Terapkan konten khusus dari repositori Anda (Pratinjau publik)

  • Artikel
  • 12 menit untuk membaca

Penting

Halaman Repositori Microsoft Azure Sentinel saat ini sedang dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Konten Microsoft Sentinel adalah sumber daya Security Information and Event Management (SIEM) atau Security Orchestration, Automation, and Response (SOAR) yang membantu pelanggan menyerap, memantau, memperingatkan, memburu, mengotomatiskan respons, dan lainnya di Microsoft Sentinel. Misalnya, konten Microsoft Azure Sentinel menyertakan konektor data, parser, buku kerja, dan aturan analitik. Untuk informasi selengkapnya, lihat Tentang konten dan solusi Microsoft Azure Sentinel.

Anda dapat menggunakan konten di luar kotak (bawaan) yang disediakan di hub Konten Microsoft Azure Sentinel dan menyesuaikannya untuk kebutuhan Anda sendiri, atau membuat konten kustom Anda sendiri dari awal.

Saat membuat konten kustom, Anda dapat menyimpan dan mengelolanya di ruang kerja Microsoft Azure Sentinel Anda sendiri, atau repositori kontrol sumber eksternal, termasuk repositori GitHub dan Azure DevOps. Artikel ini menjelaskan cara membuat dan mengelola koneksi antara Microsoft Azure Sentinel dan repositori kontrol sumber eksternal. Mengelola konten Anda di repositori eksternal memungkinkan Anda membuat pembaruan pada konten tersebut di luar Microsoft Azure Sentinel, dan secara otomatis menyebarkannya ke ruang kerja Anda.

Tip

Artikel ini tidak menjelaskan cara membuat jenis konten tertentu dari awal. Untuk informasi selengkapnya, lihat wiki Microsoft Azure Sentinel GitHub yang relevan untuk setiap jenis konten.

Prasyarat dan ruang lingkup

Sebelum menghubungkan ruang kerja Microsoft Azure Sentinel Anda ke repositori kontrol sumber eksternal, pastikan Anda memiliki:

  • Akses ke repositori GitHub atau Azure DevOps, dengan file konten kustom apa pun yang ingin Anda sebarkan ke ruang kerja Anda, dalam template Azure Resource Manager (ARM) yang relevan.

    Microsoft Azure Sentinel saat ini hanya mendukung koneksi dengan repositori GitHub dan Azure DevOps.

  • Peran Pemilik dalam grup sumber daya yang berisi ruang kerja Microsoft Azure Sentinel Anda. Peran ini diperlukan untuk membuat koneksi antara Microsoft Sentinel dan repositori kontrol sumber Anda. Jika Anda tidak dapat menggunakan peran Pemilik di lingkungan Anda, sebagai gantinya Anda dapat menggunakan kombinasi peran Administrator Akses Pengguna dan Kontributor Sentinel untuk membuat koneksi.

Koneksi dan penyebaran maksimum

  • Setiap ruang kerja Microsoft Azure Sentinel saat ini dibatasi hingga lima koneksi.

  • Setiap grup sumber daya Azure dibatasi hingga 800 penyebaran dalam riwayat penyebarannya. Jika Anda memiliki penyebaran template ARM dengan volume tinggi di grup sumber daya, Anda mungkin akan melihat kesalahan Deployment QuotaExceeded. Untuk informasi selengkapnya, lihat DeploymentQuotaExceeded di dokumentasi template Azure Resource Manager.

Validasi konten Anda

Menyebarkan konten ke Microsoft Azure Sentinel melalui koneksi repositori tidak memvalidasi konten tersebut selain memverifikasi bahwa data dalam format template ARM yang benar.

Kami menyarankan Anda memvalidasi template konten Anda menggunakan proses validasi reguler Anda. Anda dapat memanfaatkan proses validasi Microsoft Azure Sentinel GitHub dan alat untuk menyiapkan proses validasi Anda sendiri.

Hubungkan repositori

Prosedur ini menjelaskan cara menghubungkan repositori GitHub atau Azure DevOps ke ruang kerja Microsoft Azure Sentinel Anda, tempat Anda dapat menyimpan dan mengelola konten kustom, bukan di Microsoft Azure Sentinel.

Setiap koneksi dapat mendukung beberapa jenis konten kustom, termasuk aturan analitik, aturan otomatisasi, kueri berburu, parser, buku pedoman, dan buku kerja. Untuk informasi selengkapnya, lihat Tentang konten dan solusi Microsoft Azure Sentinel.

Untuk membuat koneksi Anda:

  1. Pastikan Anda masuk ke aplikasi kontrol sumber dengan kredensial yang ingin Anda gunakan untuk koneksi Anda. Jika saat ini Anda masuk menggunakan kredensial yang berbeda, keluarlah terlebih dahulu.

  2. Di Microsoft Azure Sentinel, di sebelah kiri pada bagian Pengelolaan konten, pilih Repositori.

  3. Pilih Tambahkan baru, lalu, pada halaman Buat koneksi baru, masukkan nama dan deskripsi yang bermakna untuk koneksi Anda.

  4. Dari tarik-turun Kontrol Sumber, pilih jenis repositori yang ingin Anda sambungkan, lalu pilih Otorisasi.

  5. Pilih salah satu tab berikut, tergantung pada jenis koneksi Anda:

    1. Masukkan kredensial GitHub Anda saat diminta.

      Pertama kali Anda menambahkan koneksi, Anda akan melihat jendela atau tab browser baru, yang meminta Anda untuk mengotorisasi koneksi ke Microsoft Azure Sentinel. Jika Anda sudah masuk ke akun GitHub Anda di browser yang sama, info masuk GitHub Anda akan terisi secara otomatis.

    2. Area Repositori sekarang ditampilkan di halaman Buat koneksi baru, tempat Anda dapat memilih repositori yang ada untuk dihubungkan. Pilih repositori Anda dari daftar, lalu pilih Tambahkan repositori.

      Saat pertama kali terhubung ke repositori tertentu, Anda akan melihat jendela atau tab browser baru, yang meminta Anda untuk menginstal aplikasi Azure-Sentinel di repositori Anda. Jika Anda memiliki beberapa repositori, pilih salah satu tempat Anda ingin menginstal aplikasi Azure-Sentinel, dan menginstalnya.

      Anda akan diarahkan ke GitHub untuk melanjutkan penginstalan aplikasi.

    3. Setelah aplikasi Azure-Sentinel diinstal di repositori Anda, menu dropdown Cabang di halaman Buat koneksi baru akan diisi dengan cabang Anda. Pilih cabang yang ingin Anda sambungkan ke ruang kerja Microsoft Azure Sentinel Anda.

    4. Dari tarik-turun Jenis Konten, pilih jenis konten yang akan Anda terapkan.

      • Kueri pengurai dan berburu menggunakan API Penelusuran Tersimpan untuk menyebarkan konten ke Microsoft Azure Sentinel. Jika Anda memilih salah satu dari tipe konten ini, dan juga memiliki konten dari tipe lain di cabang Anda, kedua tipe konten akan disebarkan.

      • Untuk semua tipe konten lainnya, memilih tipe konten di panel Buat koneksi baru hanya akan menyebarkan konten tersebut ke Microsoft Azure Sentinel. Konten jenis lain tidak digunakan.

    5. Pilih Buat untuk membuat koneksi Anda. Contohnya:

      Screenshot of a new GitHub repository connection.

    Catatan

    Anda tidak dapat membuat koneksi duplikat, dengan repositori dan cabang yang sama, dalam satu ruang kerja Microsoft Azure Sentinel.

Setelah koneksi dibuat, alur kerja atau alur dibuat di repositori Anda, dan konten yang disimpan di repositori Anda disebarkan ke ruang kerja Microsoft Azure Sentinel Anda.

Waktu penyebaran dapat bervariasi bergantung pada jumlah konten yang Anda sebarkan.

Lihat status penyebaran

  • Di GitHub: Pada tab Tindakan repositori. Pilih file alur kerja .yaml yang ditampilkan di sana untuk mengakses detail log penyebaran dan pesan kesalahan tertentu, jika relevan.
  • Di Azure DevOps: Di tab Alur repositori.

Setelah penyebaran selesai:

  • Konten yang disimpan di repositori Anda ditampilkan di ruang kerja Microsoft Azure Sentinel, di halaman Microsoft Azure Sentinel yang relevan.

  • Detail koneksi pada halaman Repositori diperbarui dengan tautan ke log penyebaran koneksi serta status dan waktu penyebaran terakhir. Contohnya:

    Screenshot of a GitHub repository connection's deployment logs.

Meningkatkan performa penyebaran dengan penyebaran cerdas

Penyebaran cerdas adalah kemampuan back-end yang meningkatkan performa penyebaran dengan secara aktif melacak modifikasi yang dilakukan pada file konten repositori/cabang yang terhubung menggunakan file csv dalam folder '.sentinel' di repositori Anda. Dengan secara aktif melacak modifikasi yang dilakukan pada konten di setiap penerapan, repositori Microsoft Sentinel Anda akan menghindari penyebaran ulang konten apa pun yang belum dimodifikasi sejak penyebaran terakhir ke ruang kerja Microsoft Sentinel Anda. Hal ini akan meningkatkan performa penyebaran Anda dan menghindari perubahan konten yang tidak berubah secara tidak sengaja di ruang kerja Anda, seperti mengatur ulang jadwal dinamis aturan analitik Anda dengan menyebarkannya kembali.

Meskipun penyebaran cerdas diaktifkan secara default pada koneksi yang baru dibuat, kami memahami bahwa beberapa pelanggan akan memilih semua konten kontrol sumber mereka untuk disebarkan setiap kali penyebaran dipicu, terlepas dari apakah konten tersebut dimodifikasi atau tidak. Anda dapat mengubah alur kerja untuk menonaktifkan penyebaran cerdas agar koneksi Anda menyebarkan semua konten terlepas dari status modifikasinya. Lihat Mengkustomisasi alur kerja penyebaran untuk detail lebih lanjut.

Catatan

Kemampuan ini diluncurkan dalam pratinjau publik pada 20 April 2022. Koneksi yang dibuat sebelum peluncuran perlu diperbarui atau dibuat ulang agar penyebaran cerdas diaktifkan.

Menyesuaikan alur kerja penyebaran

Deployment konten default menyebarkan semua konten kustom yang relevan dari cabang repositori yang terhubung setiap kali push dilakukan ke apa pun di cabang itu.

Jika konfigurasi default untuk penyebaran konten Anda dari GitHub atau Azure DevOps tidak memenuhi semua persyaratan Anda, Anda dapat memodifikasi pengalaman agar sesuai dengan kebutuhan Anda.

Misalnya, Anda mungkin ingin mematikan penyebaran cerdas, mengonfigurasi pemicu penyebaran yang berbeda, atau menyebarkan konten hanya dari folder akar tertentu.

Pilih salah satu tab berikut tergantung pada jenis koneksi Anda:

Untuk menyesuaikan alur kerja penyebaran GitHub Anda:

  1. Di GitHub, buka repositori Anda dan temukan alur kerja Anda di direktori .github/workflows.

    Nama alur kerja ditampilkan di baris pertama file alur kerja, dan memiliki konvensi penamaan default berikut: Deploy Content to <workspace-name> [<deployment-id>].

    Misalnya: name: Deploy Content to repositories-demo [xxxxx-dk5d-3s94-4829-9xvnc7391v83a]

  2. Pilih tombol pensil di kanan atas halaman untuk membuka file yang akan diedit, lalu ubah penyebaran sebagai berikut:

    • Untuk mengubah pemicu penyebaran, perbarui bagian on dalam kode, yang menjelaskan peristiwa yang memicu alur kerja untuk berjalan.

      Secara default, konfigurasi ini ditetapkan ke on: push, yang berarti bahwa alur kerja dipicu pada setiap push ke cabang yang terhubung, termasuk modifikasi pada konten yang ada dan penambahan konten baru ke repositori. Contohnya:

      on:
    push:
        branches: [ main ]
        paths:
        - `**`
        - `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
        - `.github/workflows/sentinel-deploy-<deployment-id>.yml`

      Anda mungkin ingin mengubah pengaturan ini, misalnya, untuk menjadwalkan alur kerja agar berjalan secara berkala, atau untuk menggabungkan berbagai peristiwa alur kerja bersama-sama.

      Untuk informasi selengkapnya, lihat dokumentasi GitHub tentang mengonfigurasi peristiwa alur kerja.

    • Untuk mengubah jalur penyebaran:

      Dalam konfigurasi default yang ditampilkan di atas untuk bagian on, karakter pengganti (**) di baris pertama di bagian paths menunjukkan bahwa seluruh cabang berada di jalur untuk pemicu penyebaran.

      Konfigurasi default ini berarti bahwa alur kerja penyebaran dipicu setiap kali konten didorong ke bagian mana pun dari cabang.

      Nanti dalam file, bagian jobs menyertakan konfigurasi default berikut: directory: '${{ github.workspace }}'. Baris ini menunjukkan bahwa seluruh cabang GitHub berada di jalur penyebaran konten, tanpa memfilter jalur folder apa pun.

      Untuk menyebarkan konten dari jalur folder tertentu saja, tambahkan ke konfigurasi paths dan directory. Misalnya, untuk menyebarkan konten hanya dari folder akar bernama SentinelContent, perbarui kode Anda sebagai berikut:

      paths:
- `SentinelContent/**`
- `!.github/workflows/**` # this filter prevents other workflow changes from triggering this workflow
- `.github/workflows/sentinel-deploy-<deployment-id>.yml`

...
    directory: '${{ github.workspace }}/SentinelContent'

    • Untuk menonaktifkan penyebaran cerdas: Buka bagian jobs alur kerja Anda. Alihkan nilai default smartDeployment (biasanya pada baris 33) dari true ke false. Hal ini akan menonaktifkan fungsionalitas penyebaran cerdas dan semua penyebaran di masa mendatang untuk koneksi ini akan menyebarkan ulang semua file konten repositori yang relevan ke ruang kerja yang terhubung setelah perubahan ini diterapkan.

Untuk informasi selengkapnya, lihat dokumentasi GitHub tentang Tindakan GitHub dan mengedit alur kerja GitHub.

Penting

Di GitHub dan Azure DevOps, pastikan Anda menjaga jalur pemicu dan direktori jalur penyebaran tetap konsisten.

Edit atau hapus konten di repositori Anda

Setelah Anda berhasil membuat koneksi ke repositori kontrol sumber, kapan pun konten dalam repositori tersebut dimodifikasi atau ditambahkan, alur kerja penyebaran akan berjalan lagi dan menyebarkan semua konten dalam repositori ke semua ruang kerja Microsoft Azure Sentinel yang terhubung.

Kami menyarankan Anda mengedit konten apa pun yang disimpan di repositori terhubung hanya di repositori, dan bukan di Microsoft Azure Sentinel. Misalnya, untuk membuat perubahan pada aturan analitik Anda, lakukan secara langsung di GitHub atau Azure DevOps.

Jika Anda telah mengedit konten di Microsoft Azure Sentinel, pastikan untuk mengekspornya ke repositori kontrol sumber Anda untuk mencegah perubahan Anda ditimpa saat berikutnya konten repositori disebarkan ke ruang kerja Anda.

Jika Anda menghapus konten, pastikan untuk menghapusnya dari repositori Anda dan portal Microsoft Azure. Menghapus konten dari repositori Anda tidak menghapusnya dari ruang kerja Microsoft Azure Sentinel Anda.

Hapus koneksi repositori

Prosedur ini menjelaskan cara menghapus koneksi ke repositori kontrol sumber dari Microsoft Azure Sentinel.

Untuk menghapus koneksi Anda:

  1. Di Microsoft Azure Sentinel, di sebelah kiri pada bagian Pengelolaan konten, pilih Repositori.
  2. Di kisi, pilih koneksi yang ingin Anda hapus, lalu pilih Hapus.
  3. Pilih Ya untuk mengonfirmasi penghapusan.

Setelah Anda menghapus koneksi Anda, konten yang sebelumnya disebarkan melalui koneksi tetap berada di ruang kerja Microsoft Azure Sentinel Anda. Konten yang ditambahkan ke repositori setelah menghapus koneksi tidak digunakan.

Tip

Jika Anda mengalami masalah atau pesan kesalahan saat menghapus koneksi Anda, sebaiknya periksa kontrol sumber Anda untuk mengonfirmasi bahwa alur kerja GitHub atau alur Azure DevOps yang terkait dengan koneksi telah dihapus.

Menghapus aplikasi Microsoft Azure Sentinel dari repositori GitHub Anda

Jika Anda ingin menghapus Aplikasi Microsoft Azure Sentinel dari repositori GitHub, sebaiknya Anda pertama menghapus semua koneksi terkait dari halaman Repositori Microsoft Azure Sentinel.

Setiap penginstalan Aplikasi Microsoft Azure Sentinel memiliki ID unik yang digunakan saat menambahkan dan menghapus koneksi. Jika ID hilang atau telah diubah, Anda harus menghapus koneksi dari halaman Repositori Microsoft Azure Sentinel dan secara manual menghapus alur kerja dari repositori GitHub Anda untuk mencegah penyebaran konten di masa mendatang.

Langkah berikutnya

Gunakan konten kustom Anda di Microsoft Azure Sentinel dengan cara yang sama seperti Anda menggunakan konten bawaan.

Untuk informasi selengkapnya, lihat: