使用存储库进行部署

  • 3 分钟

创建自定义内容时,可以在自己的Microsoft Sentinel 工作区或外部源代码管理存储库(包括 GitHub 和 Azure DevOps 存储库)中存储和管理它。 通过管理外部存储库中的内容,可以在 Microsoft Sentinel 外部更新该内容,并将其自动部署到工作区。

先决条件和范围

将 Microsoft Sentinel 工作区连接到外部源代码管理存储库之前,请确保:

  • 在相关的 Azure 资源管理器 (ARM) 模板中访问 GitHub 或 Azure DevOps 存储库,以及要部署到工作区的任何自定义内容文件。

    Microsoft Sentinel 目前仅支持与 GitHub 和 Azure DevOps 存储库建立连接。

  • 资源组中包含 Microsoft Sentinel 工作区的“所有者”角色。 创建 Microsoft Sentinel 与源代码管理存储库之间的连接需要此角色。 如果无法在环境中使用“所有者”角色,则可以改用用户访问管理员和 Sentinel 参与者角色的组合来创建连接。

最大连接和部署数

每个 Microsoft Sentinel 工作区当前的连接数限制为五个连接。

每个 Azure 资源组在其部署历史记录中的部署数限制为 800 个。 如果在资源组中多次部署 ARM 模板时,可能会遇到“部署配额超出”错误。

验证内容

通过存储库连接将内容部署到 Microsoft Sentinel 不会验证内容,仅检验数据是否为正确的 ARM 模板格式。

建议使用常规验证过程验证内容模板。 可以使用 Microsoft Sentinel GitHub 验证过程和工具设置自己的验证过程。

连接存储库

此过程介绍如何将 GitHub 或 Azure DevOps 存储库连接到 Microsoft Sentinel 工作区,可在其中保存和管理自定义内容,而不是在 Microsoft Sentinel 中。

每个连接都可以支持多种类型的自定义内容,包括分析规则、自动化规则、搜寻查询、分析程序、Playbook 和工作簿。 有关详细信息,请参阅“关于Microsoft Sentinel 内容和解决方案”。

创建连接:

  • 确保已使用要用于连接的凭据登录到源代码管理应用程序。 如果当前已使用其他凭据登录,请先注销。

  • 在Microsoft Sentinel 的左侧内容管理下,选择“存储库”。

  • 选择“添加新”,然后在“创建新连接”页上,为连接输入有意义的名称和说明。

  • 从“源代码管理”下拉列表中,选择要连接到的存储库类型,然后选择“授权”。

  • 根据连接类型选择以下选项卡之一:

GitHub

  • 系统出现提示时,输入 GitHub 凭据。

    首次添加连接时,会看到新的浏览器窗口或选项卡,提示你授权连接到 Microsoft Sentinel。 如果已在同一浏览器中登录到 GitHub 帐户,则会自动填充 GitHub 凭据。

  • 存储库区域现在显示在“创建新连接”页上,可在其中选择要连接到的现有存储库。 从列表中选择存储库,然后选择“添加存储库”。

    首次连接到特定存储库时,会看到新的浏览器窗口或选项卡,提示你在存储库上安装 Azure-Sentinel 应用。 如果您有多个存储库,请选择要安装 Azure-Sentinel 应用的那些存储库,并安装该应用。

    定向到 GitHub 以继续安装应用。

  • 在你的存储库中安装 Azure-Sentinel 应用后,“创建新连接”页面中的“分支”下拉列表将显示你的各个分支。 选择要连接到 Microsoft Sentinel 工作区的分支。

  • 从“内容类型”下拉列表中,选择要部署的内容类型。

    • 分析器和狩猎查询都使用已保存搜索 API 将内容部署到 Microsoft Sentinel。 如果选择其中一种内容类型,并且分支中还有另一种类型的内容,则部署这两种内容类型。

    • 对于所有其他内容类型,在“创建新连接”窗格中选择内容类型只会将该内容部署到 Microsoft Sentinel。 不会部署其他类型的内容。

  • 选择“创建”以创建连接。

创建连接后,会在存储库中生成新的工作流或管道,并将存储库中存储的内容部署到 Microsoft Sentinel 工作区。

部署时间可能因要部署的内容量而异。

Azure DevOps

  • 系统将自动授权你使用当前 Azure 凭据连接到 Azure DevOps。 为确保连接有效,请验证你是否有权访问从 Microsoft Sentinel 连接到的同一个 Azure DevOps 组织,或使用 InPrivate 浏览器窗口创建连接。

  • 在 Microsoft Sentinel 中,从显示的下拉列表中选择组织、项目、存储库、分支和内容类型。

    • 分析器和狩猎查询都使用已保存搜索 API 将内容部署到 Microsoft Sentinel。 如果选择其中一种内容类型,并且分支中还有另一种类型的内容,则部署这两种内容类型。

    • 对于所有其他内容类型,在“创建新连接”窗格中选择内容类型只会将该内容部署到 Microsoft Sentinel。 不会部署其他类型的内容。

  • 选择“创建”以创建连接。 例如:

创建连接后,会在存储库中生成新的工作流或管道,并将存储库中存储的内容部署到 Microsoft Sentinel 工作区。

部署时间可能因要部署的内容量而异。