Implantar conteúdo personalizado de seu repositório (Versão prévia pública)

Ao criar conteúdos personalizados, é possível gerenciá-los em seus próprios workspaces do Microsoft Sentinel ou em um repositório de controle de código-fonte externo. Este artigo descreve como criar e gerenciar conexões entre o Microsoft Sentinel e repositórios do GitHub ou do Azure DevOps. Gerenciar seu conteúdo em um repositório externo permite que você faça atualizações nesse conteúdo fora do Microsoft Azure Sentinel e faça com que ele seja implantado automaticamente em seus workspaces. Para saber mais, confira Atualizar conteúdos personalizados com conexões de repositório.

Importante

  • O recurso de Repositórios do Microsoft Sentinel está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
  • O Microsoft Sentinel agora está em disponibilidade geral dentro da plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos e escopo

No momento, o Microsoft Sentinel dá suporte a conexões com repositórios do GitHub e do Azure DevOps. Antes de conectar o workspace do Microsoft Sentinel ao repositório de controle de código-fonte, certifique-se de ter o seguinte:

  • Uma função de Proprietário no grupo de recursos que contém o workspace do Microsoft Sentinel ou uma combinação das funções de Administrador de acesso do usuário e Colaborador do Sentinel para criar a conexão
  • Acesso de colaborador ao seu repositório do GitHub ou acesso de Administrador do Projeto ao seu repositório do Azure DevOps
  • Ações habilitadas para GitHub e pipelines habilitados para Azure DevOps
  • Acesso a aplicativos de terceiros por meio do OAuth habilitado para políticas de conexão de aplicativo do Azure DevOps.
  • Verifique se os arquivos de conteúdo personalizados que você deseja implantar em seus workspaces estão em Modelos relevantes do ARM (Azure Resource Manager).

Para obter mais informações, confira Validar seu conteúdo.

Conectar um repositório

Este procedimento descreve como conectar um repositório GitHub ou Azure DevOps ao seu espaço de trabalho do Microsoft Sentinel.

Cada conexão pode dar suporte a vários tipos de conteúdo personalizado, incluindo regras de análise, regras de automação, consultas de busca, analisadores, guias estratégicos e pastas de trabalho. Para saber mais, confira Sobre o conteúdo e soluções do Microsoft Azure Sentinel.

Não é possível criar conexões duplicadas, com o mesmo repositório e ramificação, em um único workspace do Microsoft Azure Sentinel.

Criar sua conexão:

  1. Verifique se você está conectado ao seu aplicativo de controle do código-fonte com as credenciais que deseja usar para a conexão. Se você estiver conectado no momento usando credenciais diferentes, saia primeiro.

  2. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Repositórios.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Repositórios.

  3. Selecione Adicionar novo e, em seguida, na página Criar nova conexão de implantação insira um nome e uma descrição significativos para sua conexão.

  4. Na lista suspensa Controle do código-fonte, selecione o tipo de repositório ao qual você deseja se conectar e, em seguida, selecione Autorizar.

  5. Selecione uma das seguintes guias, dependendo do tipo de conexão:

    1. Inserir as credenciais do GitHub quando solicitado.

      Na primeira vez que você adicionar uma conexão, você será solicitado a autorizar a conexão com o Microsoft Sentinel. Se você já estiver conectado à sua conta do GitHub no mesmo navegador, suas credenciais do GitHub serão preenchidas automaticamente.

    2. Uma área Repositório agora é exibida na página Criar nova conexão de implementação onde você pode selecionar um repositório existente ao qual se conectar. Selecione o repositório na lista e, em seguida, selecione Adicionar repositório.

      Na primeira vez que você se conectar a um repositório específico, você verá uma nova janela ou guia do navegador, solicitando que você instale o aplicativo Azure-Sentinel em seu repositório. Se você tiver vários repositórios, selecione aqueles em que deseja instalar o aplicativo Azure-Sentinel e instale-o.

      Você será direcionado ao GitHub para continuar a instalação do aplicativo.

    3. Depois que o aplicativo Azure-Sentinel é instalado em seu repositório, a lista suspensa Branch na página Criar nova conexão de implantação é preenchida com suas ramificações. Selecione a ramificação que você deseja conectar ao seu workspace do Microsoft Azure Sentinel.

    4. Na lista suspensa Tipos de conteúdo selecione o tipo de conteúdo que você está implantando.

      • Os analisadores e as consultas de busca usam a API Pesquisas salvas para implantar o conteúdo no Microsoft Azure Sentinel. Se você selecionar um desses tipos de conteúdo e também tiver conteúdo do outro tipo em sua ramificação, ambos os tipos de conteúdo serão implantados.

      • Para todos os outros tipos de conteúdo, a seleção de um tipo de conteúdo no painel Criar nova conexão de implantação implanta somente esse conteúdo no Microsoft Sentinel. O conteúdo de outros tipos não é implantado.

    5. Selecione Criar para criar a conexão. Por exemplo:

      Captura de tela de uma nova conexão do repositório do GitHub.

Depois de criar a conexão, um novo fluxo de trabalho ou pipeline é gerado no repositório. O conteúdo armazenado em seu repositório é implantado em seu espaço de trabalho do Microsoft Sentinel.

O tempo de implantação pode variar dependendo do volume de conteúdo que você está implantando.

Exibir o status da implantação

No GitHub: na guia Ações do repositório, selecione o arquivo de fluxo de trabalho .yaml para acessar logs de implementação detalhados e quaisquer mensagens de erro específicas.

No Azure DevOps: exiba o status da implantação na guia Pipelines do repositório.

Após a conclusão da implantação:

  • O conteúdo armazenado no repositório é exibido no seu workspace do Microsoft Azure Sentinel, na página relevante do Microsoft Azure Sentinel.

  • Os detalhes da conexão na página Repositórios são atualizados com o link para os logs de implantação da conexão e o status e a hora da última implantação. Por exemplo:

    Captura de tela de um log de implantação de uma conexão do repositório do GitHub.

O fluxo de trabalho padrão implanta apenas o conteúdo modificado desde a última implantação com base em confirmações no repositório. Mas talvez você queira desativar implantações inteligentes ou executar outras personalizações. Por exemplo, é possível configurar diferentes gatilhos de implantação ou implantar conteúdos exclusivamente de uma pasta raiz específica. Para saber mais, consulte personalizar implementações de repositório.

Editar conteúdo

Quando você cria com êxito uma conexão com seu repositório de controle do código-fonte, seu conteúdo é implantado no Sentinel. Recomendamos que você edite o conteúdo armazenado em um repositório conectado somente no repositório, e não no Microsoft Azure Sentinel. Por exemplo, para fazer alterações em suas regras de análise, faça isso diretamente no GitHub ou no Azure DevOps.

Se você editou o conteúdo no Microsoft Sentinel, exporte-o para o repositório de controle do código-fonte para impedir que as alterações sejam substituídas na próxima vez que o conteúdo do repositório for implantado no workspace.

Excluir conteúdo

A exclusão de conteúdos do repositório não os exclui do workspace do Microsoft Sentinel. Se você quiser remover o conteúdo que foi implantado por meio de repositórios, exclua-o do repositório e do Microsoft Sentinel. Por exemplo, defina um filtro para o conteúdo com base no nome da fonte para facilitar a identificação do conteúdo dos repositórios.

Captura de tela de regras de análise filtradas por nome de origem dos repositórios.

Remover uma conexão do repositório

Este procedimento descreve como remover a conexão a um repositório de controle do código-fonte do Microsoft Azure Sentinel.

Para remover sua conexão:

  1. No Microsoft Sentinel, em Gerenciamento de conteúdo, selecione Repositórios.
  2. Na grade, selecione a conexão que você deseja remover e, em seguida, selecione Excluir.
  3. Selecione Sim para confirmar a exclusão.

Depois de remover a conexão, o conteúdo que foi implantado anteriormente por meio da conexão permanece no espaço de trabalho do Microsoft Sentinel. O conteúdo adicionado ao repositório após a remoção da conexão não é implantado.

Se você encontrar problemas ou uma mensagem de erro ao excluir sua conexão, recomendamos que você verifique o controle do código-fonte. Confirme se o fluxo de trabalho do GitHub ou o pipeline do Azure DevOps associado à conexão foi excluído.

Remover o aplicativo Microsoft Sentinel do repositório do GitHub

Se você pretende excluir o aplicativo do Microsoft Azure Sentinel de um repositório do GitHub, recomendamos primeiro remover todas as conexões associadas da página Repositórios do Microsoft Azure Sentinel.

Cada instalação do aplicativo do Microsoft Azure Sentinel tem uma ID exclusiva que é usada ao adicionar e remover a conexão. Se a ID estiver ausente ou alterada, remova a conexão da página Microsoft Sentinel Repositórios e remova manualmente o fluxo de trabalho do repositório do GitHub para evitar implantações de conteúdo futuras.

Próximas etapas

Use seu conteúdo personalizado no Microsoft Azure Sentinel da mesma maneira que você usaria o conteúdo pronto para uso.

Para obter mais informações, consulte: