Delen via

Aangepaste inhoud beheren met Microsoft Sentinel-opslagplaatsen (openbare preview)

  • Artikel

De functie Microsoft Sentinel-opslagplaatsen biedt een centrale ervaring voor de implementatie en het beheer van Sentinel-inhoud als code. Opslagplaatsen staan verbindingen met een extern broncodebeheer toe voor continue integratie/continue levering (CI/CD). Deze automatisering verwijdert de last van handmatige processen voor het bijwerken en implementeren van uw aangepaste inhoud in werkruimten. Zie Over Inhoud en oplossingen van Microsoft Sentinel voor meer informatie over Sentinel-inhoud.

Belangrijk

De functie Microsoft Sentinel-opslagplaatsen is momenteel beschikbaar als PREVIEW-versie. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

De verbinding met de opslagplaats plannen

Microsoft Sentinel-opslagplaatsen vereisen een zorgvuldige planning om ervoor te zorgen dat u de juiste machtigingen hebt van uw werkruimte voor de opslagplaats (opslagplaats) die u wilt verbinden. Alleen verbindingen met GitHub- en Azure DevOps-opslagplaatsen met toegang tot inzenders worden momenteel ondersteund. De Microsoft Sentinel-toepassing moet worden geautoriseerd voor uw opslagplaats en acties zijn ingeschakeld voor GitHub en Pipelines voor Azure DevOps.

Opslagplaatsen vereisen de rol Eigenaar in de resourcegroep die uw Microsoft Sentinel-werkruimte bevat. Deze rol is vereist voor het maken van de verbinding tussen Microsoft Sentinel en uw opslagplaats voor broncodebeheer. Als u de rol Eigenaar niet in uw omgeving kunt gebruiken, kunt u in plaats daarvan de combinatie van de rollen Gebruikerstoegangsbeheerder en Sentinel-inzender gebruiken om de verbinding te maken.

Als u inhoud vindt in een openbare opslagplaats waar u geen inzender bent, moet u die inhoud eerst in uw opslagplaats opnemen. U kunt dit doen met een import, fork of kloon van de inhoud naar een opslagplaats waar u een bijdrager bent. Vervolgens kunt u uw opslagplaats verbinden met uw Sentinel-werkruimte. Zie Aangepaste inhoud implementeren vanuit uw opslagplaats voor meer informatie.

Uw inhoud valideren

De volgende Microsoft Sentinel-inhoudstypen kunnen worden geïmplementeerd via een opslagplaatsverbinding:

  • Analyseregels
  • Automatiseringsregels
  • Opsporingsquery's
  • Parsers
  • Playbooks
  • Werkmappen

Tip

In dit artikel wordt niet beschreven hoe u deze typen inhoud helemaal zelf maakt. Zie de relevante GitHub-wiki van Microsoft Sentinel voor elk inhoudstype voor meer informatie.

Inhoud van opslagplaatsen moet worden opgeslagen als ARM-sjablonen. De implementatie van opslagplaatsen valideert de inhoud niet, behalve om te bevestigen dat deze de juiste JSON-indeling heeft.

De eerste stap voor het valideren van uw inhoud is het testen ervan in Microsoft Sentinel. U kunt ook het GitHub-validatieproces en de hulpprogramma's van Microsoft Sentinel toepassen om uw validatieproces aan te vullen.

Er is een voorbeeldopslagplaats beschikbaar met ARM-sjablonen voor elk van de hierboven vermelde inhoudstypen. De opslagplaats laat ook zien hoe u geavanceerde functies van opslagplaatsverbindingen gebruikt. Zie Sentinel CICD-opslagplaatsenvoorbeeld voor meer informatie.

Schermopname van een geslaagde verbinding met de opslagplaats. De RepositoriesSampleContent wordt weergegeven. Deze schermopname is nadat het voorbeeld is geïmporteerd uit de SentinelCICD-opslagplaats naar een persoonlijke GitHub-opslagplaats in de FourthCoffee-organisatie.

Maximum aantal verbindingen en implementaties

  • Elke Microsoft Sentinel-werkruimte is momenteel beperkt tot vijf opslagplaatsverbindingen.

  • Elke Azure-resourcegroep is beperkt tot 800 implementaties in de implementatiegeschiedenis. Als u een groot aantal ARM-sjabloonimplementaties in uw resourcegroep(en) hebt, wordt de Deployment QuotaExceeded fout mogelijk weergegeven. Zie DeploymentQuotaExceeded in de documentatie over Azure Resource Manager-sjablonen voor meer informatie.

Prestaties verbeteren met slimme implementaties

Tip

Om ervoor te zorgen dat slimme implementaties werken in GitHub, moeten werkstromen lees- en schrijfmachtigingen hebben voor uw reositoriy. Zie Instellingen voor GitHub Actions beheren voor een opslagplaats voor meer informatie.

De functie voor slimme implementaties is een back-endfunctie die de prestaties verbetert door wijzigingen in de inhoudsbestanden van een verbonden opslagplaats actief bij te houden. Er wordt een CSV-bestand in de map '.sentinel' in uw opslagplaats gebruikt om elke doorvoer te controleren. De werkstroom voorkomt dat inhoud opnieuw wordt geïmplementeerd die niet is gewijzigd sinds de laatste implementatie. Dit proces verbetert de prestaties van uw implementatie en voorkomt manipulatie met ongewijzigde inhoud in uw werkruimte, zoals het opnieuw instellen van dynamische planningen van uw analyseregels.

Slimme implementaties zijn standaard ingeschakeld voor nieuw gemaakte verbindingen. Als u liever alle inhoud voor broncodebeheer implementeert telkens wanneer een implementatie wordt geactiveerd, ongeacht of die inhoud is gewijzigd of niet, kunt u uw werkstroom aanpassen om slimme implementaties uit te schakelen. Zie De werkstroom of pijplijn aanpassen voor meer informatie.

Notitie

Deze mogelijkheid is gelanceerd in openbare preview op 20 april 2022. Verbindingen die vóór het starten zijn gemaakt, moeten worden bijgewerkt of opnieuw worden gemaakt om slimme implementaties in te schakelen.

Aanpassingsopties voor implementatie overwegen

Er zijn een aantal aanpassingsopties beschikbaar die u kunt overwegen bij het implementeren van inhoud met Microsoft Sentinel-opslagplaatsen.

De werkstroom of pijplijn aanpassen

U kunt de werkstroom of pijplijn op een van de volgende manieren aanpassen:

  • verschillende implementatietriggers configureren
  • alleen inhoud implementeren vanuit een specifieke hoofdmap voor een bepaalde werkruimte
  • de werkstroom periodiek plannen
  • verschillende werkstroomevenementen combineren
  • slimme implementaties uitschakelen

Deze aanpassingen worden gedefinieerd in een .yml-bestand dat specifiek is voor uw werkstroom of pijplijn. Zie Opslagplaatsimplementaties aanpassen voor meer informatie over het implementeren

De implementatie aanpassen

Zodra de werkstroom of pijplijn is geactiveerd, ondersteunt de implementatie de volgende scenario's:

  • prioriteit geven aan inhoud die moet worden geïmplementeerd vóór de rest van de opslagplaatsinhoud
  • inhoud uitsluiten van implementatie
  • ARM-sjabloonparameterbestanden opgeven

Deze opties zijn beschikbaar via een functie van het PowerShell-implementatiescript dat wordt aangeroepen vanuit de werkstroom of pijplijn. Zie Implementaties van opslagplaatsen aanpassen voor meer informatie over het implementeren van deze aanpassingen.

Volgende stappen

Meer voorbeelden en stapsgewijze instructies voor het implementeren van Microsoft Sentinel-opslagplaatsen.