نشر محتوى مخصص من المستودع (معاينة عامة)

مقالة
05/05/2022
قراءة خلال 12 دقائق

هام

صفحة مستودعات Microsoft Sentinel قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

محتوى Microsoft Sentinel هو معلومات الأمان وإدارة الأحداث (SIEM) أو موارد تنسيق الأمان والأتمتة والاستجابة (SOAR) التي تساعد العملاء في استيعاب الاستجابة ومراقبتها والتنبيه والتتبع وأتمتتها والمزيد في Microsoft Sentinel. على سبيل المثال، يتضمن محتوى Microsoft Sentinel موصلات البيانات والمحللات والمصنفات وقواعد التحليلات. لمزيد من المعلومات، راجع حول محتوى Microsoft Sentinel وحلوله.

يمكنك استخدام المحتوى الجاهز (المضمن) المتوفر في مركز محتوى Microsoft Sentinel وتخصيصه لاحتياجاتك الخاصة، أو إنشاء المحتوى المخصص الخاص بك من البداية.

عند إنشاء محتوى مخصص، يمكنك تخزينه وإدارته في مساحات عمل Microsoft Sentinel الخاصة بك، أو مستودع التحكم بالمصادر الخارجية، بما في ذلك مستودعات GitHub وAzure DevOps. توضح هذه المقالة كيفية إنشاء وإدارة الاتصالات بين Microsoft Sentinel ومستودعات التحكم بالمصادر الخارجية. تتيح لك إدارة المحتوى في مستودع خارجي إجراء تحديثات لهذا المحتوى خارج Microsoft Sentinel، ونشره تلقائيا في مساحات العمل الخاصة بك.

تلميح

لا تصف هذه المقالة كيفية إنشاء أنواع معينة من المحتوى من البداية. لمزيد من المعلومات، راجع microsoft Sentinel ذات الصلة GitHub wiki لكل نوع محتوى.

المتطلبات الأساسية والنطاق

قبل توصيل مساحة عمل Microsoft Sentinel بمستودع التحكم بالمصادر الخارجية، تأكد من أن لديك:

الوصول إلى مستودع GitHub أو Azure DevOps، مع أي ملفات محتوى مخصصة تريد نشرها في مساحات العمل الخاصة بك، في قوالب Azure Resource Manager (ARM) ذات الصلة.

يدعم Microsoft Sentinel حاليا الاتصالات فقط مع مستودعات GitHub وAzure DevOps.
دور المالك في مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel. هذا الدور مطلوب لإنشاء الاتصال بين Microsoft Sentinel ومستودع التحكم بالمصادر. إذا لم تتمكن من استخدام دور المالك في بيئتك، يمكنك بدلا من ذلك استخدام الجمع بين أدوار مسؤول وصول المستخدم ومساهم Sentinel لإنشاء الاتصال.

الحد الأقصى للاتصالات والنشرات

تقتصر كل مساحة عمل Microsoft Sentinel حاليا على خمسة اتصالات.
تقتصر كل مجموعة موارد Azure على 800 عملية نشر في محفوظات النشر الخاصة بها. إذا كان لديك حجم كبير من عمليات نشر قالب ARM في مجموعة (مجموعات) الموارد الخاصة بك، فقد ترى خطأ Deployment QuotaExceeded . لمزيد من المعلومات، راجع DeploymentQuotaExceededed في وثائق قوالب Azure Resource Manager.

التحقق من صحة المحتوى

لا يؤدي نشر المحتوى إلى Microsoft Sentinel عبر اتصال مستودع إلى التحقق من صحة هذا المحتوى بخلاف التحقق من أن البيانات بتنسيق قالب ARM الصحيح.

نوصي بالتحقق من صحة قوالب المحتوى باستخدام عملية التحقق العادية. يمكنك الاستفادة من عملية التحقق من صحة GitHub Microsoft Sentinel وأدواتها لإعداد عملية التحقق من الصحة الخاصة بك.

الاتصال مستودع

يصف هذا الإجراء كيفية توصيل مستودع GitHub أو Azure DevOps بمساحة عمل Microsoft Sentinel، حيث يمكنك حفظ المحتوى المخصص وإدارته، بدلا من Microsoft Sentinel.

يمكن أن يدعم كل اتصال أنواعا متعددة من المحتوى المخصص، بما في ذلك قواعد التحليلات وقواعد التشغيل التلقائي واستعلامات التتبع والمحللات ودلائل المبادئ والمصنفات. لمزيد من المعلومات، راجع حول محتوى Microsoft Sentinel وحلوله.

لإنشاء اتصالك:

تأكد من تسجيل الدخول إلى تطبيق التحكم بالمصادر باستخدام بيانات الاعتماد التي تريد استخدامها للاتصال. إذا كنت قد سجلت الدخول حاليا باستخدام بيانات اعتماد مختلفة، فقم بتسجيل الخروج أولا.
في Microsoft Sentinel، على اليسار ضمن إدارة المحتوى، حدد Repositories.
حدد إضافة جديد، ثم في صفحة إنشاء اتصال جديد ، أدخل اسما ووصفا ذا معنى لاتصالك.
من القائمة المنسدلة التحكم بالمصادر ، حدد نوع المستودع الذي تريد الاتصال به، ثم حدد تخويل.
حدد إحدى علامات التبويب التالية، استنادا إلى نوع الاتصال:
- GitHub
- Azure DevOps
1. أدخل بيانات اعتماد GitHub عند مطالبتك.
  
  في المرة الأولى التي تضيف فيها اتصالا، سترى نافذة مستعرض أو علامة تبويب جديدة، مما يطالبك بتخويل الاتصال ب Microsoft Sentinel. إذا قمت بتسجيل الدخول بالفعل إلى حساب GitHub الخاص بك على نفس المستعرض، فسيتم ملء بيانات اعتماد GitHub تلقائيا.
2. تظهر منطقة المستودع الآن في صفحة إنشاء اتصال جديد ، حيث يمكنك تحديد مستودع موجود للاتصال به. حدد المستودع الخاص بك من القائمة، ثم حدد Add repository.
  
  في المرة الأولى التي تتصل فيها بمستودع معين، سترى نافذة مستعرض جديدة أو علامة تبويب جديدة، مما يطالبك بتثبيت تطبيق Azure-Sentinel على مستودعك. إذا كان لديك مستودعات متعددة، فحدد المستودعات التي تريد تثبيت تطبيق Azure-Sentinel فيها، وقم بتثبيته.
  
  سيتم توجيهك إلى GitHub لمتابعة تثبيت التطبيق.
3. بعد تثبيت تطبيق Azure-Sentinel في المستودع الخاص بك، يتم ملء القائمة المنسدلة Branch في صفحة Create a new connection بفروعك. حدد الفرع الذي تريد الاتصال بمساحة عمل Microsoft Sentinel.
4. من القائمة المنسدلة أنواع المحتويات ، حدد نوع المحتوى الذي ستقوم بنشره.
  - يستخدم كل من المحللين واستعلامات التتبع واجهة برمجة تطبيقات عمليات البحث المحفوظة لنشر المحتوى إلى Microsoft Sentinel. إذا حددت أحد أنواع المحتويات هذه، وكان لديك أيضا محتوى من النوع الآخر في الفرع الخاص بك، يتم نشر نوعي المحتوى.
  - بالنسبة لجميع أنواع المحتويات الأخرى، يؤدي تحديد نوع محتوى في جزء إنشاء اتصال جديد إلى نشر هذا المحتوى فقط إلى Microsoft Sentinel. لا يتم نشر محتوى الأنواع الأخرى.
5. حدد ⁧⁩إنشاء⁧⁩ لإنشاء الاتصال. على سبيل المثال:
ملاحظة

بسبب القيود عبر المستأجرين، إذا كنت تقوم بإنشاء اتصال كمستخدم ضيف على مساحة العمل، فلن يظهر عنوان URL Azure DevOps في القائمة المنسدلة. أدخله يدويا بدلا من ذلك.

يتم تفويضك تلقائيا إلى Azure DevOps باستخدام بيانات اعتماد Azure الحالية. لضمان اتصال صالح، تحقق من أنك قد أذنت لنفس حساب Azure DevOps الذي تتصل به من Microsoft Sentinel أو استخدم نافذة مستعرض InPrivate لإنشاء اتصالك.
1. في Microsoft Sentinel، من القوائم المنسدلة التي تظهر، حدد أنواع المحتوى والمؤسسةProjectوالمستودعوالفرعوالمحتوى.
  - يستخدم كل من المحللين واستعلامات التتبع واجهة برمجة تطبيقات عمليات البحث المحفوظة لنشر المحتوى إلى Microsoft Sentinel. إذا حددت أحد أنواع المحتويات هذه، وكان لديك أيضا محتوى من النوع الآخر في الفرع الخاص بك، يتم نشر نوعي المحتوى.
  - بالنسبة لجميع أنواع المحتويات الأخرى، يؤدي تحديد نوع محتوى في جزء إنشاء اتصال جديد إلى نشر هذا المحتوى فقط إلى Microsoft Sentinel. لا يتم نشر محتوى الأنواع الأخرى.
2. حدد ⁧⁩إنشاء⁧⁩ لإنشاء الاتصال. على سبيل المثال:
ملاحظة

لا يمكنك إنشاء اتصالات مكررة، بنفس المستودع والفرع، في مساحة عمل Microsoft Sentinel واحدة.

بعد إنشاء الاتصال، يتم إنشاء سير عمل أو مسار جديد في المستودع الخاص بك، ويتم نشر المحتوى المخزن في المستودع الخاص بك إلى مساحة عمل Microsoft Sentinel.

قد يختلف وقت النشر استنادا إلى حجم المحتوى الذي تقوم بنشره.

عرض حالة التوزيع

في GitHub: في علامة التبويب إجراءات المستودع. حدد ملف سير العمل .yaml الموضح هناك للوصول إلى سجلات التوزيع التفصيلية وأي رسائل خطأ محددة، إذا كان ذلك مناسبا.
في Azure DevOps: في علامة التبويب Pipelines الخاصة بالمستودع.

بعد اكتمال النشر:

يتم عرض المحتوى المخزن في المستودع الخاص بك في مساحة عمل Microsoft Sentinel، في صفحة Microsoft Sentinel ذات الصلة.
يتم تحديث تفاصيل الاتصال في صفحة المستودعات بالارتباط إلى سجلات نشر الاتصال. على سبيل المثال:

تحسين أداء النشر باستخدام عمليات التوزيع الذكية

عمليات النشر الذكية هي إمكانية خلفية تحسن أداء عمليات النشر من خلال تعقب التعديلات التي تم إجراؤها على ملفات المحتوى لمستودع/فرع متصل باستخدام ملف csv داخل المجلد '.sentinel' في المستودع الخاص بك. من خلال تعقب التعديلات التي تم إجراؤها على المحتوى في كل تثبيت بنشاط، ستتجنب مستودعات Microsoft Sentinel إعادة نشر أي محتوى لم يتم تعديله منذ آخر نشر في مساحة عمل Microsoft Sentinel. سيؤدي ذلك إلى تحسين أداء النشر وتجنب العبث عن غير قصد بالمحتوى الذي لم يتغير في مساحة العمل، مثل إعادة تعيين الجداول الديناميكية لقواعد التحليلات الخاصة بك عن طريق إعادة توزيعها.

بينما يتم تمكين عمليات النشر الذكية بشكل افتراضي على الاتصالات التي تم إنشاؤها حديثا، فإننا نفهم أن بعض العملاء يفضلون نشر جميع محتويات التحكم بالمصادر الخاصة بهم في كل مرة يتم فيها تشغيل التوزيع، بغض النظر عما إذا كان هذا المحتوى قد تم تعديله أم لا. يمكنك تعديل سير العمل الخاص بك لتعطيل عمليات التوزيع الذكية لجعل اتصالك ينشر جميع المحتويات بغض النظر عن حالة التعديل الخاصة به. راجع تخصيص سير عمل التوزيع لمزيد من التفاصيل.

ملاحظة

تم إطلاق هذا capapbilty في المعاينة العامة في 20 أبريل 2022. يجب تحديث الاتصالات التي تم إنشاؤها قبل التشغيل أو إعادة إنشائها حتى يتم تشغيل عمليات النشر الذكية.

تخصيص سير عمل التوزيع

ينشر نشر المحتوى الافتراضي جميع المحتويات المخصصة ذات الصلة من فرع المستودع المتصل كلما تم إجراء دفع إلى أي شيء في هذا الفرع.

إذا كان التكوين الافتراضي لنشر المحتوى الخاص بك من GitHub أو Azure DevOps لا يلبي جميع متطلباتك، يمكنك تعديل التجربة لتناسب احتياجاتك.

على سبيل المثال، قد ترغب في إيقاف تشغيل عمليات النشر الذكية أو تكوين مشغلات نشر مختلفة أو نشر المحتوى فقط من مجلد جذر معين.

حدد إحدى علامات التبويب التالية استنادا إلى نوع الاتصال:

GitHub
Azure DevOps

لتخصيص سير عمل توزيع GitHub:

في GitHub، انتقل إلى المستودع الخاص بك وابحث عن سير العمل في .github/workflows الدليل.

يظهر اسم سير العمل في السطر الأول من ملف سير العمل، ويحتوي على اصطلاح التسمية الافتراضي التالي: Deploy Content to <workspace-name> [<deployment-id>].

على سبيل المثال:name: Deploy Content to repositories-demo [xxxxx-dk5d-3s94-4829-9xvnc7391v83a]
حدد زر القلم الرصاص في أعلى يمين الصفحة لفتح الملف لتحريره، ثم قم بتعديل النشر كما يلي:
- لتعديل مشغل التوزيع، قم بتحديث on القسم في التعليمات البرمجية، والذي يصف الحدث الذي يقوم بتشغيل سير العمل لتشغيله.
  
  بشكل افتراضي، يتم تعيين هذا التكوين إلى on: push، مما يعني أنه يتم تشغيل سير العمل في أي دفعة إلى الفرع المتصل، بما في ذلك كل من التعديلات على المحتوى الموجود وإضافات المحتوى الجديد إلى المستودع. على سبيل المثال:
```
on:
    push:
        branches: [ main ]
        paths:
        - `**`
        - `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
        - `.github/workflows/sentinel-deploy-<deployment-id>.yml`
```
  قد تحتاج إلى تغيير هذه الإعدادات، على سبيل المثال، لجدولة سير العمل ليتم تشغيله بشكل دوري، أو لدمج أحداث سير العمل المختلفة معا.
  
  لمزيد من المعلومات، راجع وثائق GitHub حول تكوين أحداث سير العمل.
- لتعديل مسار التوزيع:
  
  في التكوين الافتراضي الموضح أعلاه للمقطع on ، تشير أحرف البدل (**) في السطر الأول في paths المقطع إلى أن الفرع بأكمله في مسار مشغلات التوزيع.
  
  يعني هذا التكوين الافتراضي أن سير عمل التوزيع يتم تشغيله في أي وقت يتم فيه دفع المحتوى إلى أي جزء من الفرع.
  
  في وقت لاحق في الملف، jobs يتضمن القسم التكوين الافتراضي التالي: directory: '${{ github.workspace }}'. يشير هذا السطر إلى أن الفرع GitHub بأكمله موجود في مسار نشر المحتوى، دون التصفية لأي مسارات مجلد.
  
  لنشر المحتوى من مسار مجلد معين فقط، أضفه إلى كل من paths والتكوين directory . على سبيل المثال، لنشر المحتوى فقط من مجلد جذر يسمى SentinelContent، قم بتحديث التعليمات البرمجية الخاصة بك كما يلي:
```
paths:
- `SentinelContent/**`
- `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
- `.github/workflows/sentinel-deploy-<deployment-id>.yml`

...
    directory: '${{ github.workspace }}/SentinelContent'
```
- لتعطيل عمليات النشر الذكية: انتقل إلى jobs قسم من سير العمل. قم بتبديل القيمة الافتراضية smartDeployment (عادة في السطر 33) من true إلى false. سيؤدي هذا إلى إيقاف تشغيل وظيفة عمليات النشر الذكية وستعيد جميع عمليات النشر المستقبلية لهذا الاتصال نشر جميع ملفات المحتوى ذات الصلة بالمستودع إلى مساحة (مساحات) العمل المتصلة بمجرد تنفيذ هذا التغيير.

لمزيد من المعلومات، راجع وثائق GitHub حول إجراءات GitHub وتحرير مهام سير عمل GitHub.

لتخصيص البنية الأساسية لبرنامج ربط العمليات التجارية لتوزيع Azure DevOps:

في Azure DevOps، انتقل إلى المستودع الخاص بك وابحث عن ملف تعريف البنية الأساسية لبرنامج ربط العمليات التجارية في .sentinel الدليل.

يظهر اسم المسار في السطر الأول من ملف البنية الأساسية لبرنامج ربط العمليات التجارية، ويحتوي على اصطلاح التسمية الافتراضي التالي: Deploy Content to <workspace-name> [<deployment-id>].

على سبيل المثال:name: Deploy Content to repositories-demo [xxxxx-dk5d-3s94-4829-9xvnc7391v83a]
حدد زر القلم الرصاص في أعلى يمين الصفحة لفتح الملف لتحريره، ثم قم بتعديل النشر كما يلي:
- لتعديل مشغل التوزيع، قم بتحديث trigger القسم في التعليمات البرمجية، والذي يصف الحدث الذي يقوم بتشغيل سير العمل لتشغيله.
  
  بشكل افتراضي، يتم تعيين هذا التكوين للكشف عن أي دفع إلى الفرع المتصل، بما في ذلك كل من التعديلات على المحتوى الموجود وإضافات المحتوى الجديد إلى المستودع.
  
  قم بتعديل هذا المشغل إلى أي مشغلات Azure DevOps متوفرة، مثل جدولة مشغلات طلب السحب أو جدولتها. لمزيد من المعلومات، راجع وثائق مشغل Azure DevOps.
- لتعديل مسار التوزيع:
  
  يحتوي التكوين الافتراضي للمقطع على trigger التعليمات البرمجية التالية، والتي تشير إلى أن main الفرع في مسار مشغلات التوزيع:
```
trigger:
    branches:
        include:
        - main
```
  يعني هذا التكوين الافتراضي أنه يتم تشغيل البنية الأساسية لبرنامج ربط العمليات التجارية للتوزيع في أي وقت يتم فيه دفع المحتوى إلى أي جزء من main الفرع.
  
  لنشر المحتوى من مسار مجلد معين فقط، أضف اسم المجلد إلى include المقطع، للمشغل، والمقطع steps ، لمسار النشر، أدناه حسب الحاجة.
  
  على سبيل المثال، لنشر المحتوى فقط من مجلد جذر يسمى SentinelContent في الفرع الخاص بكmain، أضف workingDirectoryinclude وإعدادات إلى التعليمات البرمجية الخاصة بك كما يلي:
```
paths:
    exclude:
    - .sentinel/*
    include:
    - .sentinel/sentinel-deploy-39d8ekc8-397-5963-49g8-5k63k5953829.yml
    - SentinelContent
....
steps:
- task: AzurePowerShell@5
  inputs:
    azureSubscription: `Sentinel_Deploy_ServiceConnection_0000000000000000`
    workingDirectory: `SentinelContent`
```
- لتعطيل عمليات النشر الذكية: انتقل إلى قسم البنية ScriptArguments الأساسية لبرنامج ربط العمليات التجارية الخاصة بك. قم بتبديل القيمة الافتراضية smartDeployment (عادة في السطر 33) من true إلى false. سيؤدي هذا إلى إيقاف تشغيل وظيفة عمليات النشر الذكية وستعيد جميع عمليات النشر المستقبلية لهذا الاتصال نشر جميع ملفات المحتوى ذات الصلة بالمستودع إلى مساحة (مساحات) العمل المتصلة بمجرد تنفيذ هذا التغيير.

لمزيد من المعلومات، راجع وثائق Azure DevOps على مخطط Azure DevOps YAML.

هام

في كل من GitHub وAzure DevOps، تأكد من الاحتفاظ بمسار المشغل ودلائل مسار التوزيع متسقة.

تحرير المحتوى أو حذفه في المستودع

بعد إنشاء اتصال بمستودع التحكم بالمصادر بنجاح، في أي وقت يتم فيه تعديل المحتوى في هذا المستودع أو إضافته، يتم تشغيل سير عمل النشر مرة أخرى وينشر جميع المحتويات في المستودع إلى جميع مساحات عمل Microsoft Sentinel المتصلة.

نوصي بتحرير أي محتوى مخزن في مستودع متصل فقط في المستودع، وليس في Microsoft Sentinel. على سبيل المثال، لإجراء تغييرات على قواعد التحليلات، قم بذلك مباشرة في GitHub أو Azure DevOps.

إذا قمت بتحرير المحتوى في Microsoft Sentinel، فتأكد من تصديره إلى مستودع التحكم بالمصادر لمنع الكتابة فوق التغييرات في المرة التالية التي يتم فيها نشر محتوى المستودع إلى مساحة العمل الخاصة بك.

إذا كنت تقوم بحذف المحتوى، فتأكد من حذفه من كل من المستودع ومدخل Azure. لا يؤدي حذف المحتوى من المستودع إلى حذفه من مساحة عمل Microsoft Sentinel.

إزالة اتصال مستودع

يصف هذا الإجراء كيفية إزالة الاتصال بمستودع التحكم بالمصادر من Microsoft Sentinel.

لإزالة الاتصال:

في Microsoft Sentinel، على اليسار ضمن إدارة المحتوى، حدد Repositories.
في الشبكة، حدد الاتصال الذي تريد إزالته، ثم حدد حذف.
حدد "Yes" لتأكيد الحذف.

بعد إزالة الاتصال، يبقى المحتوى الذي تم نشره مسبقا عبر الاتصال في مساحة عمل Microsoft Sentinel. لا يتم نشر المحتوى الذي تمت إضافته إلى المستودع بعد إزالة الاتصال.

تلميح

إذا واجهت مشكلات أو رسالة خطأ عند حذف الاتصال، نوصي بالتحقق من التحكم بالمصادر للتأكد من حذف سير العمل GitHub أو مسار Azure DevOps المقترن بالاتصال.

إزالة تطبيق Microsoft Sentinel من مستودع GitHub

إذا كنت تنوي حذف تطبيق Microsoft Sentinel من مستودع GitHub، نوصي أولا بإزالة كافة الاتصالات المقترنة من صفحة مستودعات Microsoft Sentinel.

يحتوي كل تثبيت لتطبيق Microsoft Sentinel على معرف فريد يتم استخدامه عند إضافة الاتصال وإزالته. إذا كان المعرف مفقودا أو تم تغييره، فستحتاج إلى إزالة الاتصال من صفحة مستودعات Microsoft Sentinel وإزالة سير العمل يدويا من مستودع GitHub لمنع أي عمليات نشر محتوى مستقبلية.

الخطوات التالية

استخدم المحتوى المخصص في Microsoft Sentinel بنفس الطريقة التي تستخدم بها المحتوى الجاهز.

لمزيد من المعلومات، انظر: