Sisällön hallinta koodina Microsoft Sentinel säilöjen avulla

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel säilöjen avulla voit ottaa käyttöön ja hallita mukautettuja Sentinel sisältöä ulkoisen lähteenhallinnan säilöstä jatkuvaa integrointia/jatkuvaa toimitusta (CI/CD) varten. Tämä automaatio poistaa manuaalisten prosessien tarpeen mukautetun sisällön päivittämiseen ja käyttöönottoon kaikissa työtiloissa. Sisällön alijoukko koodina on tunnistuksia koodina (DaC). Microsoft Sentinel Säilöt toteuttavat myös DaC:tä.

Lisätietoja Sentinel sisällöstä on artikkelissa Tietoja Microsoft Sentinel sisällöstä ja ratkaisuista.

Miten Microsoft Sentinel säilöt toimivat

Voit ottaa käyttöön nämä Microsoft Sentinel mukautetut sisältötyypit ulkoisesta lähteenhallinnan säilöstä, johon muodostat yhteyden Microsoft Sentinel:

  • Analysointisäännöt
  • Automaatiosäännöt
  • Metsästyskyselyt
  • Jäsentimet
  • Playbooks
  • Työkirjojen

Päivitykset teet Microsoft Sentinel -säilöissäsi olevaan sisältöön, synkronoidaan Microsoft Sentinel työtilaan ja korvaat sisältöön tekemäsi muutokset Microsoft Sentinel portaalin kautta. Microsoft Sentinel säilöistäsi tulee yhdistettyjen työtilojen mukautetun sisällön ainoa totuuden lähde.

Säilön yhteyden suunnitteleminen

Microsoft Sentinel säilöt edellyttävät huolellista suunnittelua sen varmistamiseksi, että sinulla on asianmukaiset käyttöoikeudet työtilastasi säilöön (säilöön), jonka haluat yhdistää.

  • Vain yhteyksiä GitHubiin ja Azure DevOps-säilöihin tuetaan.
  • Yhteiskäyttäjän pääsy GitHub-säilöön tai projektin järjestelmänvalvojalle Azure DevOps-säilöön vaaditaan.
  • Microsoft Sentinel sovellus tarvitsee säilön valtuutuksen.
  • GitHubissa toiminnot on otettava käyttöön.
  • DevOps-Azure on otettava putkijohdot käyttöön.
  • Azure DevOps -yhteyden on oltava samassa vuokraajassa kuin Microsoft Sentinel työtilasi.

Yhteyden luominen säilöön edellyttää Omistaja-roolia resurssiryhmässä, joka sisältää Microsoft Sentinel työtilasi.

Jos löydät sisältöä julkisesta säilöstä, jossa et ole osallistuja, tuo, haarukoi tai kloonaa sisältö säilöön, jossa olet osallistuja. Yhdistä sitten säilö Microsoft Sentinel työtilaan. Lisätietoja on artikkelissa Mukautetun sisällön käyttöönotto säilöstäsi.

Yhteyksien ja käyttöönottojen enimmäismäärä

  • Jokainen Microsoft Sentinel työtila on tällä hetkellä rajoitettu viiteen säilön yhteyksiin.
  • Jokainen Azure resurssiryhmä on rajoitettu 800 käyttöönottoon käyttöönottohistoriassaan. Jos vähintään yhdessä resurssiryhmässäsi on paljon mallikäyttöönottoja, saatat nähdä Deployment QuotaExceeded virheen. Lisätietoja on Azure Resource Manager mallien dokumentaation kohdassa DeploymentQuotaExceeded.

Säilön sisällön suunnitteleminen

Microsoft Sentinel säilöt tukevat Bicep-tiedostoina tai Azure Resource Manager (ARM) -malleina tallentamasi sisällön käyttöönottoa. Suosittelemme käyttämään Bicepiä, joka on intuitiivisempi ja helpottaa Azure resurssien ja Microsoft Sentinel sisällön kuvaamista.

Kunkin sisältötyypin mallilla on tietty rakenne ja parametrin nimi, jotka on dokumentoitu Sentinel resurssimallin viittauksessa. Katso kunkin sisältötyypin näytteet kohdasta SäilötSampleContent-säilö.

Toimitimme mallisäilön, jossa on malleja kullekin luetellulle sisältötyypille. Säilö esittelee myös säilöyhteyksien kehittyneiden ominaisuuksien käyttöä. Lisätietoja on kohdassa Microsoft Sentinel CI/CD-säilömalli.

Näyttökuva onnistuneesta säilöyhteydestä. Näkyvissä on RepositoriesSampleContent. Tämä näyttökuva on sen jälkeen, kun malli on tuotu SentinelCICD-säilöstä yksityiseen GitHub-säilön FourthCoffee-organisaatioon.

Vaikka voit luoda malleja alusta alkaen, se on usein helpompi aloittaa joko Sentinel julkisen GitHub-säilön YAML-tiedostosta tai valmiista Microsoft Sentinel sisällöstä. Tässä taulukossa kerrotaan, miten ARM-malli muunnetaan käytettäväksi Microsoft Sentinel säilöjen kanssa.

Sisältötyyppi Muunna julkisesta YAML Sentinel versiosta Vie Sentinel Malliviittaus Mallimallit
Analyysisäännöt PowerShell-komentosarja Vie ominaisuus tai PowerShell-komentosarja Viittaus ARM-mallit
Automaatiosäännöt N/A Vie ominaisuus tai PowerShell-komentosarjat Viittaus N/A
Metsästyskyselyt PowerShell-komentosarja Azure komentorivikäyttöliittymän komentoja Viittaus Mallisisältö
Jäsentimet ASIM PowerShell -komentosarja Azure komentorivikäyttöliittymän komentoja Viittaus Mallit
Playbooks N/A PowerShell-apuohjelma Viittaus N/A
Työkirjojen N/A Työkirjojen vieminen ARM-malleina Viittaus N/A

Tärkeää

Huomioon otettavia seikkoja Bicep:

  • Jotta voit käyttää Bicep-tiedostoja, säilöyhteytesi on päivitettävä, jos yhteys on luotu ennen 1.11.2024. Säilöyhteydet on poistettava ja luotava uudelleen, jotta päivitys voidaan tehdä.
  • Bicep-tiedostot eivät tue ominaisuutta id . Kun purat ARM JSON-koodauksen Bicepiin, varmista, ettei sinulla ole tätä ominaisuutta. Esimerkiksi Microsoft Sentinel viedyissä analyysisääntömalleissa on id ominaisuus, joka on poistettava.
  • Muuta ARM JSON -rakenne versioksi 2019-04-01 , jotta saat parhaat tulokset, kun purat koodauksen.

Tärkeää

Microsoft Sentinel -säilöominaisuuden avulla käyttöönotetut analyysisäännöt voivat käyttää työtilojenvälistä kyselyä vain, jos kohdetyötila on samassa resurssiryhmässä kuin säilöön yhdistetty työtila.

Lisätietoja mukautetun sisällön luomisesta alusta alkaen on kunkin sisältötyypin asianmukaisessa Microsoft Sentinel GitHub-wikissä.

Suorituskyvyn parantaminen älykkäillä käyttöönotoilla

Vihje

Jotta älykkäät käyttöönotot toimivat GitHubissa, työnkuluilla on oltava luku- ja kirjoitusoikeudet säilöösi. Lisätietoja on kohdassa Säilön GitHub-toimintojen asetusten hallinta.

Älykkäät käyttöönotot -ominaisuus on taustaominaisuus, joka parantaa suorituskykyä seuraamalla aktiivisesti yhdistetyn säilön sisältötiedostoihin tehtyjä muutoksia. Se käyttää säilösi kansiossa olevaa .sentinel CSV-tiedostoa kunkin vahvistustoiminnon valvontaan. Työnkulussa vältetään sellaisen sisällön ottaminen uudelleen käyttöön, jota ei ole muokattu edellisen käyttöönoton jälkeen. Tämä prosessi parantaa käyttöönoton suorituskykyä ja estää muuttumattoman sisällön peukaloinnin työtilassasi, kuten nollaamasta analytiikkasääntöjen dynaamisia aikatauluja.

Älykkäät käyttöönotot ovat oletusarvoisesti käytössä uusissa luoduissa yhteyksissä. Jos haluat, että kaikki lähteenhallinnan sisältö otetaan käyttöön aina, kun käyttöönotto käynnistetään, muokkaa työnkulkuasi siten, että älykkäät käyttöönotot poistetaan käytöstä. Lisätietoja on kohdassa Työnkulun tai putken mukauttaminen.

Harkitse käyttöönoton mukautusasetuksia

Ota huomioon seuraavat mukautusvaihtoehdot, kun otat sisältöä käyttöön Microsoft Sentinel säilöjen kanssa.

Työnkulun tai putken mukauttaminen

Mukauta työnkulkua tai putkea jollakin seuraavista tavoista:

  • määritä eri käyttöönoton käynnistimet
  • sisällön ottaminen käyttöön vain tietystä pääkansiosta tietyssä työtilassa
  • ajoita työnkulku suoritettavaksi säännöllisesti
  • eri työnkulun tapahtumien yhdistäminen
  • poista käytöstä älykkäät käyttöönotot

Nämä mukautukset määritetään .yml tiedostossa, joka liittyy työnkulkuun tai jaksoon. Lisätietoja käyttöönotosta on kohdassa Säilön käyttöönottojen mukauttaminen

Käyttöönoton mukauttaminen

Kun työnkulku tai putki on käynnistetty, käyttöönotto tukee seuraavia skenaarioita:

  • priorisoi ennen säilön sisällön loppuosaa käyttöönotettava sisältö
  • jätä pois käyttöönoton sisältö
  • ARM-mallin parametritiedostojen määrittäminen

Nämä asetukset ovat käytettävissä PowerShellin käyttöönottokomentosarjan ominaisuuden kautta, joka on kutsuttu työnkulusta tai putkesta. Lisätietoja näiden mukautusten käyttöönotosta on kohdassa Säilön käyttöönottojen mukauttaminen.

Microsoft Sentinel säilöjen hallinta ohjelmointirajapinnan avulla

Lisätietoja Microsoft Sentinel säilöjen hallinnasta ohjelmointirajapinnan avulla on Microsoft Sentinel REST -ohjelmointirajapinnan Lähteenhallinnan ja lähteenhallinnan toiminnoissa.

Tärkeää

Kesäkuusta 2026 alkaen Microsoft Sentinel säilöjen käyttämiä vanhempia ohjelmointirajapintaversioita ei enää tueta. Jos käytät ohjelmointirajapintoja säilöyhteyksien luomiseen ja hallintaan, siirry ohjelmointirajapinnan versioon 2025-09-01, 2025-06-01 tai 2025-07-01-esikatseluun ennen 15.6.2026 palvelukatkosten välttämiseksi. Tämä ei vaikuta olemassa oleviin säilöyhteyksiin.

Seuraavat vaiheet

Hanki lisää esimerkkejä ja vaiheittaiset ohjeet Microsoft Sentinel säilöjen käyttöönottoon.

  • Last updated on