Implementación de contenido como código desde el repositorio (versión preliminar)

Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Al crear contenido personalizado, puede administrarlo desde sus propios Microsoft Sentinel áreas de trabajo o desde un repositorio de control de código fuente externo. En este artículo se describe cómo crear y administrar conexiones entre Microsoft Sentinel y GitHub o Azure repositorios de DevOps. La administración del contenido en un repositorio externo le permite realizar actualizaciones de ese contenido fuera de Microsoft Sentinel y que se implemente automáticamente en las áreas de trabajo. Para obtener más información, consulte Actualización de contenido personalizado con conexiones de repositorio.

Importante

La característica repositorios de Microsoft Sentinel está actualmente en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender. Si sigue usando Microsoft Sentinel en el Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net

Requisitos previos

Microsoft Sentinel admite actualmente conexiones a GitHub y Azure repositorios de DevOps. Antes de conectar el área de trabajo de Microsoft Sentinel al repositorio de control de código fuente, asegúrese de que:

Tiene un rol propietario en el grupo de recursos que contiene el área de trabajo de Microsoft Sentinel
Los archivos de contenido personalizados que desea implementar en las áreas de trabajo están en un formato compatible. Para ver los formatos admitidos, consulte Planear el contenido del repositorio.
La cuenta que se usa para crear la conexión está en el inquilino principal. No se admiten identidades externas, como cuentas de invitado B2B y acceso delegado.

Requisitos previos de GitHub
Azure requisitos previos de DevOps

Acceso de colaborador al repositorio de GitHub
Acciones habilitadas para GitHub y canalizaciones habilitadas para Azure DevOps

Para obtener más información sobre los tipos de contenido que se pueden implementar, vea Planear el contenido del repositorio.

Conexión de un repositorio

En este procedimiento se describe cómo conectar un repositorio de GitHub o Azure DevOps al área de trabajo de Microsoft Sentinel.

Cada conexión puede admitir varios tipos de contenido personalizado, incluidas reglas de análisis, reglas de automatización, consultas de búsqueda, analizadores, cuadernos de estrategias y libros. Para obtener más información, consulte Acerca de Microsoft Sentinel contenido y soluciones.

No se pueden crear conexiones duplicadas, con el mismo repositorio y rama, en una sola Microsoft Sentinel área de trabajo.

Cree la conexión:

Asegúrese de que ha iniciado sesión en la aplicación de control de código fuente con las credenciales que desea usar para la conexión. Si ha iniciado sesión con credenciales diferentes, cierre la sesión primero.
Para Microsoft Sentinel en el Azure Portal, en Administración de contenido, seleccione Repositorios.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel> Repositorios de administración>de contenido.
Seleccione Agregar nuevo y, a continuación, en la página Crear nueva conexión de implementación , escriba un nombre significativo y una descripción para la conexión.
En la lista desplegable Control de código fuente , seleccione el tipo de repositorio al que desea conectarse y, a continuación, seleccione Autorizar.
Seleccione una de las pestañas siguientes, en función del tipo de conexión:
- GitHub
- Azure DevOps
1. Escriba las credenciales de GitHub cuando se le solicite.
  
  La primera vez que agregue una conexión, se le pedirá que autorice la conexión a Microsoft Sentinel. Si ya ha iniciado sesión en su cuenta de GitHub en el mismo explorador, las credenciales de GitHub se rellenan automáticamente.
2. Ahora se muestra un área repositorio en la página Crear nueva conexión de implementación , donde puede seleccionar un repositorio existente al que conectarse. Seleccione el repositorio en la lista y, a continuación, seleccione Agregar repositorio.
  
  La primera vez que se conecte a un repositorio específico, verá una nueva ventana o pestaña del explorador, que le pedirá que instale la aplicación Azure-Sentinel en el repositorio. Si tiene varios repositorios, seleccione los en los que desea instalar la aplicación Azure-Sentinel e instálela.
  
  Se le dirige a GitHub para continuar con la instalación de la aplicación.
3. Una vez instalada la aplicación Sentinel Azure en el repositorio, la lista desplegable Rama de la página Crear nueva conexión de implementación se rellena con las ramas. Seleccione la rama que desea conectar al área de trabajo de Microsoft Sentinel.
4. En la lista desplegable Tipos de contenido , seleccione el tipo de contenido que va a implementar.
  - Tanto los analizadores como las consultas de búsqueda usan la API búsquedas guardadas para implementar contenido en Microsoft Sentinel. Si selecciona uno de estos tipos de contenido y también tiene contenido del otro tipo en la rama, se implementan ambos tipos de contenido.
  - Para todos los demás tipos de contenido, al seleccionar un tipo de contenido en el panel Crear nueva conexión de implementación solo se implementa ese contenido en Microsoft Sentinel. El contenido de otros tipos no se implementa.
5. Seleccione Crear para crear la conexión. Por ejemplo:
Se le autoriza automáticamente a Azure DevOps con sus credenciales de Azure actuales. Compruebe que está autorizado para el mismo inquilino Azure DevOps al que se va a conectar desde Microsoft Sentinel o use una ventana del explorador InPrivate para crear la conexión.
1. En Microsoft Sentinel, en las listas desplegables que aparecen, seleccione la organización, el proyecto, el repositorio, la rama y los tipos de contenido.
  - Tanto los analizadores como las consultas de búsqueda usan la API búsquedas guardadas para implementar contenido en Microsoft Sentinel. Si selecciona uno de estos tipos de contenido y también tiene contenido del otro tipo en la rama, se implementan ambos tipos de contenido.
  - Para todos los demás tipos de contenido, al seleccionar un tipo de contenido en el panel Crear nueva conexión de implementación solo se implementa ese contenido en Microsoft Sentinel. El contenido de otros tipos no se implementa.
2. Seleccione Crear para crear la conexión. Por ejemplo:

Después de crear la conexión, se genera un nuevo flujo de trabajo o canalización en el repositorio. El contenido almacenado en el repositorio se implementa en el área de trabajo de Microsoft Sentinel.

El tiempo de implementación puede variar en función del volumen de contenido que se va a implementar.

Visualización del estado de la implementación

En GitHub: en la pestaña Acciones del repositorio, seleccione el archivo .yaml de flujo de trabajo para acceder a registros de implementación detallados y a cualquier mensaje de error específico.

En Azure DevOps: vea el estado de la implementación desde la pestaña Canalizaciones del repositorio.

Una vez completada la implementación:

El contenido almacenado en el repositorio se muestra en el área de trabajo de Microsoft Sentinel, en la página de Microsoft Sentinel correspondiente.
Los detalles de conexión de la página Repositorios se actualizan con el vínculo a los registros de implementación de la conexión y el estado y la hora de la última implementación. Por ejemplo:

El flujo de trabajo predeterminado solo implementa el contenido modificado desde la última implementación en función de las confirmaciones en el repositorio. Pero es posible que quiera desactivar las implementaciones inteligentes o realizar otras personalizaciones. Por ejemplo, puede configurar diferentes desencadenadores de implementación o implementar contenido exclusivamente desde una carpeta raíz específica. Para más información, consulte Personalización de implementaciones de repositorios.

Editar contenido

Cuando se crea correctamente una conexión al repositorio de control de código fuente, el contenido se implementa en Sentinel. Se recomienda editar el contenido almacenado en un repositorio conectado solo en el repositorio y no en Microsoft Sentinel. Por ejemplo, para realizar cambios en las reglas de análisis, hágalo directamente en GitHub o Azure DevOps.

Si edita el contenido en Microsoft Sentinel en su lugar, asegúrese de exportarlo al repositorio de control de código fuente para evitar que los cambios se sobrescriban la próxima vez que se implemente el contenido del repositorio en el área de trabajo.

Eliminar contenido

La eliminación de contenido del repositorio no lo elimina del área de trabajo de Microsoft Sentinel. Si desea quitar el contenido que se implementó a través de repositorios, elimínelo del repositorio y del Microsoft Sentinel. Por ejemplo, establezca un filtro para el contenido basado en el nombre de origen para facilitar la identificación del contenido de los repositorios.

Captura de pantalla de reglas de análisis filtradas por el nombre de origen de los repositorios.

Eliminación de una conexión de repositorio

En este procedimiento se describe cómo quitar la conexión a un repositorio de control de código fuente de Microsoft Sentinel. Para usar archivos de Bicep, la conexión del repositorio debe ser más reciente que el 1 de noviembre de 2024. Use este procedimiento para quitar la conexión y volver a crearla con el fin de actualizar la conexión.

Para quitar la conexión:

En Microsoft Sentinel, en Administración de contenido, seleccione Repositorios.
En la cuadrícula, seleccione la conexión que desea quitar y, a continuación, seleccione Eliminar.
Seleccione Sí para confirmar la eliminación.

Después de quitar la conexión, el contenido que se implementó anteriormente a través de la conexión permanece en el área de trabajo de Microsoft Sentinel. El contenido agregado al repositorio después de quitar la conexión no se implementa.

Si encuentra problemas o un mensaje de error al eliminar la conexión, se recomienda comprobar el control de código fuente. Confirme que se elimina el flujo de trabajo de GitHub o Azure canalización de DevOps asociada a la conexión.

Eliminación de la aplicación Microsoft Sentinel del repositorio de GitHub

Si tiene previsto eliminar la aplicación de Microsoft Sentinel de un repositorio de GitHub, se recomienda quitar primero todas las conexiones asociadas de la página Repositorios de Microsoft Sentinel.

Cada instalación de Microsoft Sentinel App tiene un identificador único que se usa al agregar y quitar la conexión. Si falta o cambia el identificador, quite la conexión de la página Repositorios de Microsoft Sentinel y quite manualmente el flujo de trabajo del repositorio de GitHub para evitar futuras implementaciones de contenido.

Use el contenido personalizado en Microsoft Sentinel de la misma manera que usaría el contenido integrado.

Para más información, vea:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23