Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcja repozytoriów usługi Microsoft Sentinel zapewnia centralne środowisko wdrażania zawartości usługi Sentinel i zarządzania nią jako kodu. Repozytoria umożliwiają nawiązywanie połączeń z zewnętrzną kontrolą źródła na potrzeby ciągłej integracji/ciągłego dostarczania (CI/CD). Ta automatyzacja eliminuje obciążenie związane z ręcznymi procesami związanymi z aktualizowaniem i wdrażaniem niestandardowej zawartości w przestrzeniach roboczych. Podzbiorem zawartości jako kod są wykrycia jako kod (DaC). Repozytoria usługi Microsoft Sentinel implementują również język DaC.
Aby uzyskać więcej informacji na temat zawartości usługi Sentinel, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel.
Ważne
Funkcja repozytoriów usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Planowanie połączenia repozytorium
Repozytoria usługi Microsoft Sentinel wymagają starannego planowania, aby upewnić się, że posiadasz odpowiednie uprawnienia z obszaru roboczego do repozytorium, z którym chcesz się połączyć.
- Obsługiwane są tylko połączenia z repozytoriami GitHub i Azure DevOps.
- Wymagany jest dostęp współpracownika do repozytorium GitHub lub administratora projektu do repozytorium Usługi Azure DevOps.
- Aplikacja Microsoft Sentinel musi mieć autoryzację do repozytorium.
- Akcje muszą być włączone na GitHubie.
- Pipelines muszą być włączone w usłudze Azure DevOps.
- Połączenie usługi Azure DevOps musi znajdować się w tej samej dzierżawie co obszar roboczy usługi Microsoft Sentinel.
Utworzenie połączenia z repozytorium wymaga roli Właściciel w grupie zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. Jeśli nie możesz użyć roli Właściciel w swoim środowisku, użyj kombinacji ról Administrator dostępu użytkownika i Współautor Sentinel, aby utworzyć połączenie.
Jeśli znajdziesz zawartość w repozytorium publicznym, w którym nie jesteś współtwórcą, najpierw zaimportuj, zrób fork czy sklonuj tę zawartość do repozytorium, w którym jesteś współtwórcą. Następnie połącz repozytorium z obszarem roboczym usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wdrażanie zawartości niestandardowej z repozytorium.
Planowanie zawartości repozytorium
Zawartość repozytorium musi być przechowywana jako pliki Bicep lub szablony usługi Azure Resource Manager (ARM). Jednak Bicep jest bardziej intuicyjny i ułatwia opisywanie zasobów platformy Azure i zawartości usługi Microsoft Sentinel.
Wdróż szablony plików Bicep obok szablonów JSON ARM lub zamiast tych szablonów. Jeśli rozważasz opcję infrastruktury jako kodu, zalecamy zapoznanie się z Bicep. Aby uzyskać więcej informacji, zobacz Co to jest Bicep?.
Ważne
Aby można było używać plików Bicep, należy zaktualizować połączenie repozytoriów, jeśli połączenie zostało utworzone przed 1 listopada 2024 r. Aby można było zaktualizować, należy usunąć i ponownie utworzyć połączenia repozytoriów.
Nawet jeśli oryginalna zawartość jest szablonem ARM, rozważ konwersję na Bicep, aby procesy przeglądu i aktualizacji były mniej złożone. Bicep jest ściśle związany z usługą ARM, ponieważ podczas wdrażania każdy plik Bicep jest konwertowany na szablon usługi ARM. Aby uzyskać więcej informacji na temat konwertowania szablonów ARM, zobacz Dezasemblacja JSON szablonu ARM do Bicep.
Uwaga
Znane ograniczenia Bicep:
- Pliki Bicep nie obsługują
idwłaściwości . Podczas dekompilowania ARM JSON do języka Bicep, upewnij się, że nie używasz tej właściwości. Na przykład szablony reguł analitycznych wyeksportowane z usługi Microsoft Sentinel mająidwłaściwość, która wymaga usunięcia. - Zmień schemat JSON usługi ARM na wersję
2019-04-01, aby uzyskać najlepsze wyniki podczas dekompilowania.
Weryfikowanie zawartości
Następujące typy zawartości usługi Microsoft Sentinel można wdrożyć za pośrednictwem połączenia repozytorium:
- Reguły analizy
- Reguły automatyzacji
- Zapytania dotyczące wyszukiwania zagrożeń
- Parsery
- Scenariusze
- Skoroszyty
Ważne
Reguły analityczne wdrożone przy użyciu funkcji Repozytoria usługi Microsoft Sentinel mogą używać zapytań między obszarami roboczymi tylko wtedy, gdy docelowy obszar roboczy znajduje się w tej samej grupie zasobów co obszar roboczy połączony z repozytorium.
Napiwek
W tym artykule nie opisano sposobu tworzenia tego typu zawartości od podstaw. Aby uzyskać więcej informacji, zobacz odpowiednią stronę wiki GitHub dla Microsoft Sentinel dotyczącą każdego typu zawartości.
Wdrożenie repozytoriów nie weryfikuje zawartości z wyjątkiem potwierdzenia, że jest w poprawnym formacie JSON lub Bicep. Przed wdrożeniem upewnij się, że zawartość została przetestowana w usłudze Microsoft Sentinel.
Przykładowe repozytorium jest dostępne z szablonami dla każdego z wymienionych typów zawartości. W repozytorium pokazano również, jak używać zaawansowanych funkcji połączeń repozytorium. Aby uzyskać więcej informacji, zobacz przykładowe repozytoria CI/CD usługi Microsoft Sentinel.
Maksymalna liczba połączeń i wdrożeń
- Każdy obszar roboczy usługi Microsoft Sentinel jest obecnie ograniczony do pięciu połączeń repozytorium.
- Każda grupa zasobów platformy Azure jest ograniczona do 800 wdrożeń w historii wdrażania. Jeśli masz duże ilości wdrożeń szablonów w jednej lub więcej grupach zasobów, możesz zobaczyć błąd
Deployment QuotaExceeded. Aby uzyskać więcej informacji, zobacz DeploymentQuotaExceeded w dokumentacji szablonów usługi Azure Resource Manager.
Zwiększanie wydajności za pomocą inteligentnych wdrożeń
Napiwek
Aby zapewnić, że inteligentne wdrożenia działają w usłudze GitHub, przepływy pracy muszą mieć uprawnienia do odczytu i zapisu w repozytorium. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami funkcji GitHub Actions dla repozytorium .
Funkcja wdrożeń inteligentnych to funkcja zaplecza, która poprawia wydajność dzięki aktywnemu śledzeniu modyfikacji wprowadzonych w plikach zawartości połączonego repozytorium. Używa pliku CSV w folderze .sentinel w repozytorium w celu audytu każdego zatwierdzenia. Przepływ pracy unika ponownego wdrażania zawartości, która nie została zmodyfikowana od czasu ostatniego wdrożenia. Ten proces poprawia wydajność wdrożenia i uniemożliwia manipulowanie niezmienioną zawartością w obszarze roboczym, na przykład resetowanie dynamicznych harmonogramów reguł analizy.
Wdrożenia inteligentne są domyślnie włączone na nowo utworzonych połączeniach. Jeśli wolisz całą zawartość kontroli źródła wdrożoną za każdym razem, gdy wdrożenie zostanie wyzwolone, niezależnie od tego, czy ta zawartość została zmodyfikowana, czy nie, zmodyfikuj przepływ pracy, aby wyłączyć wdrożenia inteligentne. Aby uzyskać więcej informacji, zobacz Dostosuj przepływ pracy lub potok.
Rozważ opcje dostosowywania wdrożenia
Podczas wdrażania zawartości za pomocą repozytoriów usługi Microsoft Sentinel należy wziąć pod uwagę następujące opcje dostosowywania.
Dostosowywanie przepływu pracy lub potoku
Dostosuj przepływ pracy lub potok na jeden z poniższych sposobów:
- konfigurowanie różnych wyzwalaczy wdrażania
- wdrażanie zawartości tylko z określonego folderu głównego dla danego obszaru roboczego
- zaplanuj okresowe uruchamianie przepływu pracy
- Łączenie różnych zdarzeń przepływu pracy
- wyłączanie wdrożeń inteligentnych
Te dostosowania są definiowane w pliku .yml specyficznym dla przepływu pracy lub rurociągu. Aby uzyskać więcej informacji na temat implementowania, zobacz Dostosowywanie wdrożeń repozytorium
Dostosowywanie wdrożenia
Po uruchomieniu przepływu pracy lub potoku, wdrożenie obsługuje następujące scenariusze:
- Określanie priorytetów zawartości do wdrożenia przed resztą zawartości repozytorium
- Wyklucz zawartość z wdrożenia
- określenie plików parametrów szablonu ARM
Te opcje są dostępne za pośrednictwem funkcji skryptu wdrażania programu PowerShell wywoływanego z przepływu pracy lub potoku. Aby uzyskać więcej informacji na temat implementowania tych dostosowań, zobacz Dostosowywanie wdrożeń repozytoriów.
Następne kroki
Uzyskaj więcej przykładów i instrukcje krok po kroku dotyczące wdrażania repozytoriów usługi Microsoft Sentinel.