デプロイにリポジトリを使用する

3 分

カスタムコンテンツを作成したら、独自の Microsoft Sentinel ワークスペース、または GitHub や Azure DevOps のリポジトリを含む外部ソース管理リポジトリにそれを格納して管理できます。外部リポジトリでコンテンツを管理することで、Microsoft Sentinel の外部でコンテンツを更新し、ワークスペースに自動的にデプロイさせることができます。

前提条件とスコープ

Microsoft Sentinel ワークスペースを外部ソース管理リポジトリに接続する前に、次があることを確認してください。

関連する Azure Resource Manager (ARM) テンプレートで、ワークスペースにデプロイするカスタムコンテンツファイルを含む GitHub または Azure DevOps リポジトリへのアクセス。

Microsoft Sentinel では、現在、GitHub および Azure DevOps のリポジトリとの接続のみがサポートされています。
Microsoft Sentinel ワークスペースを含むリソースグループの所有者ロール。 Microsoft Sentinel とソース管理リポジトリ間の接続を作成するために、このロールが必要です。お使いの環境で所有者ロールを使用できない場合は、代わりにユーザーアクセス管理者と Sentinel 共同作成者のロールを組み合わせて接続を作成できます。

最大接続数とデプロイ数

現在、Microsoft Sentinel ワークスペースは 5 つの接続に制限されています。

各 Azure リソースグループは、そのデプロイ履歴で 800 デプロイに制限されます。リソースグループに大量の ARM テンプレートのデプロイがある場合、デプロイクォータ超過エラーが表示されることがあります。

コンテンツの検証

リポジトリ接続経由で、Microsoft Sentinel にコンテンツをデプロイすると、データが正しい ARM テンプレート形式であることが検証される以外に、そのコンテンツは検証されません。

通常の検証プロセスを使用して、コンテンツテンプレートを検証することが推奨されます。 Microsoft Sentinel GitHub 検証プロセスとツールを使用して、独自の検証プロセスを設定できます。

リポジトリの接続

この手順では、GitHub または Azure DevOps リポジトリを Microsoft Sentinel ワークスペースに接続する方法について説明します。Microsoft Sentinel ではなく、そこでカスタムコンテンツを保存して管理できます。

各接続では、分析ルール、自動化ルール、ハンティングクエリ、パーサー、プレイブック、ブックなど、多くの種類のカスタムコンテンツをサポートできます。詳細については、「Microsoft Sentinel のコンテンツとソリューションについて」を参照してください。

接続を作成するには:

接続に使用する資格情報で、ソース管理アプリにサインインしていることを確認します。現在、別の資格情報を使用してサインインしている場合は、まずサインアウトします。
Microsoft Sentinel で、左側の [コンテンツ管理] の下の [リポジトリ] を選択します。
[新規追加] を選択し、 [新しい接続の作成] ページで、接続のわかりやすい名前と説明を入力します。
[ソース管理] ドロップダウンから、接続先のリポジトリの種類を選択し、 [承認] を選択します。
接続の種類に応じて、次のいずれかのタブを選択します。

GitHub

入力を求められたら、GitHub 資格情報を入力します。

接続を初めて追加すると、新しいブラウザーウィンドウまたはタブが表示され、Microsoft Sentinel への接続を認可するように求められます。同じブラウザーで GitHub アカウントに既にログインしている場合は、GitHub 資格情報が自動的に設定されます。
[リポジトリ] 領域が [新しい接続の作成] ページに表示され、そこで接続先の既存のリポジトリを選択できます。一覧からリポジトリを選択し、 [リポジトリの追加] を選択します。

特定のリポジトリに初めて接続すると、新しいブラウザーウィンドウまたはタブが表示され、リポジトリに Azure-Sentinel アプリをインストールするように求められます。複数のリポジトリがある場合は、Azure-Sentinel アプリをインストールするリポジトリを選択してインストールします。

GitHub に移動し、アプリのインストールを続行します。
Azure-Sentinel アプリがリポジトリにインストールされると、 [新しい接続の作成] ページの [ブランチ] ドロップダウンにブランチが設定されます。 Microsoft Sentinel ワークスペースに接続するブランチを選択します。
[コンテンツの種類] ドロップダウンから、デプロイするコンテンツの種類を選択します。
- パーサーとハンティングクエリの両方で Saved Searches API を使用してコンテンツを Microsoft Sentinel にデプロイします。これらのコンテンツの種類のいずれかを選択し、ブランチに他の種類のコンテンツも含まれる場合は、両方のコンテンツの種類がデプロイされます。
- 他のすべてのコンテンツタイプについては、 [新しい接続の作成] ウィンドウでコンテンツタイプを選択すると、そのコンテンツだけが Microsoft Sentinel にデプロイされます。他の種類のコンテンツはデプロイされません。
[作成] を選択して接続を作成します。

接続が作成されると、リポジトリに新しいワークフローまたはパイプラインが生成され、リポジトリに格納されているコンテンツが Microsoft Sentinel ワークスペースにデプロイされます。

デプロイの時間は、デプロイするコンテンツの量によって異なる場合があります。

Azure DevOps

現在の Azure 資格情報を使用して、Azure DevOps に自動的に承認されます。有効な接続を確保するには、Microsoft Sentinel から接続しているのと同じ Azure DevOps 組織が承認されていることを確認するか、InPrivate ブラウザーウィンドウを使用して接続を作成します。
Microsoft Sentinel で、表示されるドロップダウンリストから、 [組織] 、 [プロジェクト] 、 [リポジトリ] 、 [ブランチ] 、 [コンテンツタイプ] を選択します。
- パーサーとハンティングクエリの両方で Saved Searches API を使用してコンテンツを Microsoft Sentinel にデプロイします。これらのコンテンツの種類のいずれかを選択し、ブランチに他の種類のコンテンツも含まれる場合は、両方のコンテンツの種類がデプロイされます。
- 他のすべてのコンテンツタイプについては、 [新しい接続の作成] ウィンドウでコンテンツタイプを選択すると、そのコンテンツだけが Microsoft Sentinel にデプロイされます。他の種類のコンテンツはデプロイされません。
[作成] を選択して接続を作成します。次に例を示します。