Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel lagre giver dig mulighed for at udrulle og administrere brugerdefineret Sentinel indhold fra et eksternt versionsstyringslager med henblik på løbende integration/kontinuerlig levering (CI/CD). Denne automatisering fjerner behovet for manuelle processer for at opdatere og installere dit brugerdefinerede indhold på tværs af arbejdsområder. Et undersæt af indhold som kode registreres som kode (DaC). Microsoft Sentinel Lagre implementerer også DaC.
Du kan finde flere oplysninger om Sentinel indhold under Om Microsoft Sentinel indhold og løsninger.
Sådan fungerer Microsoft Sentinel lagre
Du kan udrulle disse Microsoft Sentinel brugerdefinerede indholdstyper fra et eksternt versionsstyringslager, som du opretter forbindelse til Microsoft Sentinel:
- Analyseregler
- Automatiseringsregler
- Jagtforespørgsler
- Parsere
- Lærebøger
- Projektmapper
Opdateringer du foretager af indholdet i dine Microsoft Sentinel lagre, synkroniseres med dit Microsoft Sentinel arbejdsområde og overskriver de ændringer, du foretager af indholdet, via Microsoft Sentinel portalen. Dine Microsoft Sentinel lagre bliver din eneste kilde til sandhed for brugerdefineret indhold i de forbundne arbejdsområder.
Planlæg din lagerforbindelse
Microsoft Sentinel lagre kræver omhyggelig planlægning for at sikre, at du har de rette tilladelser fra dit arbejdsområde til det lager, du vil have oprettet forbindelse til.
- Det er kun forbindelser til GitHub og Azure DevOps-lagre, der understøttes.
- Der kræves samarbejdsbaseret adgang til dit GitHub-lager eller project-administratoradgang til dit Azure DevOps-lager.
- Det Microsoft Sentinel program skal have godkendelse til dit lager.
- Handlinger skal aktiveres for GitHub.
- Pipelines skal være aktiveret for Azure DevOps.
- En Azure DevOps-forbindelse skal være i samme lejer som dit Microsoft Sentinel arbejdsområde.
Oprettelse af en forbindelse til et lager kræver en ejerrolle i den ressourcegruppe, der indeholder dit Microsoft Sentinel arbejdsområde.
Hvis du finder indhold i et offentligt lager, hvor du ikke er bidragyder, skal du først importere, kopiere eller klone indholdet til et lager, hvor du er bidragyder. Opret derefter forbindelse mellem dit lager og dit Microsoft Sentinel arbejdsområde. Du kan få flere oplysninger under Udrul brugerdefineret indhold fra dit lager.
Maksimalt antal forbindelser og udrulninger
- Hvert Microsoft Sentinel arbejdsområde er i øjeblikket begrænset til fem lagerforbindelser.
- Hver Azure ressourcegruppe er begrænset til 800 udrulninger i sin installationshistorik. Hvis du har en stor mængde skabeloninstallationer i en eller flere af dine ressourcegrupper, får du muligvis vist fejlen
Deployment QuotaExceeded. Du kan få flere oplysninger under DeploymentQuotaExceeded i dokumentationen til Azure Resource Manager skabeloner.
Planlæg dit lagerindhold
Microsoft Sentinel lagre understøtter udrulning af indhold, du gemmer som Bicep-filer eller ARM-skabeloner (Azure Resource Manager). Vi anbefaler, at du bruger Bicep, som er mere intuitiv og gør det nemmere at beskrive Azure ressourcer og Microsoft Sentinel indhold.
Skabelonen for hver indholdstype har en bestemt struktur og et bestemt parameternavn, som det er dokumenteret i referencen til Sentinel ressourcers skabelon. Du kan se eksempler på hver indholdstype under RepositoriesSampleContent repository.
Vi har leveret et eksempellager med skabeloner til hver af de viste indholdstyper. Lageret viser også, hvordan du bruger avancerede funktioner i lagerforbindelser. Du kan få flere oplysninger under eksempel på Microsoft Sentinel CI/CD-lagre.
Selvom du kan oprette skabeloner fra bunden, er det ofte nemmere at starte fra enten Sentinel Offentlige GitHub-lager YAML-filer eller fra det køreklare Microsoft Sentinel indhold. I denne tabel beskrives det, hvordan du konverterer en ARM-skabelon til brug sammen med Microsoft Sentinel lagre.
| Indholdstype | Konvertér fra Sentinel offentlige YAML | Eksportér fra Sentinel | Skabelonreference | Eksempelskabeloner |
|---|---|---|---|---|
| Analyseregler | PowerShell-script | Eksportér funktion eller PowerShell-script | Reference | ARM-skabeloner |
| Automatiseringsregler | NIELSEN | Eksportér funktion eller PowerShell-scripts | Reference | NIELSEN |
| Jagtforespørgsler | PowerShell-script | Azure kommandolinjegrænsefladekommandoer | Reference | Eksempelindhold |
| Parsere | ASIM PowerShell-script | Azure kommandolinjegrænsefladekommandoer | Reference | Skabeloner |
| Lærebøger | NIELSEN | PowerShell-værktøj | Reference | NIELSEN |
| Projektmapper | NIELSEN | Eksport af projektmapper som ARM-skabeloner | Reference | NIELSEN |
Vigtigt!
Bicep-overvejelser:
- Hvis du vil bruge Bicep-filer, skal din lagerforbindelse opdateres, hvis forbindelsen blev oprettet før den 1. november 2024. Lagerforbindelser skal fjernes og genoprettes, før de kan opdateres.
- Bicep-filer understøtter ikke egenskaben
id. Når ARM JSON dekompilerer til Bicep, skal du sørge for, at du ikke har denne egenskab. Skabeloner til analyseregel, der eksporteres fra Microsoft Sentinel har f.eks. denidegenskab, der skal fjernes. - Skift ARM JSON-skemaet til versionen
2019-04-01for at opnå de bedste resultater ved dekompilering.
Vigtigt!
De analyseregler, der udrulles ved hjælp af funktionen Microsoft Sentinel lagre, kan kun bruge forespørgsler på tværs af arbejdsområder, hvis destinationsarbejdsområdet er i samme ressourcegruppe som det arbejdsområde, der er forbundet til lageret.
Du kan få oplysninger om, hvordan du opretter brugerdefineret indhold fra bunden, i de relevante Microsoft Sentinel GitHub-wiki for hver indholdstype.
Gør ydeevnen bedre med intelligente udrulninger
Tip
Arbejdsprocesser skal have læse- og skriverettigheder til dit lager for at sikre, at intelligente udrulninger fungerer i GitHub. Du kan få flere oplysninger under Administration af indstillinger for GitHub-handlinger for et lager.
Funktionen til intelligente udrulninger er en back end-funktion, der forbedrer ydeevnen ved aktivt at spore ændringer af indholdsfilerne i et forbundet lager. Den bruger en CSV-fil i mappen .sentinel i dit lager til at overvåge hver bekræftelse. Arbejdsprocessen undgår geninstallation af indhold, der ikke er ændret siden sidste udrulning. Denne proces forbedrer din udrulningsydeevne og forhindrer manipulation med uændret indhold i dit arbejdsområde, f.eks. nulstilling af dynamiske tidsplaner for dine analyseregler.
Intelligente installationer er som standard aktiveret på nyligt oprettede forbindelser. Hvis du foretrækker, at alt indhold fra versionsstyring installeres, hver gang en installation udløses, uanset om indholdet er ændret eller ej, skal du ændre arbejdsprocessen for at deaktivere intelligente udrulninger. Du kan få flere oplysninger under Tilpas arbejdsprocessen eller pipelinen.
Overvej indstillinger for tilpasning af installation
Overvej følgende tilpasningsindstillinger, når du installerer indhold med Microsoft Sentinel lagre.
Tilpas arbejdsprocessen eller pipelinen
Tilpas arbejdsprocessen eller pipelinen på en af følgende måder:
- konfigurer forskellige installationsudløsere
- udrul kun indhold fra en bestemt rodmappe for et bestemt arbejdsområde
- planlæg, at arbejdsprocessen skal køre med jævne mellemrum
- kombiner forskellige arbejdsproceshændelser sammen
- slå intelligente installationer fra
Disse tilpasninger er defineret i en .yml fil, der er specifik for din arbejdsproces eller pipeline. Du kan få mere at vide om, hvordan du implementerer, under Tilpas lagerinstallationer
Tilpas installationen
Når arbejdsprocessen eller pipelinen udløses, understøtter udrulningen følgende scenarier:
- prioriter det indhold, der skal installeres før resten af lagerets indhold
- udelad indhold fra installation
- angiv filer med ARM-skabelonparametre
Disse indstillinger er tilgængelige via en funktion i PowerShell-installationsscriptet, der kaldes fra arbejdsprocessen eller pipelinen. Du kan få flere oplysninger om, hvordan du implementerer disse tilpasninger, under Tilpas lagerinstallationer.
Administrer Microsoft Sentinel lagre ved hjælp af API'en
Du kan få oplysninger om administration af Microsoft Sentinel lagre ved hjælp af API'en i handlingerne Versionsstyring og Kildekontrol i Microsoft Sentinel REST API.
Vigtigt!
Fra og med juni 2026 understøttes ældre API-versioner, der bruges af Microsoft Sentinel lagre, ikke længere. Hvis du bruger API'er til at oprette og administrere lagerforbindelser, skal du skifte til API-version 2025-09-01, 2025-06-01 eller 2025-07-01-preview før den 15. juni 2026 for at undgå afbrydelse af tjenesten. Eksisterende lagerforbindelser påvirkes ikke.
Næste trin
Få flere eksempler, og trinvise instruktioner til installation af Microsoft Sentinel lagre.