建立自訂內容時,您可以在自己的 Microsoft Sentinel 工作區或外部原始檔控制存放庫中管理該內容。 本文說明如何建立及管理 Microsoft Sentinel 與 GitHub 或 Azure DevOps 存放庫之間的連線。 管理外部存放庫中的內容可讓您對 Microsoft Sentinel 以外的內容進行更新,並自動將該內容部署至您的工作區。 如需詳細資訊,請參閱 使用存放庫連線更新自定義內容。
重要事項
- Microsoft Sentinel 存放 庫 功能目前處於 預覽狀態。 如需適用於 Beta、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版的補充使用規定。
- 從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新使用者也會從 Azure 入口網站自動 上線並重新導向至 Defender 入口網站。 如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
先決條件
Microsoft Sentinel 目前支援 GitHub 和 Azure DevOps 存放庫的連線。 在將您的 Microsoft Sentinel 工作空間連接到原始碼控制倉庫之前,請確保:
- 您在包含 Microsoft Sentinel 工作區的資源群組中,具有用來建立連接的擁有者角色,或使用者存取管理員和 Sentinel 參與者角色的組合
- 自訂內容檔案必須符合支援的格式才能部署到你的工作區。 如需支援的格式,請參閱 規劃您的存放庫內容。
- 您用來建立連接的帳戶位於您的家庭租用戶中。 外部身份,例如B2B訪客帳號,以及委派存取權限,都不被支援。
- 共同作業者存取您的 GitHub 存放庫
- 針對 GitHub 啟用的動作和針對 Azure DevOps 啟用的管線
如需可部署內容類型的詳細資訊,請參閱 驗證您的內容。
連線存放庫
此程序說明如何將 GitHub 或 Azure DevOps 存放庫連線到您的 Microsoft Sentinel 工作區。
每個連線都可以支援多種自訂內容類型,包括分析規則、自動化規則、搜捕查詢、剖析器、劇本和活頁簿。 如需詳細資訊,請參閱 關於Microsoft Sentinel 內容和解決方案。
您無法在單一 Microsoft Sentinel 工作區中使用相同的存放庫和分支建立重複的連線。
建立您的連線:
請確定您已使用要用於連線的認證來登入原始檔控制應用程式。 如果您目前是用不同的認證登入,那麼請先登出。
針對 Azure 入口網站中的 Microsoft Sentinel,在 [ 內容管理] 底下,選取 [ 存放庫]。
在 Defender 入口網站中,針對 Microsoft Sentinel,選取 Microsoft Sentinel>內容管理>存放庫。選取 [新增],然後在 [ 建立新的部署連線 ] 頁面上,輸入有意義的連線名稱和描述。
從 [原始檔控制] 下拉式清單中,選取您要連線的存放庫類型,然後選取 [授權]。
視您的連線類型而定,選取下列其中一個索引標籤:
出現提示時,請輸入您的 Github 認證。
第一次新增連線時,系統會提示您授權連線至 Microsoft Sentinel。 如果您已在相同的瀏覽器中登入您的 GitHub 帳戶,則會自動填入您的 GitHub 認證。
[ 存放庫 ] 區域現在會顯示在 [ 建立新的部署連線 ] 頁面上,您可以在其中選取要連線的現有存放庫。 從清單中選取您的存放庫,然後選取 [新增存放庫]。
第一次連線到特定存放庫時,您會看到新的瀏覽器視窗或索引標籤,提示您在存放庫上安裝 Azure-Sentinel 應用程式。 如果您有多個存放庫,請選取您想要安裝 Azure-Sentinel 應用程式的存放庫,並加以安裝。
系統會將您導向至 GitHub 以繼續安裝應用程式。
在存放庫中安裝 Azure-Sentinel 應用程式之後,[建立新的部署連線] 頁面中的 [分支] 下拉式清單會填入您的分支。 選取您想讓 Microsoft Sentinel 工作區連線到哪一個分支。
從 [ 內容類型] 下拉式清單中,選取您要部署的內容類型。
剖析器和搜捕查詢都會使用已儲存的搜尋 API,以此將內容部署至 Microsoft Sentinel。 如果您選取其中一種內容類型,而且您的分支中也有其他類型的內容,那麼就會同時部署兩種內容類型。
若為所有其他內容類型,請在 建立新的部署連接 窗格中選取內容類型,僅將該內容部署至 Microsoft Sentinel。 未部署其他類型的內容。
選取 [建立] 以建立您的連線。 例如:
建立連線之後,您的存放庫中會產生新的工作流程或管道。 儲存在存放庫中的內容會部署到您的 Microsoft Sentinel 工作區。
部署時間可能會因您要部署的內容量而有所不同。
檢視部署狀態
在 GitHub:在存放庫的 [ 動作] 索引標籤上,選取工作流程 .yaml 檔案以存取詳細的部署記錄和任何特定錯誤訊息。
在 Azure DevOps 中:從存放庫的 [管線 ] 索引卷標檢視部署狀態。
完成部署後:
在相關 Microsoft Sentinel 頁面的 Microsoft Sentinel 工作區中會顯示儲存在存放庫中的內容。
[存放庫] 頁面上的連線詳細資料中,連線部署記錄的連結以及上次部署的狀態和時間會受到更新。 例如:
預設工作流程只會根據對存放庫的提交,部署自上次部署後修改的內容。 但您可能想要關閉智慧部署或執行其他自訂。 例如,您可以設定不同的部署觸發程序,或專門從特定的根資料夾部署內容。 若要深入瞭解,請參閱 自定義存放庫部署。
編輯內容
當您成功建立原始檔控制存放庫的連線時,您的內容會部署至 Sentinel。 建議您只編輯儲存在已連線存放庫 (而非 Microsoft Sentinel) 中的內容。 例如,若要變更您的分析規則,請直接在 GitHub 或 Azure DevOps 中進行這項操作。
反之,如果您編輯 Microsoft Sentinel 中的內容,請務必將其匯出至原始檔控制存放庫,以防止下次將存放庫內容部署至工作區時讓您的變更遭到覆寫。
刪除內容
從存放庫刪除內容並不會刪除您 Microsoft Sentinel 工作區中的內容。 如果您想要移除透過存放庫部署的內容,請從您的存放庫和 Microsoft Sentinel 將它刪除。 例如,根據來源名稱設定內容的篩選,以便更輕鬆地從存放庫識別內容。
移除存放庫連線
此程序描述如何從 Microsoft Sentinel 移除與原始檔控制存放庫的連線。 若要使用 Bicep 檔案,您的存放庫連線必須比 2024 年 11 月 1 日更新。 使用此程序移除連線,並重新建立連線,以便更新連線。
若要移除您的連線:
- 在 [Microsoft Sentinel] 的 [ 內容管理] 底下,選取 [ 存放庫]。
- 在方格中,選取您要移除的連線,然後選取 [刪除]。
- 選取 [是 ] 以確認刪除。
移除連線之後,先前透過連線部署的內容會保留在您的 Microsoft Sentinel 工作區中。 移除連線之後才新增至存放庫的內容則不會部署。
如果您在刪除連線時遇到問題或錯誤訊息,建議您檢查原始檔控制。 確認已刪除與連線相關聯的 GitHub 工作流程或 Azure DevOps 管道。
從 GitHub 存放庫移除 Microsoft Sentinel 應用程式
如果您想要從 GitHub 存放庫刪除 Microsoft Sentinel 應用程式,建議您「先」從 Microsoft Sentinel [存放庫] 頁面移除所有相關聯的連線。
每個 Microsoft Sentinel 應用程式安裝都有唯一的識別碼,在新增和移除連線時都會使用該識別碼。 如果 ID 遺失或變更,請從 Microsoft Sentinel 存放庫頁面移除連線,然後手動從您的 GitHub 存放庫移除工作流程,以避免今後的內容部署。
相關內容
依照您使用現成內容的相同方式,在 Microsoft Sentinel 中使用您的自訂內容。
如需詳細資訊,請參閱