functies van opslagplaatsverbindingen gebruikt. Zie het voorbeeld van Microsoft Sentinel CI/CD-opslagplaatsen voor meer informatie.
Hoewel u helemaal zelf sjablonen kunt maken, is het vaak eenvoudiger om te beginnen met de YAML-bestanden van de Sentinel-opslagplaats in de Openbare GitHub-opslagplaats of van standaard Microsoft Sentinel-inhoud. In deze tabel wordt beschreven hoe u een ARM-sjabloon converteert voor gebruik met Microsoft Sentinel-opslagplaatsen.
| Inhoudstype | Converteren vanuit openbare YAML van Sentinel | Exporteren vanuit Sentinel | Sjabloonreferentie | Voorbeeldsjablonen |
|---|---|---|---|---|
| Analytische regels | PowerShell-script | Functie of PowerShell-script exporteren | Verwijzing | ARM-sjablonen |
| Automatiseringsregels | N/A | Functie of PowerShell-scripts exporteren | Verwijzing | N/A |
| Opsporingsquery's | PowerShell-script | Azure CLI-opdrachten | Verwijzing | Voorbeeldinhoud |
| Parsers | ASIM PowerShell-script | Azure CLI-opdrachten | Verwijzing | Sjablonen |
| Playbooks | N/A | PowerShell-hulpprogramma | Verwijzing | N/A |
| Werkmappen | N/A | Werkmappen exporteren als ARM-sjablonen | Verwijzing | N/A |
Belangrijk
Bicep-overwegingen:
- Als u Bicep-bestanden wilt gebruiken, moet de verbinding met uw opslagplaatsen worden bijgewerkt als uw verbinding vóór 1 november 2024 is gemaakt. Opslagplaatsverbindingen moeten worden verwijderd en opnieuw worden gemaakt om bij te werken.
- Bicep-bestanden bieden geen ondersteuning voor de
ideigenschap. Wanneer u ARM JSON decompileert met Bicep, controleert u of u deze eigenschap niet hebt. Analyseregelsjablonen die zijn geëxporteerd uit Microsoft Sentinel hebben bijvoorbeeld deideigenschap die moet worden verwijderd. - Wijzig het ARM JSON-schema in versie
2019-04-01voor de beste resultaten bij het decompileren.
Belangrijk
Analyseregels die zijn geïmplementeerd met behulp van de functie Microsoft Sentinel-opslagplaatsen , kunnen alleen query's tussen werkruimten gebruiken als de doelwerkruimte zich in dezelfde resourcegroep bevindt als de werkruimte die is verbonden met de opslagplaats.
Zie de relevante Microsoft Sentinel GitHub-wiki voor elk inhoudstype voor meer informatie over het maken van aangepaste inhoud.
Prestaties verbeteren met slimme implementaties
Aanbeveling
Om ervoor te zorgen dat slimme implementaties werken in GitHub, moeten werkstromen lees- en schrijfmachtigingen hebben voor uw opslagplaats. Zie Instellingen voor GitHub Actions beheren voor een opslagplaats voor meer informatie.
De functie slimme implementaties is een back-endfunctie die de prestaties verbetert door wijzigingen in de inhoudsbestanden van een verbonden opslagplaats actief bij te houden. Het maakt gebruik van een CSV-bestand in de .sentinel map in uw opslagplaats om elke doorvoering te controleren. De werkstroom vermijdt het opnieuw implementeren van inhoud die niet is gewijzigd sinds de laatste implementatie. Dit proces verbetert de implementatieprestaties en voorkomt manipulatie met ongewijzigde inhoud in uw werkruimte, zoals het opnieuw instellen van dynamische planningen van uw analyseregels.
Slimme implementaties zijn standaard ingeschakeld voor nieuw gemaakte verbindingen. Als u de voorkeur geeft aan alle inhoud voor broncodebeheer die wordt geïmplementeerd wanneer een implementatie wordt geactiveerd, of die inhoud nu is gewijzigd of niet, wijzigt u uw werkstroom om slimme implementaties uit te schakelen. Zie De werkstroom of pijplijn aanpassen voor meer informatie.
Opties voor implementatieaanpassing overwegen
Houd rekening met de volgende aanpassingsopties bij het implementeren van inhoud met Microsoft Sentinel-opslagplaatsen.
De werkstroom of pijplijn aanpassen
Pas de werkstroom of pijplijn op een van de volgende manieren aan:
- verschillende implementatietriggers configureren
- inhoud alleen implementeren vanuit een specifieke hoofdmap voor een bepaalde werkruimte
- de werkstroom in te plannen om periodiek uit te voeren
- Verschillende werkstroomevenementen combineren
- slimme implementaties uitschakelen
Deze aanpassingen worden gedefinieerd in een .yml bestand dat specifiek is voor uw werkstroom of pijplijn. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie over het implementeren
De implementatie aanpassen
Zodra de werkstroom of pijplijn is geactiveerd, ondersteunt de implementatie de volgende scenario's:
- prioriteit geven aan inhoud die moet worden geïmplementeerd vóór de rest van de opslagplaatsinhoud
- inhoud uitsluiten van implementatie
- parameterbestanden voor ARM-sjablonen opgeven
Deze opties zijn beschikbaar via een functie van het PowerShell-implementatiescript dat wordt aangeroepen vanuit de werkstroom of pijplijn. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie over het implementeren van deze aanpassingen.
Volgende stappen
Bekijk meer voorbeelden en stapsgewijze instructies voor het implementeren van Microsoft Sentinel-opslagplaatsen.