Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Sentinel repositorier kan du distribuere og administrere egendefinert Sentinel innhold fra et eksternt kildekontrollrepositorium for kontinuerlig integrering/kontinuerlig levering (CI/CD). Denne automatiseringen fjerner behovet for manuelle prosesser for å oppdatere og distribuere egendefinert innhold på tvers av arbeidsområder. Et delsett av innhold som kode gjenkjennes som kode (DaC). Microsoft Sentinel-repositorier implementerer også DaC.
Hvis du vil ha mer informasjon om Sentinel innhold, kan du se Om Microsoft Sentinel innhold og løsninger.
Hvordan Microsoft Sentinel repositorier fungerer
Du kan distribuere disse Microsoft Sentinel egendefinerte innholdstypene fra et repositorium for ekstern kildekontroll som du kobler til Microsoft Sentinel:
- Analyseregler
- Automatiseringsregler
- Jaktspørringer
- Parsere
- Strategibøker
- Arbeidsbøker
Oppdateringer du gjør i innholdet i Microsoft Sentinel-repositorier, synkroniseres til Microsoft Sentinel-arbeidsområdet og overskriver eventuelle endringer du gjør i innholdet gjennom Microsoft Sentinel-portalen. Dine Microsoft Sentinel repositorier blir din eneste kilde til sannhet for egendefinert innhold i de tilkoblede arbeidsområdene.
Planlegge tilkoblingen til repositoriet
Microsoft Sentinel repositorier krever nøye planlegging for å sikre at du har de riktige tillatelsene fra arbeidsområdet til repositoriet (repositoriet) du vil koble til.
- Bare tilkoblinger til GitHub og Azure DevOps-repositorier støttes.
- Samarbeidspartnertilgang til GitHub-repositoriet eller prosjektadministratortilgang til Azure DevOps-repositoriet kreves.
- Programmet for Microsoft Sentinel må godkjenne repoet.
- Handlinger må være aktivert for GitHub.
- Datasamlebånd må være aktivert for Azure DevOps.
- En Azure DevOps-tilkobling må være i samme leier som Microsoft Sentinel arbeidsområdet.
Oppretting av en tilkobling til et repositorium krever en eierrolle i ressursgruppen som inneholder Microsoft Sentinel arbeidsområdet.
Hvis du finner innhold i et offentlig repositorium der du ikke er bidragsyter, må du først importere, forgrene eller klone innholdet til et repositorium der du er bidragsyter. Deretter kobler du repo til Microsoft Sentinel arbeidsområdet. Hvis du vil ha mer informasjon, kan du se Distribuere egendefinert innhold fra repositoriet.
Maksimalt antall tilkoblinger og distribusjoner
- Hvert Microsoft Sentinel arbeidsområde er for øyeblikket begrenset til fem repositoriumtilkoblinger.
- Hver Azure ressursgruppe er begrenset til 800 distribusjoner i distribusjonsloggen. Hvis du har et stort antall maldistribusjoner i én eller flere av ressursgruppene, kan det hende du ser
Deployment QuotaExceededfeilen. Hvis du vil ha mer informasjon, kan du se DeploymentQuotaExceeded i dokumentasjonen for Azure Resource Manager maler.
Planlegge repositoriuminnholdet
Microsoft Sentinel-repositorier støtter distribusjon av innhold du lagrer som Bicep-filer eller Azure Resource Manager (ARM)-maler. Vi anbefaler at du bruker Bicep, som er mer intuitivt og gjør det enklere å beskrive Azure ressurser og Microsoft Sentinel innhold.
Malen for hver innholdstype har et bestemt struktur- og parameternavn, som dokumentert i malreferansen for Sentinel ressurser. Hvis du vil ha eksempler på hver innholdstype, kan du se RepositoriesSampleContent-repositorium.
Vi leverte et eksempelrepositorium med maler for hver av innholdstypene som er oppført. Repositoriet demonstrerer også hvordan du bruker avanserte funksjoner i repositoriumtilkoblinger. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel eksempel på CI/CD-repositorier.
Selv om du kan bygge maler fra grunnen av, er det ofte enklere å starte fra enten Sentinel offentlige GitHub-repositorium YAML-filer eller fra out-of-the-box Microsoft Sentinel innhold. Denne tabellen beskriver hvordan du konverterer en ARM-mal for bruk med Microsoft Sentinel repositorier.
| Innholdstype | Konverter fra Sentinel offentlig YAML | Eksporter fra Sentinel | Malreferanse | Eksempelmaler |
|---|---|---|---|---|
| Analytiske regler | PowerShell-skript | Eksporter funksjon eller PowerShell-skript | Referanse | ARM-maler |
| Automatiseringsregler | I/T | Eksporter funksjon eller PowerShell-skript | Referanse | I/T |
| Jaktspørringer | PowerShell-skript | kommandoer for Azure-kommandoer for kommando | Referanse | Eksempelinnhold |
| Parsere | ASIM PowerShell-skript | kommandoer for Azure-kommandoer for kommando | Referanse | Maler |
| Strategibøker | I/T | PowerShell-verktøy | Referanse | I/T |
| Arbeidsbøker | I/T | Eksportere arbeidsbøker som ARM-maler | Referanse | I/T |
Viktig
Bicep vurderinger:
- Hvis du vil bruke Bicep-filer, må repositoritilkoblingen oppdateres hvis tilkoblingen ble opprettet før 1. november 2024. Repositorier-tilkoblinger må fjernes og opprettes på nytt for å kunne oppdateres.
- Bicep-filer støtter
idikke egenskapen. Når du dekompilerer ARM JSON til Bicep, må du sørge for at du ikke har denne egenskapen. Analyseregelmaler som eksporteres fra Microsoft Sentinel haridfor eksempel egenskapen som må fjernes. - Endre ARM JSON-skjemaet til versjon
2019-04-01for best resultat når du dekompilerer.
Viktig
Analytiske regler som distribueres ved hjelp av funksjonen Microsoft Sentinel repositorier, kan bare bruke spørringer på tvers av arbeidsområder hvis målarbeidsområdet er i samme ressursgruppe som arbeidsområdet som er koblet til repositoriet.
Hvis du vil ha informasjon om hvordan du oppretter egendefinert innhold fra grunnen av, kan du se den relevante Microsoft Sentinel GitHub-wikien for hver innholdstype.
Forbedre ytelsen med smarte distribusjoner
Tips
For å sikre at smarte distribusjoner fungerer i GitHub, må arbeidsflyter ha lese- og skrivetillatelser på repositoriet. Hvis du vil ha mer informasjon, kan du se Behandle Innstillinger for GitHub-handlinger for et repositorium.
Funksjonen for smarte distribusjoner er en serverdelfunksjon som forbedrer ytelsen ved å aktivt spore endringer som er gjort i innholdsfilene i et tilkoblet repositorium. Den bruker en CSV-fil i .sentinel mappen i repositoriet til å overvåke hver utføring. Arbeidsflyten unngår å distribuere innhold som ikke ble endret siden forrige distribusjon. Denne prosessen forbedrer distribusjonsytelsen og hindrer manipulering av uendret innhold i arbeidsområdet, for eksempel tilbakestilling av dynamiske tidsplaner for analysereglene.
Smarte distribusjoner aktiveres som standard på nylig opprettede tilkoblinger. Hvis du foretrekker alt kildekontrollinnhold som distribueres hver gang en distribusjon utløses, endrer du arbeidsflyten for å deaktivere smarte distribusjoner, uansett om innholdet ble endret eller ikke. Hvis du vil ha mer informasjon, kan du se Tilpasse arbeidsflyten eller samlebåndet.
Vurder alternativer for distribusjonstilpasning
Vurder følgende tilpasningsalternativer når du distribuerer innhold med Microsoft Sentinel repositorier.
Tilpasse arbeidsflyten eller samlebåndet
Tilpass arbeidsflyten eller samlebåndet på én av følgende måter:
- konfigurere ulike distribusjonsutløsere
- distribuer innhold bare fra en bestemt rotmappe for et gitt arbeidsområde
- planlegg at arbeidsflyten skal kjøre med jevne mellomrom
- kombinere ulike arbeidsflythendelser sammen
- slå av smarte distribusjoner
Disse tilpasningene er definert i en .yml fil som er spesifikk for arbeidsflyten eller samlebåndet. Hvis du vil ha mer informasjon om hvordan du implementerer, kan du se Tilpasse distribusjoner av repositorium
Tilpass distribusjonen
Når arbeidsflyten eller samlebåndet utløses, støtter distribusjonen følgende scenarioer:
- prioritere innhold som skal distribueres før resten av innholdet i repo
- utelat innhold fra distribusjon
- angi ARM-malparameterfiler
Disse alternativene er tilgjengelige gjennom en funksjon i PowerShell-distribusjonsskriptet kalt fra arbeidsflyten eller samlebåndet. Hvis du vil ha mer informasjon om hvordan du implementerer disse tilpassingene, kan du se Tilpasse distribusjoner av repositorium.
Behandle Microsoft Sentinel repositorier ved hjelp av API-en
Hvis du vil ha informasjon om hvordan du administrerer Microsoft Sentinel repositorier ved hjelp av API-en, kan du se handlingene kildekontroll og kildekontroller i rest-API-en for Microsoft Sentinel.
Viktig
Fra og med juni 2026 støttes ikke lenger eldre API-versjoner som brukes av Microsoft Sentinel repositorier. Hvis du bruker API-er til å opprette og administrere repositoriumtilkoblinger, går du over til API-versjon 2025-09-01, 2025-06-01 eller 2025-07-01-preview før 15. juni 2026 for å unngå tjenesteavbrudd. Eksisterende repositoriumtilkoblinger påvirkes ikke.
Neste trinn
Få flere eksempler og trinnvise instruksjoner om hvordan du distribuerer Microsoft Sentinel repositorier.