Nasazení vlastního obsahu z úložiště (Public Preview)

Při vytváření vlastního obsahu ho můžete spravovat z vlastních pracovních prostorů Microsoft Sentinelu nebo z externího úložiště správy zdrojového kódu. Tento článek popisuje, jak vytvářet a spravovat připojení mezi úložišti Microsoft Sentinel a GitHub nebo Azure DevOps. Správa obsahu v externím úložišti umožňuje provádět aktualizace tohoto obsahu mimo Microsoft Sentinel a automaticky ho nasazovat do vašich pracovních prostorů. Další informace najdete v tématu Aktualizace vlastního obsahu pomocí připojení úložiště.

Důležité

Požadavky a obor

Microsoft Sentinel v současné době podporuje připojení k úložištím GitHub a Azure DevOps. Před připojením pracovního prostoru Microsoft Sentinelu k úložišti správy zdrojového kódu se ujistěte, že máte:

  • Role Vlastník ve skupině prostředků, která obsahuje váš pracovní prostor Služby Microsoft Sentinel nebo kombinaci rolí Správce uživatelských přístupů a Přispěvatel služby Sentinel k vytvoření připojení
  • Přístup spolupracovníka k úložišti GitHub nebo správci projektu k vašemu úložišti Azure DevOps
  • Povolené akce pro GitHub a Pipelines pro Azure DevOps
  • Přístup k aplikacím třetích stran prostřednictvím OAuth povolených pro zásady připojení aplikací Azure DevOps
  • Ujistěte se, že vlastní soubory obsahu, které chcete nasadit do pracovních prostorů, jsou v příslušných šablonách Azure Resource Manageru (ARM).

Další informace najdete v tématu Ověření obsahu.

Připojení úložiště

Tento postup popisuje, jak připojit úložiště GitHub nebo Azure DevOps k pracovnímu prostoru Služby Microsoft Sentinel.

Každé připojení může podporovat více typů vlastního obsahu, včetně analytických pravidel, pravidel automatizace, dotazů proaktivního vyhledávání, analyzátorů, playbooků a sešitů. Další informace najdete v tématu O obsahu a řešeních služby Microsoft Sentinel.

V jednom pracovním prostoru Microsoft Sentinel nemůžete vytvořit duplicitní připojení se stejným úložištěm a větví.

Vytvořte připojení:

  1. Ujistěte se, že jste přihlášení k aplikaci správy zdrojového kódu pomocí přihlašovacích údajů, které chcete použít pro připojení. Pokud jste aktuálně přihlášení pomocí různých přihlašovacích údajů, nejprve se odhlaste.

  2. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Úložiště.
    Pro Microsoft Sentinel na portálu Defender vyberte úložiště správy>obsahu Služby Microsoft Sentinel>.

  3. Vyberte Přidat nový a potom na stránce Vytvořit nové připojení nasazení zadejte smysluplný název a popis připojení.

  4. V rozevíracím seznamu Správa zdrojového kódu vyberte typ úložiště, ke kterému se chcete připojit, a pak vyberte Autorizovat.

  5. V závislosti na typu připojení vyberte jednu z následujících karet:

    1. Po zobrazení výzvy zadejte svoje přihlašovací údaje GitHubu.

      Při prvním přidání připojení se zobrazí výzva k autorizaci připojení k Microsoft Sentinelu. Pokud jste už přihlášení ke svému účtu GitHubu ve stejném prohlížeči, vaše přihlašovací údaje GitHubu se automaticky načítají.

    2. Oblast úložiště se teď zobrazuje na stránce Vytvořit nové připojení nasazení, kde můžete vybrat existující úložiště, ke kterému se chcete připojit. V seznamu vyberte své úložiště a pak vyberte Přidat úložiště.

      Při prvním připojení k určitému úložišti se zobrazí nové okno nebo karta prohlížeče s výzvou k instalaci aplikace Azure-Sentinel do úložiště. Pokud máte více úložišť, vyberte úložiště, do kterého chcete nainstalovat aplikaci Azure-Sentinel , a nainstalujte ji.

      Budete přesměrováni na GitHub, abyste mohli pokračovat v instalaci aplikace.

    3. Po instalaci aplikace Azure-Sentinel ve vašem úložišti se ve větvích naplní rozevírací seznam Větve na stránce Vytvořit nové připojení nasazení. Vyberte větev, kterou chcete připojit k pracovnímu prostoru Služby Microsoft Sentinel.

    4. V rozevíracím seznamu Typy obsahu vyberte typ obsahu, který nasazujete.

      • Analyzátory i dotazy proaktivního vyhledávání používají k nasazení obsahu do Služby Microsoft Sentinel rozhraní API uloženého vyhledávání. Pokud vyberete jeden z těchto typů obsahu a zároveň máte ve větvi obsah druhého typu, nasadí se oba typy obsahu.

      • U všech ostatních typů obsahu se výběrem typu obsahu v podokně Vytvořit nové připojení nasazení nasadí jenom tento obsah do služby Microsoft Sentinel. Obsah jiných typů není nasazený.

    5. Vyberte Vytvořit a vytvořte připojení. Příklad:

      Snímek obrazovky s novým připojením úložiště GitHub

Po vytvoření připojení se v úložišti vygeneruje nový pracovní postup nebo kanál. Obsah uložený v úložišti se nasadí do pracovního prostoru Microsoft Sentinelu.

Doba nasazení se může lišit v závislosti na objemu obsahu, který nasazujete.

Zobrazení stavu nasazení

V GitHubu: Na kartě Akce úložiště vyberte soubor .yaml pracovního postupu pro přístup k podrobným protokolům nasazení a všem konkrétním chybovým zprávám.

V Azure DevOps: Zobrazte stav nasazení na kartě Pipelines úložiště.

Po dokončení nasazení:

  • Obsah uložený ve vašem úložišti se zobrazí v pracovním prostoru Microsoft Sentinelu na příslušné stránce Microsoft Sentinelu.

  • Podrobnosti o připojení na stránce Úložiště se aktualizují odkazem na protokoly nasazení připojení a stavem a časem posledního nasazení. Příklad:

    Snímek obrazovky s protokoly nasazení úložiště GitHub

Výchozí pracovní postup nasadí pouze obsah upravený od posledního nasazení na základě potvrzení do úložiště. Můžete ale chtít inteligentní nasazení vypnout nebo provést jiná přizpůsobení. Můžete například nakonfigurovat různé triggery nasazení nebo nasadit obsah výhradně z konkrétní kořenové složky. Další informace najdete v tématu Přizpůsobení nasazení úložiště.

Upravit obsah

Po úspěšném vytvoření připojení k úložišti správy zdrojového kódu se váš obsah nasadí do služby Sentinel. Doporučujeme upravovat obsah uložený v připojeném úložišti jenom v úložišti, nikoli v Microsoft Sentinelu. Pokud například chcete provádět změny analytických pravidel, udělejte to přímo na GitHubu nebo Azure DevOps.

Pokud místo toho upravíte obsah v Microsoft Sentinelu, nezapomeňte ho exportovat do úložiště správy zdrojového kódu, abyste zabránili přepsání změn při příštím nasazení obsahu úložiště do vašeho pracovního prostoru.

Odstranit obsah

Odstranění obsahu z úložiště ho neodstraní z pracovního prostoru Microsoft Sentinelu. Pokud chcete odebrat obsah nasazený prostřednictvím úložišť, odstraňte ho z úložiště i z Microsoft Sentinelu. Můžete například nastavit filtr pro obsah na základě názvu zdroje, který usnadňuje identifikaci obsahu z úložišť.

Snímek obrazovky s analytickými pravidly filtrovanými podle názvu zdroje úložišť

Odebrání připojení k úložišti

Tento postup popisuje, jak odebrat připojení k úložišti správy zdrojového kódu z Microsoft Sentinelu.

Odebrání připojení:

  1. V Microsoft Sentinelu v části Správa obsahu vyberte Úložiště.
  2. V mřížce vyberte připojení, které chcete odebrat, a pak vyberte Odstranit.
  3. Vyberte Ano pro potvrzení odstranění.

Po odebrání připojení zůstane obsah, který byl dříve nasazen prostřednictvím připojení, ve vašem pracovním prostoru Microsoft Sentinelu. Obsah přidaný do úložiště po odebrání připojení se nenasadí.

Pokud při odstranění připojení narazíte na problémy nebo chybovou zprávu, doporučujeme zkontrolovat správu zdrojového kódu. Ověřte, že se odstranil pracovní postup GitHubu nebo kanál Azure DevOps přidružený k připojení.

Odebrání aplikace Microsoft Sentinel z úložiště GitHub

Pokud máte v úmyslu odstranit aplikaci Microsoft Sentinel z úložiště GitHub, doporučujeme nejprve odebrat všechna přidružená připojení ze stránky Úložiště Microsoft Sentinel.

Každá instalace aplikace Microsoft Sentinel má jedinečné ID, které se používá při přidávání i odebírání připojení. Pokud ID chybí nebo změníte, odeberte připojení ze stránky úložiště Microsoft Sentinel a ručně odeberte pracovní postup z úložiště GitHub, abyste zabránili budoucím nasazením obsahu.

Další kroky

Vlastní obsah v Microsoft Sentinelu používejte stejným způsobem, jako byste používali předem zadaný obsah.

Další informace naleznete v tématu: