Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
met Microsoft Sentinel opslagplaatsen kunt u aangepaste Sentinel inhoud implementeren en beheren vanuit een externe opslagplaats voor broncodebeheer voor continue integratie/continue levering (CI/CD). Deze automatisering zorgt ervoor dat er geen handmatige processen meer nodig zijn om uw aangepaste inhoud in werkruimten bij te werken en te implementeren. Een subset van inhoud als code is detecties als code (DaC). Microsoft Sentinel Opslagplaatsen implementeert ook DaC.
Zie Over Microsoft Sentinel inhoud en oplossingen voor meer informatie over Sentinel inhoud.
Hoe Microsoft Sentinel-opslagplaatsen werken
U kunt deze Microsoft Sentinel aangepaste inhoudstypen implementeren vanuit een externe opslagplaats voor broncodebeheer waarmee u verbinding maakt Microsoft Sentinel:
- Analyseregels
- Automatiseringsregels
- Opsporingsquery's
- Parsers
- Playbooks
- Werkmappen
Updates u aanbrengt in de inhoud in uw Microsoft Sentinel opslagplaatsen worden gesynchroniseerd met uw Microsoft Sentinel werkruimte en eventuele wijzigingen die u in die inhoud aanbrengt, overschreven via de Microsoft Sentinel portal. Uw Microsoft Sentinel opslagplaatsen worden uw enige waarheidsbron voor aangepaste inhoud in de verbonden werkruimten.
De verbinding met de opslagplaats plannen
Microsoft Sentinel opslagplaatsen vereisen een zorgvuldige planning om ervoor te zorgen dat u de juiste machtigingen hebt van uw werkruimte naar de opslagplaats (opslagplaats) die u wilt verbinden.
- Alleen verbindingen met GitHub- en Azure DevOps-opslagplaatsen worden ondersteund.
- Samenwerkende toegang tot uw GitHub-opslagplaats of projectbeheerdertoegang tot uw Azure DevOps-opslagplaats is vereist.
- De Microsoft Sentinel toepassing moet worden geautoriseerd voor uw opslagplaats.
- Acties moeten zijn ingeschakeld voor GitHub.
- Pijplijnen moeten zijn ingeschakeld voor Azure DevOps.
- Een Azure DevOps-verbinding moet zich in dezelfde tenant bevinden als uw Microsoft Sentinel werkruimte.
Voor het maken van een verbinding met een opslagplaats is de rol Eigenaar vereist in de resourcegroep die uw Microsoft Sentinel werkruimte bevat.
Als u inhoud vindt in een openbare opslagplaats waar u geen inzender bent, importeert, verdeelt of kloont u de inhoud eerst naar een opslagplaats waar u een bijdrager bent. Verbind vervolgens uw opslagplaats met uw Microsoft Sentinel werkruimte. Zie Aangepaste inhoud implementeren vanuit uw opslagplaats voor meer informatie.
Maximum aantal verbindingen en implementaties
- Elke Microsoft Sentinel werkruimte is momenteel beperkt tot vijf opslagplaatsverbindingen.
- Elke Azure resourcegroep is beperkt tot 800 implementaties in de implementatiegeschiedenis. Als u een groot aantal sjabloonimplementaties in een of meer van uw resourcegroepen hebt, wordt de
Deployment QuotaExceededfout mogelijk weergegeven. Zie DeploymentQuotaExceeded in de documentatie over Azure Resource Manager sjablonen voor meer informatie.
Inhoud van uw opslagplaats plannen
Microsoft Sentinel opslagplaatsen ondersteunen de implementatie van inhoud die u opslaat als Bicep-bestanden of arm-sjablonen (Azure Resource Manager). U wordt aangeraden Bicep te gebruiken. Dit is intuïtiever en maakt het eenvoudiger om Azure resources en Microsoft Sentinel inhoud te beschrijven.
De sjabloon voor elk inhoudstype heeft een specifieke structuur en parameternaam, zoals beschreven in de sjabloonreferentie voor Sentinel resources. Zie OpslagplaatsenSampleContent-opslagplaats voor voorbeelden van elk inhoudstype.
We hebben een voorbeeldopslagplaats geleverd met sjablonen voor elk van de vermelde inhoudstypen. De opslagplaats laat ook zien hoe u geavanceerde functies van opslagplaatsverbindingen gebruikt. Zie Microsoft Sentinel voorbeeld van CI/CD-opslagplaatsen voor meer informatie.
Hoewel u helemaal zelf sjablonen kunt bouwen, is het vaak eenvoudiger om te beginnen met de YAML-bestanden van Sentinel openbare GitHub-opslagplaats of vanuit out-of-the-box Microsoft Sentinel inhoud. In deze tabel wordt beschreven hoe u een ARM-sjabloon converteert voor gebruik met Microsoft Sentinel-opslagplaatsen.
| Inhoudstype | Converteren van Sentinel openbare YAML | Exporteren vanuit Sentinel | Sjabloonreferentie | Voorbeeldsjablonen |
|---|---|---|---|---|
| Analytische regels | PowerShell-script | Functie of PowerShell-script exporteren | Verwijzing | ARM-sjablonen |
| Automatiseringsregels | N.v.t. | Functie of PowerShell-scripts exporteren | Verwijzing | N.v.t. |
| Opsporingsquery's | PowerShell-script | CLI-opdrachten Azure | Verwijzing | Voorbeeldinhoud |
| Parsers | ASIM PowerShell-script | CLI-opdrachten Azure | Verwijzing | Sjablonen |
| Playbooks | N.v.t. | PowerShell-hulpprogramma | Verwijzing | N.v.t. |
| Werkmappen | N.v.t. | Werkmappen exporteren als ARM-sjablonen | Verwijzing | N.v.t. |
Belangrijk
Bicep-overwegingen:
- Als u Bicep-bestanden wilt gebruiken, moet de verbinding met opslagplaatsen worden bijgewerkt als uw verbinding vóór 1 november 2024 is gemaakt. Opslagplaatsverbindingen moeten worden verwijderd en opnieuw worden gemaakt om bij te werken.
- Bicep-bestanden ondersteunen de
ideigenschap niet. Wanneer u ARM JSON decompileert naar Bicep, moet u ervoor zorgen dat u deze eigenschap niet hebt. Analytische regelsjablonen die uit Microsoft Sentinel zijn geëxporteerd, hebben bijvoorbeeld deideigenschap die moet worden verwijderd. - Wijzig het ARM JSON-schema in versie
2019-04-01voor de beste resultaten bij het decompileren.
Belangrijk
Analytische regels die zijn geïmplementeerd met de functie Microsoft Sentinel Opslagplaatsen kunnen alleen query's voor meerdere werkruimten gebruiken als de doelwerkruimte zich in dezelfde resourcegroep bevindt als de werkruimte die is verbonden met de opslagplaats.
Zie de relevante Microsoft Sentinel GitHub-wiki voor elk inhoudstype voor meer informatie over het maken van aangepaste inhoud.
Prestaties verbeteren met slimme implementaties
Tip
Om ervoor te zorgen dat slimme implementaties werken in GitHub, moeten werkstromen lees- en schrijfmachtigingen hebben voor uw opslagplaats. Zie GitHub Actions-instellingen voor een opslagplaats beheren voor meer informatie.
De functie voor slimme implementaties is een back-endfunctie die de prestaties verbetert door wijzigingen in de inhoudsbestanden van een verbonden opslagplaats actief bij te houden. Er wordt een CSV-bestand in de .sentinel map in uw opslagplaats gebruikt om elke doorvoer te controleren. De werkstroom voorkomt opnieuw implementeren van inhoud die niet is gewijzigd sinds de laatste implementatie. Dit proces verbetert de prestaties van uw implementatie en voorkomt manipulatie met ongewijzigde inhoud in uw werkruimte, zoals het opnieuw instellen van dynamische planningen van uw analyseregels.
Slimme implementaties zijn standaard ingeschakeld voor zojuist gemaakte verbindingen. Als u de voorkeur geeft aan alle inhoud voor broncodebeheer die wordt geïmplementeerd telkens wanneer een implementatie wordt geactiveerd, ongeacht of die inhoud is gewijzigd of niet, wijzigt u uw werkstroom om slimme implementaties uit te schakelen. Zie De werkstroom of pijplijn aanpassen voor meer informatie.
Aanpassingsopties voor implementatie overwegen
Houd rekening met de volgende aanpassingsopties bij het implementeren van inhoud met Microsoft Sentinel opslagplaatsen.
De werkstroom of pijplijn aanpassen
Pas de werkstroom of pijplijn op een van de volgende manieren aan:
- verschillende implementatietriggers configureren
- alleen inhoud implementeren vanuit een specifieke hoofdmap voor een bepaalde werkruimte
- de werkstroom periodiek uitvoeren plannen
- verschillende werkstroomevenementen combineren
- slimme implementaties uitschakelen
Deze aanpassingen worden gedefinieerd in een .yml bestand dat specifiek is voor uw werkstroom of pijplijn. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie over het implementeren
De implementatie aanpassen
Zodra de werkstroom of pijplijn is geactiveerd, ondersteunt de implementatie de volgende scenario's:
- prioriteit geven aan inhoud die moet worden geïmplementeerd vóór de rest van de opslagplaatsinhoud
- inhoud uitsluiten van implementatie
- ARM-sjabloonparameterbestanden opgeven
Deze opties zijn beschikbaar via een functie van het PowerShell-implementatiescript dat wordt aangeroepen vanuit de werkstroom of pijplijn. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie over het implementeren van deze aanpassingen.
Microsoft Sentinel-opslagplaatsen beheren met behulp van de API
Zie de acties broncodebeheer en broncodebeheer in de Microsoft Sentinel REST API voor meer informatie over het beheren van Microsoft Sentinel opslagplaatsen met behulp van de API.
Belangrijk
Vanaf juni 2026 worden oudere API-versies die door Microsoft Sentinel opslagplaatsen worden gebruikt, niet meer ondersteund. Als u API's gebruikt om opslagplaatsverbindingen te maken en te beheren, gaat u vóór 15 juni 2026 over naar API-versie 2025-09-01, 2025-06-01 of 2025-07-01-preview om serviceonderbreking te voorkomen. Bestaande opslagplaatsverbindingen worden niet beïnvloed.
Volgende stappen
Meer voorbeelden en stapsgewijze instructies voor het implementeren van Microsoft Sentinel opslagplaatsen.