Deponuzdan özel içerik dağıtma (Genel önizleme)
Özel içerik oluştururken kendi Microsoft Sentinel çalışma alanlarınızdan veya bir dış kaynak denetimi deposundan yönetebilirsiniz. Bu makalede, Microsoft Sentinel ile GitHub veya Azure DevOps depoları arasında bağlantıların nasıl oluşturulacağı ve yönetileceği açıklanır. İçeriğinizi bir dış depoda yönetmek, Bu içerikte Microsoft Sentinel dışında güncelleştirmeler yapmanıza ve çalışma alanlarınıza otomatik olarak dağıtılmasını sağlar. Daha fazla bilgi için bkz . Özel içeriği depo bağlantıları ile güncelleştirme.
Önemli
- Microsoft Sentinel Depoları özelliği şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
- Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önkoşullar ve kapsam
Microsoft Sentinel şu anda GitHub ve Azure DevOps depolarına yönelik bağlantıları desteklemektedir. Microsoft Sentinel çalışma alanınızı kaynak denetimi deponuza bağlamadan önce aşağıdakilere sahip olduğunuzdan emin olun:
- Bağlantıyı oluşturmak için Microsoft Sentinel çalışma alanınızı veya Kullanıcı Erişimi Yöneticisi ve Sentinel Katkıda Bulunanı rollerinin birleşimini içeren kaynak grubunda Sahip rolü
- GitHub deponuza ortak çalışan erişimi veya Azure DevOps deponuza Proje Yöneticisi erişimi
- GitHub için etkinleştirilen eylemler ve Azure DevOps için etkinleştirilen İşlem Hatları
- Azure DevOps uygulama bağlantı ilkeleri için etkinleştirilen OAuth aracılığıyla üçüncü taraf uygulama erişimi.
- Çalışma alanlarınıza dağıtmak istediğiniz özel içerik dosyalarının ilgili Azure Resource Manager (ARM) şablonlarında olduğundan emin olun.
Daha fazla bilgi için bkz . İçeriğinizi doğrulama.
Depo bağlama
Bu yordamda GitHub veya Azure DevOps deposunu Microsoft Sentinel çalışma alanınıza nasıl bağlayacağınız açıklanır.
Her bağlantı analiz kuralları, otomasyon kuralları, avlanma sorguları, ayrıştırıcılar, playbook'lar ve çalışma kitapları dahil olmak üzere birden çok özel içerik türünü destekleyebilir. Daha fazla bilgi için bkz . Microsoft Sentinel içeriği ve çözümleri hakkında.
Tek bir Microsoft Sentinel çalışma alanında aynı depo ve dalı kullanarak yinelenen bağlantılar oluşturamazsınız.
Bağlantınızı oluşturun:
Bağlantınız için kullanmak istediğiniz kimlik bilgileriyle kaynak denetim uygulamanızda oturum açtığınızdan emin olun. Şu anda farklı kimlik bilgileri kullanarak oturum açtıysanız, önce oturumu kapatın.
Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında Depolar'ı seçin.
Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>Depoları'nı seçin.Yeni ekle'yi seçin ve yeni dağıtım bağlantısı oluştur sayfasında bağlantınız için anlamlı bir ad ve açıklama girin.
Kaynak Denetimi açılan listesinden bağlanmak istediğiniz depo türünü seçin ve ardından Yetki ver'i seçin.
Bağlantı türünüz bağlı olarak aşağıdaki sekmelerden birini seçin:
İstendiğinde GitHub kimlik bilgilerinizi girin.
İlk kez bağlantı eklediğinizde, Microsoft Sentinel bağlantısını yetkilendirmeniz istenir. Aynı tarayıcıda GitHub hesabınızda zaten oturum açtıysanız GitHub kimlik bilgileriniz otomatik olarak doldurulur.
Depo alanı artık Yeni dağıtım bağlantısı oluştur sayfasında gösterilir ve burada bağlanmak için mevcut bir depoyu seçebilirsiniz. Listeden deponuzu seçin ve ardından Depo ekle'yi seçin.
Belirli bir depoya ilk kez bağlandığınızda, deponuza Azure-Sentinel uygulamasını yüklemenizi isteyen yeni bir tarayıcı penceresi veya sekmesi görürsünüz. Birden çok deponuz varsa, Azure-Sentinel uygulamasını yüklemek istediğiniz depoları seçin ve yükleyin.
Uygulama yüklemeye devam etmek için GitHub'a yönlendirilirsiniz.
Azure-Sentinel uygulaması deponuza yüklendikten sonra, Yeni dağıtım bağlantısı oluştur sayfasındaki Dal açılan listesi dallarınızla doldurulur. Microsoft Sentinel çalışma alanınıza bağlanmak istediğiniz dalı seçin.
İçerik Türleri açılan listesinden dağıttığınız içerik türünü seçin.
Hem ayrıştırıcılar hem de tehdit avcılığı sorguları, Microsoft Sentinel'e içerik dağıtmak için Kayıtlı Aramalar API'sini kullanır. Bu içerik türlerinden birini seçerseniz ve dalınızda diğer türde içerik varsa, her iki içerik türü de dağıtılır.
Diğer tüm içerik türleri için, Yeni dağıtım bağlantısı oluştur bölmesinde bir içerik türü seçildiğinde yalnızca bu içerik Microsoft Sentinel'e dağıtılır. Diğer türlerin içeriği dağıtılmaz.
Bağlantınızı oluşturmak için Oluştur'u seçin. Örneğin:
Bağlantıyı oluşturduktan sonra deponuzda yeni bir iş akışı veya işlem hattı oluşturulur. Deponuzda depolanan içerik Microsoft Sentinel çalışma alanınıza dağıtılır.
Dağıtım süresi, dağıttığınız içerik hacmine bağlı olarak değişebilir.
Dağıtım durumunu görüntüleme
GitHub'da: Deponun Eylemler sekmesinde, ayrıntılı dağıtım günlüklerine ve belirli hata iletilerine erişmek için iş akışı .yaml dosyasını seçin.
Azure DevOps'ta: Deponun İşlem Hatları sekmesinden dağıtım durumunu görüntüleyin.
Dağıtım tamamlandıktan sonra:
Deponuzda depolanan içerik, Microsoft Sentinel çalışma alanınızda, ilgili Microsoft Sentinel sayfasında görüntülenir.
Depolar sayfasındaki bağlantı ayrıntıları, bağlantının dağıtım günlüklerinin bağlantısı ve son dağıtımın durumu ve saati ile güncelleştirilir. Örneğin:
Varsayılan iş akışı yalnızca depoya yapılan işlemeleri temel alarak son dağıtımdan bu yana değiştirilen içeriği dağıtır. Ancak akıllı dağıtımları kapatmak veya başka özelleştirmeler yapmak isteyebilirsiniz. Örneğin, farklı dağıtım tetikleyicileri yapılandırabilir veya içeriği özel olarak belirli bir kök klasörden dağıtabilirsiniz. Daha fazla bilgi edinmek için bkz . Depo dağıtımlarını özelleştirme.
İçeriği düzenle
Kaynak denetim deponuza başarıyla bağlantı oluşturduğunuzda, içeriğiniz Sentinel'e dağıtılır. Bağlı bir depoda depolanan içeriği Microsoft Sentinel'de değil yalnızca depoda düzenlemenizi öneririz. Örneğin, analiz kurallarınızda değişiklik yapmak için bunu doğrudan GitHub'da veya Azure DevOps'ta yapın.
Bunun yerine Microsoft Sentinel'de içeriği düzenlerseniz, depo içeriğinin çalışma alanınıza bir sonraki dağıtılışında değişikliklerinizin üzerine yazılmasını önlemek için içeriği kaynak denetim deponuza aktardığınızdan emin olun.
İçeriği sil
Deponuzdan içerik silindiğinde microsoft Sentinel çalışma alanınızdan silinmez. Depolar aracılığıyla dağıtılan içeriği kaldırmak istiyorsanız, hem deponuzdan hem de Microsoft Sentinel'den silin. Örneğin, depolardaki içeriği tanımlamayı kolaylaştırmak için kaynak ada göre içerik için bir filtre ayarlayın.
Depo bağlantısını kaldırma
Bu yordam, Microsoft Sentinel'den bir kaynak denetimi deposuna bağlantının nasıl kaldırılacağını açıklar.
Bağlantınızı kaldırmak için:
- Microsoft Sentinel'de İçerik yönetimi'nin altında Depolar'ı seçin.
- Kılavuzda, kaldırmak istediğiniz bağlantıyı seçin ve ardından Sil'i seçin.
- Silmeyi onaylamak için Evet'i seçin.
Bağlantınızı kaldırdıktan sonra, bağlantı aracılığıyla daha önce dağıtılan içerik Microsoft Sentinel çalışma alanınızda kalır. Bağlantı kaldırıldıktan sonra depoya eklenen içerik dağıtılmaz.
Bağlantınızı sildiğinizde sorunlarla veya hata iletisiyle karşılaşırsanız, kaynak denetiminizi denetlemenizi öneririz. Bağlantıyla ilişkili GitHub iş akışının veya Azure DevOps işlem hattının silindiğini onaylayın.
Microsoft Sentinel uygulamasını GitHub deponuzdan kaldırma
Microsoft Sentinel uygulamasını bir GitHub deposundan silmek istiyorsanız, önce Microsoft Sentinel Depoları sayfasından tüm ilişkili bağlantıları kaldırmanızı öneririz.
Her Microsoft Sentinel Uygulaması yüklemesi, bağlantıyı hem eklerken hem de kaldırırken kullanılan benzersiz bir kimliğe sahiptir. Kimlik eksikse veya değiştirildiyse, microsoft Sentinel Depoları sayfasından bağlantıyı kaldırın ve gelecekteki içerik dağıtımlarını önlemek için iş akışını GitHub deponuzdan el ile kaldırın.
Sonraki adımlar
Microsoft Sentinel'deki özel içeriğinizi, kullanıma açık içerikle aynı şekilde kullanın.
Daha fazla bilgi için bkz.