Aangepaste inhoud implementeren vanuit uw opslagplaats (openbare preview)
Wanneer u aangepaste inhoud maakt, kunt u deze beheren vanuit uw eigen Microsoft Sentinel-werkruimten of een externe opslagplaats voor broncodebeheer. In dit artikel wordt beschreven hoe u verbindingen maakt en beheert tussen Microsoft Sentinel- en GitHub- of Azure DevOps-opslagplaatsen. Door uw inhoud in een externe opslagplaats te beheren, kunt u deze inhoud bijwerken buiten Microsoft Sentinel en deze automatisch laten implementeren in uw werkruimten. Zie Aangepaste inhoud bijwerken met opslagplaatsverbindingen voor meer informatie.
Belangrijk
- De functie Microsoft Sentinel-opslagplaatsen is momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
- Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten en bereik
Microsoft Sentinel ondersteunt momenteel verbindingen met GitHub- en Azure DevOps-opslagplaatsen. Voordat u uw Microsoft Sentinel-werkruimte verbindt met uw opslagplaats voor broncodebeheer, moet u ervoor zorgen dat u het volgende hebt:
- Een rol Van eigenaar in de resourcegroep die uw Microsoft Sentinel-werkruimte bevat of een combinatie van de rollen Gebruikerstoegang Beheer istrator en Sentinel-inzender om de verbinding te maken
- Toegang van medewerkers tot uw GitHub-opslagplaats of Project Beheer istratortoegang tot uw Azure DevOps-opslagplaats
- Acties ingeschakeld voor GitHub en Pijplijnen die zijn ingeschakeld voor Azure DevOps
- Toegang tot toepassingen van derden via OAuth ingeschakeld voor verbindingsbeleid voor Azure DevOps-toepassingen.
- Zorg ervoor dat aangepaste inhoudsbestanden die u in uw werkruimten wilt implementeren, zich in relevante ARM-sjablonen (Azure Resource Manager) bevinden.
Zie Uw inhoud valideren voor meer informatie.
een opslagplaats Verbinding maken
In deze procedure wordt beschreven hoe u een GitHub- of Azure DevOps-opslagplaats verbindt met uw Microsoft Sentinel-werkruimte.
Elke verbinding kan ondersteuning bieden voor meerdere typen aangepaste inhoud, waaronder analyseregels, automatiseringsregels, opsporingsquery's, parsers, playbooks en werkmappen. Zie Microsoft Sentinel-inhoud en -oplossingen voor meer informatie.
U kunt geen dubbele verbindingen met dezelfde opslagplaats en vertakking maken in één Microsoft Sentinel-werkruimte.
Maak uw verbinding:
Zorg ervoor dat u bent aangemeld bij uw broncodebeheer-app met de referenties die u wilt gebruiken voor uw verbinding. Als u momenteel bent aangemeld met verschillende referenties, meldt u zich eerst af.
Voor Microsoft Sentinel in Azure Portal selecteert u Onder Inhoudsbeheer opslagplaatsen.
Voor Microsoft Sentinel in de Defender-portal selecteert u Opslagplaatsen voor Inhoudsbeheer>van Microsoft Sentinel>.Selecteer Nieuwe toevoegen en voer vervolgens op de pagina Nieuwe implementatieverbinding maken een beschrijvende naam en beschrijving voor uw verbinding in.
Selecteer in de vervolgkeuzelijst Broncodebeheer het type opslagplaats waarmee u verbinding wilt maken en selecteer vervolgens Autoriseren.
Selecteer een van de volgende tabbladen, afhankelijk van uw verbindingstype:
Voer uw GitHub-referenties in wanneer u hierom wordt gevraagd.
De eerste keer dat u een verbinding toevoegt, wordt u gevraagd om de verbinding met Microsoft Sentinel te autoriseren. Als u al bent aangemeld bij uw GitHub-account in dezelfde browser, worden uw GitHub-referenties automatisch ingevuld.
Er wordt nu een opslagplaatsgebied weergegeven op de pagina Nieuwe implementatieverbinding maken, waar u een bestaande opslagplaats kunt selecteren waarmee u verbinding wilt maken. Selecteer uw opslagplaats in de lijst en selecteer vervolgens Opslagplaats toevoegen.
De eerste keer dat u verbinding maakt met een specifieke opslagplaats, ziet u een nieuw browservenster of tabblad waarin u wordt gevraagd om de Azure Sentinel-app in uw opslagplaats te installeren. Als u meerdere opslagplaatsen hebt, selecteert u de opslagplaatsen waar u de Azure-Sentinel-app wilt installeren en installeert u deze.
U wordt omgeleid naar GitHub om door te gaan met de installatie van de app.
Nadat de Azure-Sentinel-app is geïnstalleerd in uw opslagplaats, wordt de vervolgkeuzelijst Branch op de pagina Nieuwe implementatieverbinding maken gevuld met uw vertakkingen. Selecteer de vertakking die u wilt verbinden met uw Microsoft Sentinel-werkruimte.
Selecteer in de vervolgkeuzelijst Inhoudstypen het type inhoud dat u implementeert.
Zowel parsers als opsporingsquery's gebruiken de API Opgeslagen zoekopdrachten om inhoud te implementeren in Microsoft Sentinel. Als u een van deze inhoudstypen selecteert en ook inhoud van het andere type in uw vertakking hebt, worden beide inhoudstypen geïmplementeerd.
Als u voor alle andere inhoudstypen een inhoudstype selecteert in het deelvenster Nieuwe implementatieverbinding maken, wordt alleen die inhoud geïmplementeerd in Microsoft Sentinel. Inhoud van andere typen wordt niet geïmplementeerd.
Selecteer Maken om de verbinding te maken. Voorbeeld:
Nadat u de verbinding hebt gemaakt, wordt er een nieuwe werkstroom of pijplijn gegenereerd in uw opslagplaats. De inhoud die in uw opslagplaats is opgeslagen, wordt geïmplementeerd in uw Microsoft Sentinel-werkruimte.
De implementatietijd kan variëren, afhankelijk van het volume van de inhoud die u implementeert.
De implementatiestatus weergeven
In GitHub: Selecteer op het tabblad Acties van de opslagplaats het YAML-bestand van de werkstroom voor toegang tot gedetailleerde implementatielogboeken en eventuele specifieke foutberichten.
In Azure DevOps: bekijk de implementatiestatus van het tabblad Pijplijnen van de opslagplaats.
Nadat de implementatie is voltooid:
De inhoud die in uw opslagplaats is opgeslagen, wordt weergegeven in uw Microsoft Sentinel-werkruimte, op de relevante Microsoft Sentinel-pagina.
De verbindingsgegevens op de pagina Opslagplaatsen worden bijgewerkt met de koppeling naar de implementatielogboeken van de verbinding en de status en tijd van de laatste implementatie. Voorbeeld:
De standaardwerkstroom implementeert alleen inhoud die is gewijzigd sinds de laatste implementatie op basis van doorvoeringen naar de opslagplaats. Maar misschien wilt u slimme implementaties uitschakelen of andere aanpassingen uitvoeren. U kunt bijvoorbeeld verschillende implementatietriggers configureren of inhoud uitsluitend implementeren vanuit een specifieke hoofdmap. Zie opslagplaatsimplementaties aanpassen voor meer informatie.
Inhoud bewerken
Wanneer u een verbinding met uw bronbeheeropslagplaats hebt gemaakt, wordt uw inhoud geïmplementeerd in Sentinel. U wordt aangeraden alleen inhoud te bewerken die is opgeslagen in een verbonden opslagplaats in de opslagplaats en niet in Microsoft Sentinel. Als u bijvoorbeeld wijzigingen wilt aanbrengen in uw analyseregels, doet u dit rechtstreeks in GitHub of Azure DevOps.
Als u in plaats daarvan de inhoud in Microsoft Sentinel bewerkt, moet u deze exporteren naar uw opslagplaats voor broncodebeheer om te voorkomen dat uw wijzigingen worden overschreven wanneer de inhoud van de opslagplaats de volgende keer wordt geïmplementeerd in uw werkruimte.
Inhoud verwijderen
Als u inhoud uit uw opslagplaats verwijdert, wordt deze niet verwijderd uit uw Microsoft Sentinel-werkruimte. Als u inhoud wilt verwijderen die is geïmplementeerd via opslagplaatsen, verwijdert u deze uit zowel uw opslagplaats als Microsoft Sentinel. Stel bijvoorbeeld een filter in voor de inhoud op basis van de bronnaam om het gemakkelijker te maken om inhoud uit opslagplaatsen te identificeren.
Een opslagplaatsverbinding verwijderen
In deze procedure wordt beschreven hoe u de verbinding met een bronbeheeropslagplaats verwijdert uit Microsoft Sentinel.
Uw verbinding verwijderen:
- Selecteer opslagplaatsen in Microsoft Sentinel onder Inhoudsbeheer.
- Selecteer in het raster de verbinding die u wilt verwijderen en selecteer vervolgens Verwijderen.
- Selecteer Ja om de verwijdering te bevestigen.
Nadat u de verbinding hebt verwijderd, blijft de inhoud die eerder via de verbinding is geïmplementeerd in uw Microsoft Sentinel-werkruimte. Inhoud die is toegevoegd aan de opslagplaats nadat de verbinding is verwijderd, is niet geïmplementeerd.
Als u problemen of een foutbericht ondervindt wanneer u de verbinding verwijdert, raden we u aan uw broncodebeheer te controleren. Controleer of de GitHub-werkstroom of Azure DevOps-pijplijn die aan de verbinding is gekoppeld, is verwijderd.
De Microsoft Sentinel-app verwijderen uit uw GitHub-opslagplaats
Als u de Microsoft Sentinel-app wilt verwijderen uit een GitHub-opslagplaats, raden we u aan eerst alle gekoppelde verbindingen te verwijderen van de pagina Microsoft Sentinel-opslagplaatsen.
Elke installatie van de Microsoft Sentinel-app heeft een unieke id die wordt gebruikt bij het toevoegen en verwijderen van de verbinding. Als de id ontbreekt of is gewijzigd, verwijdert u de verbinding van de pagina Microsoft Sentinel-opslagplaatsen en verwijdert u de werkstroom handmatig uit uw GitHub-opslagplaats om toekomstige inhoudsimplementaties te voorkomen.
Volgende stappen
Gebruik uw aangepaste inhoud in Microsoft Sentinel op dezelfde manier als u kant-en-klare inhoud zou gebruiken.
Zie voor meer informatie: