Terapkan konten khusus dari repositori Anda (Pratinjau publik)

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Saat membuat konten kustom, Anda dapat mengelolanya dari ruang kerja Microsoft Sentinel Anda sendiri, atau repositori kontrol sumber eksternal. Artikel ini menjelaskan cara membuat dan mengelola koneksi antara Microsoft Sentinel dan repositori GitHub atau Azure DevOps. Mengelola konten Anda di repositori eksternal memungkinkan Anda membuat pembaruan pada konten tersebut di luar Microsoft Azure Sentinel, dan secara otomatis menyebarkannya ke ruang kerja Anda. Untuk mengetahui informasi selengkapnya, lihat Memperbarui konten khusus dengan koneksi repositori.

Penting

• Fitur Repositori Microsoft Sentinel sedang dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
• Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat dan ruang lingkup

Microsoft Sentinel saat ini mendukung koneksi ke repositori GitHub dan Azure DevOps. Sebelum menghubungkan ruang kerja Microsoft Sentinel ke repositori kontrol sumber, pastikan Anda memiliki:

• Peran Pemilik dalam grup sumber daya yang berisi ruang kerja Microsoft Sentinel Anda atau kombinasi peran Administrator Akses Pengguna dan Kontributor Sentinel untuk membuat koneksi
• Akses kolaborator ke repositori GitHub atau akses Administrator Proyek ke repositori Azure DevOps Anda
• Tindakan yang diaktifkan untuk GitHub dan Alur yang diaktifkan untuk Azure DevOps
• Akses aplikasi pihak ketiga melalui OAuth diaktifkan untuk kebijakan koneksi aplikasi Azure DevOps.
• Pastikan file konten khusus yang ingin disebarkan ke ruang kerja Anda berada di templat Azure Resource Manager (ARM) yang relevan.

Untuk informasi selengkapnya, lihat Memvalidasi konten Anda.

Hubungkan repositori

Prosedur ini menjelaskan cara menyambungkan repositori GitHub atau Azure DevOps ke ruang kerja Microsoft Azure Sentinel Anda.

Setiap koneksi dapat mendukung beberapa jenis konten kustom, termasuk aturan analitik, aturan otomatisasi, kueri berburu, parser, buku pedoman, dan buku kerja. Untuk informasi selengkapnya, lihat Tentang konten dan solusi Microsoft Azure Sentinel.

Anda tidak dapat membuat koneksi duplikat, dengan repositori dan cabang yang sama, dalam satu ruang kerja Microsoft Azure Sentinel.

Buat koneksi Anda:

1. Pastikan Anda masuk ke aplikasi kontrol sumber dengan kredensial yang ingin Anda gunakan untuk koneksi Anda. Jika saat ini Anda masuk menggunakan kredensial yang berbeda, keluarlah terlebih dahulu.

2. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen konten, pilih Repositori.
   Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Repositori manajemen>Konten Microsoft Sentinel.>

3. Pilih Tambahkan baru, lalu, pada halaman Buat koneksi penyebaran baru, masukkan nama dan deskripsi yang bermakna untuk koneksi Anda.

4. Dari tarik-turun Kontrol Sumber, pilih jenis repositori yang ingin Anda sambungkan, lalu pilih Otorisasi.

5. Pilih salah satu tab berikut, tergantung pada jenis koneksi Anda:

   GitHub

   1. Masukkan kredensial GitHub Anda saat diminta.

      Saat pertama kali menambahkan koneksi, Anda diminta untuk mengotorisasi koneksi ke Microsoft Azure Sentinel. Jika Anda sudah masuk ke akun GitHub Anda di browser yang sama, kredensial GitHub Anda akan diisi otomatis.

   2. Area Repositori sekarang muncul di halaman Buat koneksi penyebaran baru, tempat Anda dapat memilih repositori yang sudah ada untuk disambungkan. Pilih repositori Anda dari daftar, lalu pilih Tambahkan repositori.

      Saat pertama kali terhubung ke repositori tertentu, Anda akan melihat jendela atau tab browser baru, yang meminta Anda untuk menginstal aplikasi Azure-Sentinel di repositori Anda. Jika Anda memiliki beberapa repositori, pilih salah satu tempat Anda ingin menginstal aplikasi Azure-Sentinel, dan menginstalnya.

      Anda diarahkan ke GitHub untuk melanjutkan penginstalan aplikasi.

   3. Setelah aplikasi Azure-Sentinel diinstal di repositori Anda, dropdown Cabang di halaman Buat koneksi penyebaran baru diisi dengan cabang Anda. Pilih cabang yang ingin Anda sambungkan ke ruang kerja Microsoft Azure Sentinel Anda.

   4. Dari menu dropdown Tipe Konten, pilih jenis konten yang Anda sebarkan.

      • Kueri pengurai dan berburu menggunakan API Penelusuran Tersimpan untuk menyebarkan konten ke Microsoft Azure Sentinel. Jika Anda memilih salah satu dari tipe konten ini, dan juga memiliki konten dari tipe lain di cabang Anda, kedua tipe konten akan disebarkan.

      • Untuk semua tipe konten lainnya, memilih tipe konten di panel Buat koneksi penyebaran baru hanya menyebarkan konten tersebut ke Microsoft Azure Sentinel. Konten jenis lain tidak disebarkan.

   5. Pilih Buat untuk membuat koneksi Anda. Contohnya:

      

   Azure DevOps

   Anda secara otomatis diotorisasi ke Azure DevOps menggunakan kredensial Azure Anda saat ini. Verifikasi bahwa Anda berwenang ke organisasi Azure DevOps yang sama dengan yang Anda sambungkan dari Microsoft Sentinel atau gunakan jendela browser InPrivate untuk membuat koneksi Anda.

   Karena keterbatasan lintas penyewa, jika Anda membuat koneksi sebagai pengguna tamu di ruang kerja, URL Azure DevOps Anda tidak muncul di menu dropdown. Masukkan secara manual sebagai gantinya.

   1. Di Microsoft Azure Sentinel, dari daftar tarik-turun yang muncul, pilih Organisasi, Proyek, Repositori, Cabang, dan Anda Jenis.

      • Kueri pengurai dan berburu menggunakan API Penelusuran Tersimpan untuk menyebarkan konten ke Microsoft Azure Sentinel. Jika Anda memilih salah satu dari tipe konten ini, dan juga memiliki konten dari tipe lain di cabang Anda, kedua tipe konten akan disebarkan.

      • Untuk semua tipe konten lainnya, memilih tipe konten di panel Buat koneksi penyebaran baru hanya menyebarkan konten tersebut ke Microsoft Azure Sentinel. Konten jenis lain tidak disebarkan.

   2. Pilih Buat untuk membuat koneksi Anda. Contohnya:

      

Setelah Anda membuat koneksi, alur kerja atau alur baru dibuat di repositori Anda. Konten yang disimpan di repositori Anda disebarkan ke ruang kerja Microsoft Azure Sentinel Anda.

Waktu penyebaran mungkin bervariasi tergantung pada volume konten yang Anda sebarkan.

Lihat status penyebaran

Di GitHub: Pada tab Tindakan repositori, pilih file .yaml alur kerja untuk mengakses log penyebaran terperinci dan pesan kesalahan tertentu.

Di Azure DevOps: Lihat status penyebaran dari tab Alur repositori.

Setelah penyebaran selesai:

• Konten yang disimpan di repositori Anda ditampilkan di ruang kerja Microsoft Azure Sentinel, di halaman Microsoft Azure Sentinel yang relevan.

• Detail koneksi pada halaman Repositori diperbarui dengan tautan ke log penyebaran koneksi serta status dan waktu penyebaran terakhir. Contohnya:

  

Alur kerja default hanya menyebarkan konten yang dimodifikasi sejak penyebaran terakhir berdasarkan penerapan ke repositori. Tetapi Anda mungkin ingin menonaktifkan penyebaran cerdas atau melakukan penyesuaian lainnya. Misalnya, Anda dapat mengonfigurasi pemicu penyebaran yang berbeda, atau menyebarkan konten secara eksklusif dari folder akar tertentu. Untuk mempelajari lebih lanjut, lihat menyesuaikan penyebaran repositori.

Edit konten

Saat Anda berhasil membuat koneksi ke repositori kontrol sumber, konten Anda disebarkan ke Sentinel. Kami menyarankan agar Anda mengedit konten yang disimpan di repositori yang terhubung hanya di repositori, dan bukan di Microsoft Azure Sentinel. Misalnya, untuk membuat perubahan pada aturan analitik Anda, lakukan secara langsung di GitHub atau Azure DevOps.

Jika Anda mengedit konten di Microsoft Azure Sentinel sebagai gantinya, pastikan untuk mengekspornya ke repositori kontrol sumber Anda untuk mencegah perubahan Anda ditimpa saat konten repositori disebarkan ke ruang kerja Anda.

Menghapus konten

Menghapus konten dari repositori tidak menghapusnya dari ruang kerja Microsoft Sentinel Anda. Jika Anda ingin menghapus konten yang disebarkan melalui repositori, hapus dari repositori dan Microsoft Sentinel Anda. Misalnya, atur filter untuk konten berdasarkan nama sumber untuk memudahkan mengidentifikasi konten dari repositori.

Hapus koneksi repositori

Prosedur ini menjelaskan cara menghapus koneksi ke repositori kontrol sumber dari Microsoft Azure Sentinel.

Untuk menghapus koneksi Anda:

1. Di Microsoft Azure Sentinel, di bawah Manajemen konten, pilih Repositori.
2. Di kisi, pilih koneksi yang ingin Anda hapus, lalu pilih Hapus.
3. Pilih Ya untuk mengonfirmasi penghapusan.

Setelah Anda menghapus koneksi, konten yang sebelumnya disebarkan melalui koneksi tetap berada di ruang kerja Microsoft Azure Sentinel Anda. Konten yang ditambahkan ke repositori setelah menghapus koneksi tidak disebarkan.

Jika Anda mengalami masalah atau pesan kesalahan saat menghapus koneksi, kami sarankan Anda memeriksa kontrol sumber Anda. Konfirmasikan bahwa alur kerja GitHub atau alur Azure DevOps yang terkait dengan koneksi dihapus.

Menghapus aplikasi Microsoft Azure Sentinel dari repositori GitHub Anda

Jika Anda ingin menghapus Aplikasi Microsoft Azure Sentinel dari repositori GitHub, sebaiknya Anda pertama menghapus semua koneksi terkait dari halaman Repositori Microsoft Azure Sentinel.

Setiap penginstalan Aplikasi Microsoft Azure Sentinel memiliki ID unik yang digunakan saat menambahkan dan menghapus koneksi. Jika ID hilang atau diubah, hapus koneksi dari halaman Repositori Microsoft Sentinel dan hapus alur kerja secara manual dari repositori GitHub Anda untuk mencegah penyebaran konten di masa mendatang.

Langkah berikutnya

Gunakan konten kustom Anda di Microsoft Azure Sentinel dengan cara yang sama seperti Anda menggunakan konten bawaan.

Untuk informasi selengkapnya, lihat:

• Menyesuaikan penyebaran repositori
• Temukan dan terapkan solusi Microsoft Azure Sentinel (Pratinjau publik)
• Konektor data Microsoft Azure Sentinel