Distribuire contenuti personalizzati dal repository (anteprima pubblica)

Quando si crea contenuto personalizzato, è possibile gestirlo dalle proprie aree di lavoro di Microsoft Sentinel o da un repository di controllo del codice sorgente esterno. Questo articolo descrive come creare e gestire connessioni tra Microsoft Sentinel e repository GitHub o Azure DevOps. La gestione del contenuto in un repository esterno consente di apportare aggiornamenti a tale contenuto all'esterno di Microsoft Sentinel e di distribuirlo automaticamente nelle aree di lavoro. Per altre informazioni, vedere Aggiornare il contenuto personalizzato con le connessioni al repository.

Importante

Prerequisiti e ambito

Microsoft Sentinel supporta attualmente le connessioni ai repository GitHub e Azure DevOps. Prima di connettere l'area di lavoro di Microsoft Sentinel al repository del controllo del codice sorgente, assicurarsi di disporre di:

  • Un ruolo di Proprietario nel gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel o una combinazione dei ruoli di Amministratore accesso utenti e Collaboratore Sentinel per creare la connessione
  • Accesso come collaboratore al repository GitHub o accesso come amministratore del progetto all'accesso al repository Azure DevOps
  • Azioni abilitate per GitHub e pipeline abilitate per Azure DevOps
  • Accesso alle applicazioni di terze parti tramite OAuth abilitato per i criteri di connessione delle applicazioni Azure DevOps.
  • Assicurarsi che i file di contenuto personalizzati da distribuire nelle aree di lavoro si trovino nei modelli di Azure Resource Manager (ARM) pertinenti.

Per altre informazioni, vedere Convalidare il contenuto.

Connettere un repository

Questa procedura descrive come connettere un repository GitHub o Azure DevOps all'area di lavoro di Microsoft Sentinel.

Ogni connessione può supportare più tipi di contenuto personalizzato, tra cui regole di analisi, regole di automazione, query di ricerca, parser, playbook e cartelle di lavoro. Per altre informazioni, vedere Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.

Non è possibile creare connessioni duplicate, con lo stesso repository e ramo, in una singola area di lavoro di Microsoft Sentinel.

Creare la connessione:

  1. Assicurarsi di aver eseguito l'accesso all'app di controllo del codice sorgente con le credenziali da usare per la connessione. Se è stato eseguito l'accesso con credenziali diverse, disconnettersi.

  2. Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti selezionare Repository.
    Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Repository.

  3. Selezionare Aggiungi nuovo, quindi nella pagina Crea nuova connessione di distribuzione immettere un nome e una descrizione adatti per la connessione.

  4. Nell'elenco a discesa Controllo del codice sorgente, selezionare il tipo di repository a cui connettersi, quindi selezionare Autorizza.

  5. Selezionare una delle schede seguenti, a seconda del tipo di connessione:

    1. Immettere le credenziali di GitHub quando richiesto.

      La prima volta che si aggiunge una connessione, viene richiesto di autorizzare la connessione a Microsoft Sentinel. Se si è già connessi all'account GitHub nello stesso browser, le credenziali di GitHub vengono popolate automaticamente.

    2. Un'area Repository a questo punto viene visualizzata nella pagina Crea nuova connessione di distribuzione, in cui è possibile selezionare un repository esistente a cui connettersi. Selezionare il repository dall'elenco, quindi selezionare Aggiungi repository.

      La prima volta che ci si connette a un repository specifico, verrà visualizzata una nuova finestra o una nuova scheda del browser che richiede di installare l'app Azure-Sentinel nel repository. Se sono presenti più repository, selezionare quelli in cui si vuole installare l'app Azure-Sentinel e installarla.

      Si viene indirizzati a GitHub per continuare l'installazione dell'app.

    3. Dopo aver installato l'app Azure-Sentinel nel repository, l'elenco a discesa Ramo nella pagina Crea nuova connessione di distribuzione viene popolato con i rami. Selezionare il ramo che si vuole connettere all'area di lavoro di Microsoft Sentinel.

    4. Nell'elenco a discesa Tipi di contenuto, selezionare il tipo di contenuto che si sta distribuendo.

      • Sia i parser che le query di ricerca usano l'API Ricerche salvate per distribuire il contenuto in Microsoft Sentinel. Se si seleziona uno di questi tipi di contenuto e nel ramo è presente anche contenuto di altro tipo, vengono distribuiti entrambi i tipi di contenuto.

      • Per tutti gli altri tipi di contenuto, la selezione di un tipo di contenuto nel riquadro Crea nuova connessione di distribuzione distribuisce solo il contenuto in Microsoft Sentinel. Altri tipi di contenuto non vengono distribuiti.

    5. Fare clic su Crea per creare la connessione. Ad esempio:

      Screenshot di una nuova connessione al repository GitHub.

Dopo aver creato la connessione, viene generato un nuovo flusso di lavoro o una nuova pipeline nel repository. Il contenuto archiviato nel repository viene distribuito nell'area di lavoro di Microsoft Sentinel.

Il tempo di distribuzione può variare a seconda del volume del contenuto che si sta distribuendo.

Visualizzare lo stato della distribuzione

In GitHub: nella scheda Azioni del repository, selezionare il file .yamldel flusso di lavoro per accedere ai log di distribuzione dettagliati ed eventuali messaggi di errore specifici.

In Azure DevOps: visualizzare lo stato della distribuzione dalla scheda Pipeline del repository.

Al termine della distribuzione:

  • Il contenuto archiviato nel repository viene visualizzato nell'area di lavoro di Microsoft Sentinel nella pagina pertinente di Microsoft Sentinel.

  • I dettagli di connessione nella pagina Repository vengono aggiornati con il collegamento ai log di distribuzione della connessione e allo stato e all'ora dell'ultima distribuzione. Ad esempio:

    Screenshot dei log di distribuzione di una connessione al repository GitHub.

Il flusso di lavoro predefinito distribuisce solo il contenuto modificato dopo l'ultima distribuzione in base ai commit nel repository. È tuttavia possibile disattivare le distribuzioni intelligenti o eseguire altre personalizzazioni. Ad esempio, è possibile configurare trigger di distribuzione diversi o distribuire il contenuto esclusivamente da una cartella radice specifica. Per altre informazioni, vedere Personalizzare le distribuzioni del repository.

Modifica il contenuto

Quando si crea correttamente una connessione al repository di controllo del codice sorgente, il contenuto viene distribuito in Sentinel. È consigliabile modificare il contenuto archiviato in un repository connesso solo nel repository e non in Microsoft Sentinel. Ad esempio, per apportare modifiche alle regole di analisi, eseguire questa operazione direttamente in GitHub o Azure DevOps.

Se invece si modifica il contenuto in Microsoft Sentinel, assicurarsi di esportarlo nel repository di controllo del codice sorgente per evitare che le modifiche vengano sovrascritte alla successiva distribuzione del contenuto del repository nell'area di lavoro.

Eliminare contenuto

L'eliminazione di contenuto dal repository non elimina il contenuto dall'area di lavoro di Microsoft Sentinel. Se si vuole rimuovere il contenuto distribuito tramite repository, eliminarlo sia dal repository che da Microsoft Sentinel. Ad esempio, impostare un filtro per il contenuto in base al nome di origine per semplificare l'identificazione del contenuto dai repository.

Screenshot delle regole di analisi filtrate in base al nome di origine dei repository.

Rimuovere una connessione al repository

Questa procedura descrive come rimuovere la connessione a un repository di controllo del codice sorgente da Microsoft Sentinel.

Per rimuovere la connessione:

  1. In Microsoft Sentinel, in Gestione dei contenuti selezionare Repository.
  2. Nella griglia, selezionare la connessione da rimuovere e quindi selezionare Elimina.
  3. Selezionare per confermare l'eliminazione.

Dopo aver rimosso la connessione, il contenuto distribuito in precedenza tramite la connessione rimane nell'area di lavoro di Microsoft Sentinel. Il contenuto aggiunto al repository dopo la rimozione della connessione non viene distribuito.

Se si verificano problemi o un messaggio di errore quando si elimina la connessione, è consigliabile verificare il controllo del codice sorgente. Verificare che il flusso di lavoro GitHub o la pipeline di Azure DevOps associata alla connessione vengano eliminati.

Rimuovere l'app Microsoft Sentinel dal repository GitHub

Se si intende eliminare l'app Microsoft Sentinel da un repository GitHub, è consigliabile rimuovere prima tutte le connessioni associate dalla pagina Repositorydi Microsoft Sentinel.

Ogni installazione dell'app di Microsoft Sentinel ha un ID univoco usato per l'aggiunta e la rimozione della connessione. Se l'ID è mancante o modificato, rimuovere la connessione dalla pagina Repository di Microsoft Sentinel e rimuovere manualmente il flusso di lavoro dal repository GitHub per impedire distribuzioni di contenuto future.

Passaggi successivi

Usare il contenuto personalizzato in Microsoft Sentinel nello stesso modo in cui si userà contenuto predefinito.

Per altre informazioni, vedi: