Share via

Mengelola konten kustom dengan repositori Microsoft Azure Sentinel (pratinjau umum)

  • Artikel

Fitur repositori Microsoft Azure Sentinel memberikan pengalaman terpusat untuk penyebaran dan pengelolaan konten Sentinel sebagai kode. Repositori memungkinkan sambungan ke kontrol sumber eksternal untuk integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD). Automasi ini menghapus beban proses manual untuk memperbarui dan menyebarkan konten kustom Anda di seluruh ruang kerja. Untuk mengetahui informasi selengkapnya mengenai konten Sentinel, lihat Tentang konten dan solusi Microsoft Sentinel.

Penting

Fitur Repositori Microsoft Sentinel saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Merencanakan koneksi repositori Anda

Repositori Microsoft Azure Sentinel memerlukan perencanaan yang cermat untuk memastikan Anda memiliki izin yang tepat dari ruang kerja Anda ke repositori yang ingin Anda sambungkan. Hanya koneksi ke repositori GitHub dan Azure DevOps dengan akses kontributor yang saat ini didukung. Aplikasi Microsoft Azure Sentinel akan memerlukan otorisasi ke repositori Anda dan Tindakan yang diaktifkan untuk GitHub dan Alur yang diaktifkan untuk Azure DevOps.

Repositori memerlukan peran Pemilik di grup sumber daya yang berisi ruang kerja Microsoft Sentinel Anda. Peran ini diperlukan untuk membuat koneksi antara Microsoft Sentinel dan repositori kontrol sumber Anda. Jika tidak dapat menggunakan peran Pemilik di lingkungan Anda, sebagai gantinya Anda dapat menggunakan kombinasi peran Administrator Akses Pengguna dan Kontributor Sentinel untuk membuat koneksi.

Jika menemukan konten di repositori publik saat Anda bukan kontributor, Anda harus memasukkan konten tersebut ke repositori terlebih dahulu. Anda dapat melakukannya dengan melakukan impor, fork, atau klon konten ke repositori tempat Anda menjadi kontributor. Kemudian Anda dapat menyambungkan repositori ke ruang kerja Sentinel Anda. Untuk informasi selengkapnya, lihat Menyebarkan konten khusus dari repositori Anda.

Validasi konten Anda

Jenis konten Microsoft Azure Sentinel berikut dapat disebarkan melalui koneksi repositori:

  • Aturan analitik
  • Aturan automasi
  • Kueri pemburuan
  • Parser
  • Playbook
  • Buku kerja

Tip

Artikel ini tidak menjelaskan cara membuat jenis konten ini dari awal. Untuk informasi selengkapnya, lihat wiki Microsoft Azure Sentinel GitHub yang relevan untuk setiap jenis konten.

Konten repositori harus disimpan sebagai templat ARM. Penyebaran repositori tidak memvalidasi konten kecuali untuk mengonfirmasi bahwa konten tersebut dalam format JSON yang benar.

Langkah pertama untuk memvalidasi konten Anda adalah mengujinya dalam Microsoft Sentinel. Anda juga dapat menerapkan alat dan proses validasi GitHub Microsoft Sentinel untuk melengkapi proses validasi Anda.

Repositori sampel tersedia dengan templat ARM untuk setiap jenis konten yang tercantum di atas. Repositori ini juga menunjukkan cara menggunakan fitur tingkat lanjut koneksi repositori. Untuk informasi selengkapnya, lihat Sampel repositori CICD Sentinel.

Cuplikan layar koneksi repositori yang berhasil. RepositoriesSampleContent ditampilkan. Cuplikan layar ini setelah sampel diimpor dari repositori SentinelCICD ke repositori GitHub privat di organisasi FourthCoffee

Koneksi dan penyebaran maksimum

  • Setiap ruang kerja Microsoft Sentinel saat ini dibatasi hingga lima koneksi.

  • Setiap grup sumber daya Azure dibatasi hingga 800 penyebaran dalam riwayat penyebarannya. Jika Anda memiliki penyebaran templat ARM dengan volume tinggi di grup sumber daya, Anda mungkin akan melihat kesalahan Deployment QuotaExceeded. Untuk informasi selengkapnya, lihat DeploymentQuotaExceeded di dokumentasi template Azure Resource Manager.

Meningkatkan performa penyebaran dengan penyebaran cerdas

Tip

Untuk memastikan penyebaran cerdas berfungsi di GitHub, Alur Kerja harus memiliki izin baca dan tulis di repositori Anda. Lihat Mengelola pengaturan GitHub Actions untuk repositori untuk detail selengkapnya.

Fitur penyebaran cerdas adalah kemampuan backend yang meningkatkan performa dengan secara aktif melacak modifikasi yang dibuat ke file konten pada repositori yang tersambung. Fitur ini menggunakan file CSV dalam folder '.sentinel' di repositori Anda untuk mengaudit setiap penerapan. Alur kerja menghindari penyebaran ulang konten yang belum dimodifikasi sejak penyebaran terakhir. Hal ini akan meningkatkan performa penyebaran Anda dan tidak mengubah konten yang tidak diubah dalam ruang kerja Anda, seperti mengatur ulang jadwal dinamis aturan analitik Anda.

Penyebaran cerdas diaktifkan secara default pada koneksi yang baru dibuat. Jika Anda lebih suka semua konten kontrol sumber disebarkan setiap kali penyebaran dipicu, terlepas dari apakah konten tersebut dimodifikasi atau tidak, Anda dapat memodifikasi alur kerja untuk menonaktifkan penyebaran cerdas. Untuk informasi selengkapnya, lihat Mengkustomisasi alur kerja atau alur.

Catatan

Kemampuan ini diluncurkan dalam pratinjau publik pada 20 April 2022. Koneksi yang dibuat sebelum peluncuran perlu diperbarui atau dibuat ulang agar penyebaran cerdas diaktifkan.

Mempertimbangkan opsi penyesuaian penyebaran

Sejumlah opsi penyesuaian tersedia untuk dipertimbangkan saat menyebarkan konten dengan repositori Microsoft Azure Sentinel.

Mengkustomisasi alur kerja atau alur

Anda mungkin ingin mengkustomisasi alur kerja atau alur dengan salah satu cara berikut:

  • mengonfigurasi pemicu penyebaran yang berbeda
  • menyebarkan konten hanya dari folder akar tertentu untuk ruang kerja tertentu
  • menjadwalkan alur kerja untuk berjalan secara berkala
  • menggabungkan peristiwa alur kerja yang berbeda
  • menonaktifkan penyebaran cerdas

Kustomisasi ini didefinisikan dalam file .yml khusus untuk alur kerja atau alur Anda. Untuk detail selengkapnya tentang cara menerapkan, lihat Menyesuaikan penyebaran repositori

Menyesuaikan penyebaran

Setelah alur kerja atau alur dipicu, penyebaran mendukung skenario berikut:

  • memprioritaskan konten yang akan disebarkan sebelum konten repositori lainnya
  • mengecualikan konten dari penyebaran
  • tentukan file parameter templat ARM

Opsi ini tersedia melalui fitur skrip penyebaran PowerShell yang dipanggil dari alur kerja atau alur. Untuk detail selengkapnya tentang cara menerapkan kustomisasi ini, lihat Menyesuaikan penyebaran repositori.

Langkah berikutnya

Dapatkan lebih banyak contoh dan instruksi langkah demi langkah dalam menyebarkan repositori Microsoft Sentinel.