Tilpas lagerinstallationer

Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Der er to primære måder at tilpasse udrulningen af dit lagerindhold på Microsoft Sentinel arbejdsområder. Hver metode bruger forskellige filer og syntaks, så overvej disse eksempler for at komme i gang.

Tilpasningsmetode	Dækkede udrulningsindstillinger
GitHub-arbejdsproces DevOps-pipeline	Tilpas udrulningsudløseren for din forbindelse Tilpas installationsstien Aktivering af intelligente udrulninger
Konfigurationsfiler	Kontrollér den prioriterede rækkefølge af dine indholdsinstallationer Vælg at udelade bestemte indholdsfiler fra installationer Skaler udrulninger på tværs af forskellige arbejdsområder ved at knytte parameterfiler til bestemte indholdsfiler

Forudsætninger

Hvis du vil tilpasse en udrulning af lagre, skal der findes en lagerforbindelse. Du kan få flere oplysninger om oprettelse af forbindelsen under Installér brugerdefineret indhold fra dit lager. Når forbindelsen er oprettet, gælder følgende forudsætninger:

Samarbejdspartneradgang til dit GitHub-lager eller Project Administrator-adgang til dit Azure DevOps-lager
Handlinger, der er aktiveret for GitHub og pipelines, som er aktiveret for Azure DevOps
Sørg for, at brugerdefinerede indholdsfiler, du vil installere i dine arbejdsområder, er i et understøttet format. Hvis du vil se understøttede formater, skal du se Planlæg dit lagerindhold.

Du kan få flere oplysninger om udrullelige indholdstyper under Planlæg dit lagerindhold.

Tilpas arbejdsprocessen eller pipelinen

Standardarbejdsprocessen installerer kun indhold, der er ændret siden sidste installation, baseret på bekræftelser til lageret. Tilpas til at konfigurere forskellige udrulningsudløsere eller til udelukkende at installere indhold fra en bestemt rodmappe.

Vælg en af følgende faner, afhængigt af din forbindelsestype:

Github
Azure DevOps

Sådan tilpasser du din GitHub-udrulningsarbejdsproces:

I GitHub skal du gå til dit lager og finde din arbejdsproces i mappen .github/workflows .

Arbejdsprocesfilen er YML-filen, der starter med sentinel-deploy-xxxxx.yml. Åbn filen, og navnet på arbejdsprocessen vises på den første linje og har følgende standardnavngivningskonvention: Deploy Content to <workspace-name> [<deployment-id>].

For eksempel: name: Deploy Content to repositories-demo [xxxxx-dk5d-3s94-4829-9xvnc7391v83a]
Vælg blyantsknappen øverst til højre på siden for at åbne filen til redigering, og rediger derefter installationen på følgende måde:
- Hvis du vil ændre udrulningsudløseren, skal du opdatere on afsnittet i koden, som beskriver den hændelse, der udløser den arbejdsproces, der skal køres.
  
  Denne konfiguration er som standard angivet til on: push, hvilket betyder, at arbejdsprocessen udløses ved push til den forbundne forgrening, herunder både ændringer af eksisterende indhold og tilføjelser af nyt indhold til lageret. Det kan f.eks. være:
```
on:
    push:
        branches: [ main ]
        paths:
        - `**`
        - `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
        - `.github/workflows/sentinel-deploy-<deployment-id>.yml`
```
  Rediger disse indstillinger, f.eks. for at planlægge, at arbejdsprocessen skal køre med jævne mellemrum, eller for at kombinere forskellige arbejdsproceshændelser.
  
  Du kan få flere oplysninger i GitHub-dokumentationen om konfiguration af arbejdsproceshændelser.
- Sådan deaktiverer du intelligente installationer: Funktionsmåden for intelligente installationer er adskilt fra den diskuterede udrulningsudløser. Gå til jobs sektionen i arbejdsprocessen. Skift standardværdien smartDeployment fra true til false. Når denne ændring er bekræftet, er funktionen til smart udrulning slået fra, og alle fremtidige udrulninger for denne forbindelse geninstallerer alle lagerets relevante indholdsfiler til de forbundne arbejdsområder.
- Sådan ændrer du installationsstien:
  
  I den standardkonfiguration, der vises for on sektionen, angiver jokertegnene (**) i den første linje i paths sektionen, at hele forgreningen er i stien til udrulningsudløserne.
  
  Denne standardkonfiguration betyder, at en udrulningsarbejdsproces udløses, når indholdet pushes til en del af forgreningen.
  
  Senere i filen jobs indeholder afsnittet følgende standardkonfiguration: directory: '${{ github.workspace }}'. Denne linje angiver, at hele GitHub-forgreningen er i stien til indholdsinstallationen uden at filtrere efter nogen mappestier.
  
  Hvis du kun vil installere indhold fra en bestemt mappesti, skal du føje det til både paths og directory konfigurationen. Hvis du f.eks. kun vil installere indhold fra en rodmappe med navnet SentinelContent, skal du opdatere din kode på følgende måde:
```
paths:
- `SentinelContent/**`
- `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
- `.github/workflows/sentinel-deploy-<deployment-id>.yml`

...
    directory: '${{ github.workspace }}/SentinelContent'
```

Du kan få flere oplysninger i GitHub-dokumentationen om GitHub-handlinger og redigering af GitHub-arbejdsprocesser.

Sådan tilpasser du din Azure DevOps-udrulningspipeline:

I Azure DevOps skal du gå til dit lager og finde din pipelinedefinitionsfil i mappen .sentinel.

Pipelinenavnet vises i den første linje i pipelinefilen og har følgende standardnavngivningskonvention: Deploy Content to <workspace-name> [<deployment-id>].

For eksempel: name: Deploy Content to repositories-demo [xxxxx-dk5d-3s94-4829-9xvnc7391v83a]
Vælg blyantsknappen øverst til højre på siden for at åbne filen til redigering, og rediger derefter installationen på følgende måde:
- Hvis du vil ændre udrulningsudløseren, skal du opdatere trigger afsnittet i koden, som beskriver den hændelse, der udløser den arbejdsproces, der skal køres.
  
  Denne konfiguration er som standard indstillet til at registrere push til den forbundne forgrening, herunder både ændringer af eksisterende indhold og tilføjelser af nyt indhold til lageret.
  
  Rediger denne udløser til alle tilgængelige Azure DevOps-udløsere, f.eks. en planlægningsudløser eller en udløser af typen pullanmodning. Du kan få flere oplysninger i dokumentationen til Azure DevOps-udløseren.
- Sådan deaktiverer du intelligente installationer: Funktionsmåden for intelligente installationer er adskilt fra den diskuterede udrulningsudløser. Gå til ScriptArguments sektionen i pipelinen. Skift standardværdien smartDeployment fra true til false. Når denne ændring er bekræftet, er smart udrulningsfunktionalitet slået fra, og alle fremtidige udrulninger for denne forbindelse geninstallerer alle lagerets relevante indholdsfiler til de forbundne arbejdsområder.
- Sådan ændrer du installationsstien:
  
  Standardkonfigurationen for trigger sektionen har følgende kode, som angiver, at main forgreningen er i stien til udrulningsudløserne:
```
trigger:
    branches:
        include:
        - main
```
  Denne standardkonfiguration betyder, at en udrulningspipeline udløses, når indholdet pushes til en del af forgreningen main .
  
  Hvis du kun vil installere indhold fra en bestemt mappesti, skal du føje mappenavnet til include sektionen for udløseren og installationsstien steps til sektionen.
  
  Hvis du f.eks. kun vil installere indhold fra en rodmappe, der er navngivet SentinelContent i din main forgrening, skal du føje include og workingDirectory indstillinger til din kode på følgende måde:
```
paths:
    exclude:
    - .sentinel/*
    include:
    - .sentinel/sentinel-deploy-39d8ekc8-397-5963-49g8-5k63k5953829.yml
    - SentinelContent
....
steps:
- task: AzurePowerShell@5
  inputs:
    azureSubscription: `Sentinel_Deploy_ServiceConnection_0000000000000000`
    workingDirectory: `SentinelContent`
```

Du kan få flere oplysninger i dokumentationen til Azure DevOps om Azure DevOps YAML-skemaet.

Vigtigt!

I både GitHub og Azure DevOps skal du sørge for, at du holder mapperne for udløserstien og installationsstien konsistente.

Skaler dine installationer med parameterfiler

I stedet for at overføre parametre som indbyggede værdier i dine indholdsfiler kan du overveje at bruge en Bicep-parameterfil eller en JSON-fil, der indeholder parameterværdierne. Knyt derefter disse parameterfiler til deres tilknyttede Microsoft Sentinel indholdsfiler for bedre at skalere dine udrulninger på tværs af forskellige arbejdsområder.

Der er flere måder at knytte parameterfiler til indholdsfilerne på. Vær opmærksom på, at Bicep-parameterfiler kun understøtter Bicep-filskabeloner, men JSON-parameterfiler understøtter begge. Lagerinstallationspipelinen tager parameterfiler i følgende rækkefølge i betragtning:

Et diagram, der viser prioriteten af parameterfiltilknytninger.

Er der en tilknytning i sentinel-deployment.config?
Du kan få flere oplysninger under Tilpas forbindelseskonfigurationen.
Er der en parameterfil, der er tilknyttet et arbejdsområde? Ja, indholdsfilerne er i den samme mappe med en parameterfil, der er tilknyttet et arbejdsområde, og som svarer til et af disse mønstre:
.<WorkspaceID.bicepparam.parameters-WorkspaceID>
<>.json
Er der en standardparameterfil? Ja, indholdsfilerne er i samme mappe med en parameterfil, der matcher et af disse mønstre:
.bicepparam
.parameters.json

Undgå sammenstød med flere udrulninger af arbejdsområder ved at knytte parameterfilerne via konfigurationsfilen eller angive arbejdsområde-id'et i filnavnet.

Vigtigt!

Når et parameterfilmatch bestemmes på baggrund af prioriteten for tilknytningen, ignorerer pipelinen eventuelle resterende tilknytninger.

Hvis du ændrer den tilknyttede parameterfil, der er angivet i sentinel-deployment.config , udløses installationen af den parrede indholdsfil. Tilføjelse eller ændring af en parameterfil, der er tilknyttet et arbejdsområde eller en standardparameterfil, udløser også en installation af de parrede indholdsfiler sammen med de nyligt ændrede parametre, medmindre der er en parametertilknytning med højere prioritet. Andre indholdsfiler installeres ikke, så længe funktionen til intelligente udrulninger stadig er aktiveret i definitionsfilen for arbejdsprocessen/pipelinen.

Tilpas forbindelseskonfigurationen

Installationsscriptet til lagre understøtter brugen af en installationskonfigurationsfil for hver lagergren fra og med juli 2022. JSON-konfigurationsfilen hjælper dig med at knytte parameterfiler til relevante indholdsfiler, prioritere bestemt indhold i installationer og udelade bestemt indhold fra installationer.

Opret filen sentinel-deployment.config i roden af dit lager. Tilføjelse, sletning eller ændring af denne konfigurationsfil udløser en fuld installation af alt indholdet i lageret i henhold til den opdaterede konfiguration.
Medtag dit strukturerede indhold i tre valgfri sektioner, "prioritizedcontentfiles":, "excludecontentfiles":og "parameterfilemappings":. Hvis der ikke er medtaget nogen sektioner, eller .config-filen er udeladt, kører installationsprocessen stadig. Ugyldige eller ukendte sektioner ignoreres.

Her er et eksempel på hele indholdet af en gyldig sentinel-deployment.config fil. Du kan også finde dette eksempel i eksemplet på Microsoft Sentinel CICD-lagre.

{
  "prioritizedcontentfiles": [
    "parsers/Sample/ASimAuthenticationAWSCloudTrail.json",
    "workbooks/sample/TrendMicroDeepSecurityAttackActivity_ARM.json",
    "Playbooks/PaloAlto-PAN-OS/PaloAltoCustomConnector/azuredeploy.bicep"
  ], 
  "excludecontentfiles": [
     "Detections/Sample/PaloAlto-PortScanning.json",
     "parameters"
  ],
  "parameterfilemappings": {
    "879001c8-2181-4374-be7d-72e5dc69bd2b": {
      "Playbooks/PaloAlto-PAN-OS/Playbooks/PaloAlto-PAN-OS-BlockIP/azuredeploy.bicep": "parameters/samples/auzredeploy.bicepparam"
    },
    "9af71571-7181-4cef-992e-ef3f61506b4e": {
      "Playbooks/Enrich-SentinelIncident-GreyNoiseCommunity-IP/azuredeploy.json": "path/to/any-parameter-file.json"
    }
  },
  "DummySection": "This shouldn't impact deployment"
}

Bemærk!

Brug ikke omvendt skråstreg "\" i nogen af indholdsstierne. Brug i stedet skråstregen "/".

Sådan prioriterer du indholdsfiler:

I takt med at mængden af indhold i dit lager vokser, kan udrulningstiden øges. Føj tidsfølsomt indhold til denne sektion for at prioritere udrulningen, når der opstår en udløser.

Føj fulde stinavne til "prioritizedcontentfiles": sektionen. Jokertegnmatchning understøttes ikke i øjeblikket.
Hvis du vil udelade indholdsfiler, skal du redigere "excludecontentfiles": sektionen med fulde stinavne på de enkelte .json indholdsfiler.
Sådan tilknyttes parametre:

Installationsscriptet accepterer tre metoder til tilknytning af parametre, som beskrevet i Skaler dine installationer med parameterfiler. Tilknytning af parametre via sentinel-deployment.config har den højeste prioritet og garanterer, at en given parameterfil er knyttet til dens tilknyttede indholdsfiler. "parameterfilemappings": Rediger sektionen med destinationsforbindelsens arbejdsområde-id og fulde stinavne på de enkelte .json filer.

Der findes et eksempellager, der demonstrerer installationskonfigurationsfilen og alle tre metoder til tilknytning af parametre. Du kan få flere oplysninger under eksempel på Microsoft Sentinel CICD-lagre.

Feedback

Var denne side nyttig?

Last updated on 2026-05-11