Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel référentiels vous permettent de déployer et de gérer le contenu de Sentinel personnalisé à partir d’un référentiel de contrôle de code source externe pour l’intégration continue/livraison continue (CI/CD). Cette automatisation élimine la nécessité de processus manuels pour mettre à jour et déployer votre contenu personnalisé dans les espaces de travail. Un sous-ensemble de contenu en tant que code est détections en tant que code (DaC). Microsoft Sentinel Repositories implémente également DaC.
Pour plus d’informations sur Sentinel contenu, consultez À propos du contenu et des solutions Microsoft Sentinel.
Fonctionnement des dépôts Microsoft Sentinel
Vous pouvez déployer ces Microsoft Sentinel types de contenu personnalisés à partir d’un référentiel de contrôle de code source externe auquel vous vous connectez Microsoft Sentinel :
- Règles d’analyse
- Règles d’automatisation
- Requêtes de chasse
- Analyseurs
- Playbooks
- Classeurs
Mises à jour vous apportez au contenu de votre Microsoft Sentinel les dépôts sont synchronisés avec votre espace de travail Microsoft Sentinel et remplacent toutes les modifications que vous apportez à ce contenu via le portail Microsoft Sentinel. Vos dépôts Microsoft Sentinel deviennent votre source unique de vérité pour le contenu personnalisé dans les espaces de travail connectés.
Planifier la connexion de votre dépôt
Microsoft Sentinel référentiels nécessitent une planification minutieuse pour vous assurer que vous disposez des autorisations appropriées de votre espace de travail sur le dépôt (référentiel) que vous souhaitez connecter.
- Seules les connexions à GitHub et aux dépôts DevOps Azure sont prises en charge.
- L’accès collaborateur à votre dépôt GitHub ou administrateur de projet à votre dépôt Azure DevOps est requis.
- L’application Microsoft Sentinel a besoin d’une autorisation pour votre dépôt.
- Les actions doivent être activées pour GitHub.
- Les pipelines doivent être activés pour Azure DevOps.
- Une connexion DevOps Azure doit se trouver dans le même locataire que votre espace de travail Microsoft Sentinel.
La création d’une connexion à un dépôt nécessite un rôle Propriétaire dans le groupe de ressources qui contient votre espace de travail Microsoft Sentinel.
Si vous trouvez du contenu dans un dépôt public où vous n’êtes pas un contributeur, commencez par importer, dupliquer ou cloner le contenu dans un dépôt où vous êtes un contributeur. Ensuite, connectez votre dépôt à votre espace de travail Microsoft Sentinel. Pour plus d’informations, consultez Déployer du contenu personnalisé à partir de votre référentiel.
Nombre maximal de connexions et de déploiements
- Chaque Microsoft Sentinel espace de travail est actuellement limité à cinq connexions de dépôt.
- Chaque Azure groupe de ressources est limité à 800 déploiements dans son historique de déploiement. Si vous avez un volume élevé de déploiements de modèles dans un ou plusieurs de vos groupes de ressources, l’erreur peut s’afficher
Deployment QuotaExceeded. Pour plus d’informations, consultez DeploymentQuotaExceeded dans la documentation des modèles Azure Resource Manager.
Planifier le contenu de votre dépôt
les référentiels Microsoft Sentinel prennent en charge le déploiement du contenu que vous stockez en tant que fichiers Bicep ou modèles de Azure Resource Manager (ARM). Nous vous recommandons d’utiliser Bicep, qui est plus intuitif et facilite la description des ressources Azure et du contenu Microsoft Sentinel.
Le modèle pour chaque type de contenu a une structure et un nom de paramètre spécifiques, comme indiqué dans la référence du modèle de ressources Sentinel. Pour obtenir des exemples de chaque type de contenu, consultez RéférentielsSampleContent.
Nous avons fourni un exemple de référentiel avec des modèles pour chacun des types de contenu répertoriés. Le référentiel montre également comment utiliser les fonctionnalités avancées des connexions de référentiel. Pour plus d’informations, consultez Microsoft Sentinel exemple de référentiels CI/CD.
Bien que vous puissiez créer des modèles à partir de zéro, il est souvent plus facile de démarrer à partir des fichiers YAML du dépôt GitHub public Sentinel ou à partir de contenu Microsoft Sentinel prête à l’emploi. Ce tableau explique comment convertir un modèle ARM à utiliser avec des référentiels Microsoft Sentinel.
| Type de contenu | Convertir à partir de Sentinel YAML public | Exporter à partir de Sentinel | Référence de modèle | Exemples de modèles |
|---|---|---|---|---|
| Règles analytiques | Script PowerShell | Fonctionnalité d’exportation ou script PowerShell | Référence | Modèles ARM |
| Règles d’automatisation | S/O | Exporter des scripts de fonctionnalité ou PowerShell | Référence | S/O |
| Requêtes de chasse | Script PowerShell | Azure commandes CLI | Référence | Exemple de contenu |
| Analyseurs | Script PowerShell ASIM | Azure commandes CLI | Référence | Templates |
| Playbooks | S/O | Utilitaire PowerShell | Référence | S/O |
| Workbooks | S/O | Exportation de classeurs en tant que modèles ARM | Référence | S/O |
Importante
Considérations relatives à Bicep :
- Pour utiliser des fichiers Bicep, la connexion de vos dépôts doit être mise à jour si votre connexion a été créée avant le 1er novembre 2024. Les connexions de dépôts doivent être supprimées et recréées pour être mises à jour.
- Les fichiers Bicep ne prennent pas en charge la
idpropriété . Lors de la décompilation d’ARM JSON en Bicep, vérifiez que vous ne disposez pas de cette propriété. Par exemple, les modèles de règle analytique exportés à partir de Microsoft Sentinel ont laidpropriété qui doit être supprimée. - Remplacez le schéma JSON ARM par version
2019-04-01pour obtenir de meilleurs résultats lors de la décompilation.
Importante
Les règles analytiques déployées à l’aide de la fonctionnalité Dépôts Microsoft Sentinel peuvent utiliser des requêtes inter-espaces de travail uniquement si l’espace de travail de destination se trouve dans le même groupe de ressources que l’espace de travail connecté au dépôt.
Pour plus d’informations sur la création de contenu personnalisé à partir de zéro, consultez le wiki GitHub Microsoft Sentinel approprié pour chaque type de contenu.
Améliorer les performances avec des déploiements intelligents
Conseil
Pour garantir le fonctionnement des déploiements intelligents dans GitHub, les workflows doivent disposer d’autorisations de lecture et d’écriture sur votre dépôt. Pour plus d’informations, consultez Gestion des paramètres de GitHub Actions pour un dépôt.
La fonctionnalité de déploiements intelligents est une fonctionnalité principale qui améliore les performances en suivant activement les modifications apportées aux fichiers de contenu d’un dépôt connecté. Il utilise un fichier CSV dans le .sentinel dossier de votre dépôt pour auditer chaque validation. Le workflow évite de redéployer du contenu qui n’a pas été modifié depuis le dernier déploiement. Ce processus améliore les performances de votre déploiement et empêche la falsification du contenu inchangé dans votre espace de travail, comme la réinitialisation des planifications dynamiques de vos règles d’analyse.
Les déploiements intelligents sont activés par défaut sur les connexions nouvellement créées. Si vous préférez tout le contenu de contrôle de code source déployé chaque fois qu’un déploiement est déclenché, que ce contenu ait été modifié ou non, modifiez votre workflow pour désactiver les déploiements intelligents. Pour plus d’informations, consultez Personnaliser le workflow ou le pipeline.
Envisager les options de personnalisation du déploiement
Tenez compte des options de personnalisation suivantes lors du déploiement de contenu avec des référentiels Microsoft Sentinel.
Personnaliser le workflow ou le pipeline
Personnalisez le workflow ou le pipeline de l’une des manières suivantes :
- configurer différents déclencheurs de déploiement
- déployer du contenu uniquement à partir d’un dossier racine spécifique pour un espace de travail donné
- planifier l’exécution périodique du flux de travail
- combiner différents événements de flux de travail
- désactiver les déploiements intelligents
Ces personnalisations sont définies dans un fichier .yml spécifique à votre workflow ou pipeline. Pour plus d’informations sur l’implémentation, consultez Personnaliser les déploiements de référentiels.
Personnaliser le déploiement
Une fois le workflow ou le pipeline déclenché, le déploiement prend en charge les scénarios suivants :
- hiérarchiser le contenu à déployer avant le reste du contenu du dépôt
- exclure le contenu du déploiement
- spécifier des fichiers de paramètres de modèle ARM
Ces options sont disponibles via une fonctionnalité du script de déploiement PowerShell appelée à partir du workflow ou du pipeline. Pour plus d’informations sur la façon d’implémenter ces personnalisations, consultez Personnaliser les déploiements de référentiels.
Gérer les dépôts Microsoft Sentinel à l’aide de l’API
Pour plus d’informations sur la gestion des dépôts Microsoft Sentinel à l’aide de l’API, consultez les actions Contrôle de code source et Contrôles de code source dans l’API REST Microsoft Sentinel.
Importante
À compter de juin 2026, les anciennes versions d’API utilisées par les dépôts Microsoft Sentinel ne seront plus prises en charge. Si vous utilisez des API pour créer et gérer des connexions de référentiel, passez à la version d’API 2025-09-01, 2025-06-01 ou 2025-07-01-preview avant le 15 juin 2026 pour éviter toute interruption du service. Les connexions de référentiel existantes ne sont pas affectées.
Étapes suivantes
Obtenez d’autres exemples et instructions pas à pas sur le déploiement de dépôts Microsoft Sentinel.