Partilhar via

Gerenciar conteúdo como código com repositórios do Microsoft Sentinel (visualização pública)

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

O recurso de repositórios do Microsoft Sentinel fornece uma experiência central para a implantação e o gerenciamento de conteúdo do Sentinel como código. Os repositórios permitem conexões com um controle de fonte externo para integração contínua / entrega contínua (CI/CD). Essa automação elimina a carga de processos manuais para atualizar e implantar seu conteúdo personalizado em espaços de trabalho. Um subconjunto de conteúdo como código é deteções como código (DaC). O Microsoft Sentinel Repositories também implementa o DaC.

Para obter mais informações sobre o conteúdo do Sentinel, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel.

Importante

O recurso Repositórios do Microsoft Sentinel está atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Planeje sua conexão com o repositório

Os repositórios do Microsoft Sentinel exigem um planejamento cuidadoso para garantir que você tenha as permissões adequadas do seu espaço de trabalho para o repositório (repo) que deseja conectar.

  • Somente conexões com repositórios do GitHub e do Azure DevOps são suportadas.
  • É necessário o acesso do colaborador ao repositório do GitHub ou o acesso do Administrador do Projeto ao repositório do Azure DevOps.
  • O aplicativo Microsoft Sentinel precisa de autorização para seu repositório.
  • As ações devem ser habilitadas para o GitHub.
  • Os pipelines devem ser habilitados para o Azure DevOps.
  • Uma conexão de DevOps do Azure deve estar no mesmo locatário que seu espaço de trabalho do Microsoft Sentinel.

Criar uma conexão com um repositório requer uma função de Proprietário no grupo de recursos que contém seu espaço de trabalho do Microsoft Sentinel. Se você não conseguir usar a função Proprietário em seu ambiente, use a combinação das funções de Administrador de Acesso de Usuário e Colaborador Sentinela para criar a conexão.

Se você encontrar conteúdo em um repositório público onde não seja um colaborador, primeiro importe, bifurque ou clone o conteúdo para um repositório onde você é um colaborador. Em seguida, conecte seu repositório ao seu espaço de trabalho do Microsoft Sentinel. Para obter mais informações, consulte Implantar conteúdo personalizado do repositório.

Planeje o conteúdo do repositório

O conteúdo do repositório deve ser armazenado como arquivos Bicep ou modelos do Azure Resource Manager (ARM). No entanto, o Bicep é mais intuitivo e facilita a descrição dos recursos do Azure e do conteúdo do Microsoft Sentinel.

Implante modelos de ficheiros Bicep ao lado ou em vez de modelos de ficheiros JSON ARM. Se você está considerando a infraestrutura como opções de código, recomendamos que você consulte o Bicep. Para obter mais informações, consulte O que é Bicep?.

Importante

Para usar arquivos Bicep, sua conexão de repositórios precisa ser atualizada se sua conexão foi criada antes de 1º de novembro de 2024. As conexões de repositórios devem ser removidas e recriadas para serem atualizadas.

Mesmo que seu conteúdo original seja um modelo ARM, considere converter para Bicep para tornar os processos de revisão e atualização menos complexos. O Bicep está intimamente relacionado ao ARM porque durante uma implantação, cada arquivo Bicep é convertido em um modelo ARM. Para obter mais informações sobre como converter modelos ARM, consulte Descompilando JSON de modelo ARM para Bicep.

Nota

Limitações conhecidas de Bicep:

  • Os ficheiros Bicep não suportam a id propriedade. Ao descompilar o JSON do ARM para o Bicep, assegure-se de não incluir essa propriedade. Por exemplo, os modelos de regras analíticas exportados do Microsoft Sentinel têm a id propriedade que precisa ser removida.
  • Altere o esquema JSON ARM para versão 2019-04-01 para obter melhores resultados ao descompilar.

Valide o seu conteúdo

Os seguintes tipos de conteúdo do Microsoft Sentinel podem ser implantados por meio de uma conexão de repositório:

  • Regras de análise
  • Regras de automatização
  • Consultas de pesquisa
  • Analisadores
  • Manuais de Procedimentos
  • Cadernos de exercícios

Importante

As regras analíticas implantadas usando o recurso Repositórios do Microsoft Sentinel podem usar consultas entre espaços de trabalho somente se o espaço de trabalho de destino estiver no mesmo Grupo de Recursos que o espaço de trabalho conectado ao repositório.

Gorjeta

Este artigo não descreve como criar esses tipos de conteúdo do zero. Para obter mais informações, consulte o wiki relevante do Microsoft Sentinel GitHub para cada tipo de conteúdo.

A implantação de repositórios não valida o conteúdo, exceto para confirmar que ele está no formato JSON ou Bicep correto. Certifique-se de testar seu conteúdo no Microsoft Sentinel antes de implantar.

Um repositório de exemplo está disponível com modelos para cada um dos tipos de conteúdo listados. O repositório também demonstra como usar recursos avançados de conexões de repositório. Para obter mais informações, consulte Exemplo de repositórios de CI/CD do Microsoft Sentinel.

Captura de tela de uma conexão de repositório bem-sucedida. O RepositoriesSampleContent é mostrado. Esta captura de tela é depois que a amostra foi importada do repositório SentinelCICD para um repositório GitHub privado na organização FourthCoffee.

Limite máximo de conexões e implementações

  • Cada espaço de trabalho do Microsoft Sentinel está atualmente limitado a cinco conexões de repositório.
  • Cada grupo de recursos do Azure é limitado a 800 implantações em seu histórico de implantação. Se tiveres um volume elevado de implantações de modelo em um ou mais dos teus grupos de recursos, poderá ver o erro Deployment QuotaExceeded. Para obter mais informações, consulte DeploymentQuotaExceeded na documentação de modelos do Azure Resource Manager.

Melhore o desempenho com implantações inteligentes

Gorjeta

Para garantir que as implantações inteligentes funcionem no GitHub, os fluxos de trabalho devem ter permissões de leitura e gravação em seu repositório. Consulte Gerenciando configurações de ações do GitHub para um repositório para obter mais detalhes.

O recurso implantações inteligentes é uma funcionalidade de backend que melhora o desempenho ao monitorizar ativamente as modificações feitas nos ficheiros de conteúdo de um repositório conectado. Ele usa um arquivo CSV dentro da .sentinel pasta em seu repositório para auditar cada confirmação. O fluxo de trabalho evita a reimplantação de conteúdo que não foi modificado desde a última implantação. Este processo melhora o desempenho da implantação e evita a alteração indevida de conteúdo inalterado no seu espaço de trabalho, como a reposição de agendas dinâmicas das suas regras de análise.

As implantações inteligentes são habilitadas por padrão em conexões recém-criadas. Se você preferir todo o conteúdo de controle do código-fonte implantado sempre que uma implantação for acionada, independentemente de esse conteúdo ter sido modificado ou não, modifique seu fluxo de trabalho para desabilitar implantações inteligentes. Para obter mais informações, consulte Personalizar o fluxo de trabalho ou canal.

Considere as opções de personalização de implantação

Considere as seguintes opções de personalização ao implantar conteúdo com repositórios do Microsoft Sentinel.

Personalizar o fluxo de trabalho ou sequência de atividades

Personalize o fluxo de trabalho ou pipeline de uma das seguintes maneiras:

  • Configurar diferentes gatilhos de implantação
  • implantar conteúdo somente de uma pasta raiz específica para um determinado espaço de trabalho
  • Agendar a periódica execução do fluxo de trabalho
  • combinar diferentes eventos de fluxo de trabalho juntos
  • Desativar implantações inteligentes

Essas personalizações são definidas em um arquivo de .yml específico para seu fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar, consulte Personalizar implantações de repositório

Personalizar a implantação

Depois que o fluxo de trabalho ou pipeline é acionado, a implantação oferece suporte aos seguintes cenários:

  • Priorizar o conteúdo a ser implantado antes do restante do conteúdo de repositório
  • Excluir conteúdo da implementação
  • especificar arquivos de parâmetro de modelo ARM

Essas opções estão disponíveis por meio de um recurso do script de implantação do PowerShell chamado a partir do fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar estas personalizações, consulte Personalizar implantações de repositório.

Próximos passos

Obtenha mais exemplos e instruções passo a passo sobre como implantar repositórios do Microsoft Sentinel.

  • Last updated on