Deponuzdan özel içerik dağıtma (Genel önizleme)

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Özel içerik oluştururken kendi Microsoft Sentinel çalışma alanlarınızdan veya bir dış kaynak denetimi deposundan yönetebilirsiniz. Bu makalede, Microsoft Sentinel ile GitHub veya Azure DevOps depoları arasında bağlantıların nasıl oluşturulacağı ve yönetileceği açıklanır. İçeriğinizi bir dış depoda yönetmek, Bu içerikte Microsoft Sentinel dışında güncelleştirmeler yapmanıza ve çalışma alanlarınıza otomatik olarak dağıtılmasını sağlar. Daha fazla bilgi için bkz . Özel içeriği depo bağlantıları ile güncelleştirme.

Önemli

• Microsoft Sentinel Depoları özelliği şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
• Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar ve kapsam

Microsoft Sentinel şu anda GitHub ve Azure DevOps depolarına yönelik bağlantıları desteklemektedir. Microsoft Sentinel çalışma alanınızı kaynak denetimi deponuza bağlamadan önce aşağıdakilere sahip olduğunuzdan emin olun:

• Bağlantıyı oluşturmak için Microsoft Sentinel çalışma alanınızı içeren kaynak grubunda sahip rolü veya Kullanıcı Erişimi Yönetici istrator ve Sentinel Katkıda Bulunanı rollerinin birleşimi
• GitHub deponuza ortak çalışan erişimi veya Azure DevOps deponuza project Yönetici istrator erişimi
• GitHub için etkinleştirilen eylemler ve Azure DevOps için etkinleştirilen İşlem Hatları
• Azure DevOps uygulama bağlantı ilkeleri için etkinleştirilen OAuth aracılığıyla üçüncü taraf uygulama erişimi.
• Çalışma alanlarınıza dağıtmak istediğiniz özel içerik dosyalarının ilgili Azure Resource Manager (ARM) şablonlarında olduğundan emin olun.

Daha fazla bilgi için bkz . İçeriğinizi doğrulama.

Depo Bağlan

Bu yordamda GitHub veya Azure DevOps deposunu Microsoft Sentinel çalışma alanınıza nasıl bağlayacağınız açıklanır.

Her bağlantı analiz kuralları, otomasyon kuralları, avlanma sorguları, ayrıştırıcılar, playbook'lar ve çalışma kitapları dahil olmak üzere birden çok özel içerik türünü destekleyebilir. Daha fazla bilgi için bkz . Microsoft Sentinel içeriği ve çözümleri hakkında.

Tek bir Microsoft Sentinel çalışma alanında aynı depo ve dalı kullanarak yinelenen bağlantılar oluşturamazsınız.

Bağlantınızı oluşturun:

1. Bağlantınız için kullanmak istediğiniz kimlik bilgileriyle kaynak denetim uygulamanızda oturum açtığınızdan emin olun. Şu anda farklı kimlik bilgileri kullanarak oturum açtıysanız, önce oturumu kapatın.

2. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında Depolar'ı seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>Depoları'nı seçin.

3. Yeni ekle'yi seçin ve yeni dağıtım bağlantısı oluştur sayfasında bağlantınız için anlamlı bir ad ve açıklama girin.

4. Kaynak Denetimi açılan listesinden bağlanmak istediğiniz depo türünü seçin ve ardından Yetki ver'i seçin.

5. Bağlantı türünüz bağlı olarak aşağıdaki sekmelerden birini seçin:

   GitHub

   1. İstendiğinde GitHub kimlik bilgilerinizi girin.

      İlk kez bağlantı eklediğinizde, Microsoft Sentinel bağlantısını yetkilendirmeniz istenir. Aynı tarayıcıda GitHub hesabınızda zaten oturum açtıysanız GitHub kimlik bilgileriniz otomatik olarak doldurulur.

   2. Depo alanı artık Yeni dağıtım bağlantısı oluştur sayfasında gösterilir ve burada bağlanmak için mevcut bir depoyu seçebilirsiniz. Listeden deponuzu seçin ve ardından Depo ekle'yi seçin.

      Belirli bir depoya ilk kez bağlandığınızda, deponuza Azure-Sentinel uygulamasını yüklemenizi isteyen yeni bir tarayıcı penceresi veya sekmesi görürsünüz. Birden çok deponuz varsa, Azure-Sentinel uygulamasını yüklemek istediğiniz depoları seçin ve yükleyin.

      Uygulama yüklemeye devam etmek için GitHub'a yönlendirilirsiniz.

   3. Azure-Sentinel uygulaması deponuza yüklendikten sonra, Yeni dağıtım bağlantısı oluştur sayfasındaki Dal açılan listesi dallarınızla doldurulur. Microsoft Sentinel çalışma alanınıza bağlanmak istediğiniz dalı seçin.

   4. İçerik Türleri açılan listesinden dağıttığınız içerik türünü seçin.

      • Hem ayrıştırıcılar hem de tehdit avcılığı sorguları, Microsoft Sentinel'e içerik dağıtmak için Kayıtlı Aramalar API'sini kullanır. Bu içerik türlerinden birini seçerseniz ve dalınızda diğer türde içerik varsa, her iki içerik türü de dağıtılır.

      • Diğer tüm içerik türleri için, Yeni dağıtım bağlantısı oluştur bölmesinde bir içerik türü seçildiğinde yalnızca bu içerik Microsoft Sentinel'e dağıtılır. Diğer türlerin içeriği dağıtılmaz.

   5. Bağlantınızı oluşturmak için Oluştur'u seçin. Örneğin:

      

   Azure DevOps

   Geçerli Azure kimlik bilgilerinizi kullanarak Azure DevOps'a otomatik olarak yetkilendirilmiş olursunuz. Microsoft Sentinel'den bağlandığınız Azure DevOps kuruluşuna yetkiniz olduğunu doğrulayın veya bağlantınızı oluşturmak için bir InPrivate tarayıcı penceresi kullanın.

   Kiracılar arası sınırlamalar nedeniyle, çalışma alanında konuk kullanıcı olarak bağlantı oluşturuyorsanız Azure DevOps URL'niz açılan listede görünmez. Bunun yerine el ile girin.

   1. Microsoft Sentinel'de, görüntülenen açılan listelerden Kuruluşunuz, Projeniz, Deponuz, Dalınız ve İçerik Türlerinizi seçin.

      • Hem ayrıştırıcılar hem de tehdit avcılığı sorguları, Microsoft Sentinel'e içerik dağıtmak için Kayıtlı Aramalar API'sini kullanır. Bu içerik türlerinden birini seçerseniz ve dalınızda diğer türde içerik varsa, her iki içerik türü de dağıtılır.

      • Diğer tüm içerik türleri için, Yeni dağıtım bağlantısı oluştur bölmesinde bir içerik türü seçildiğinde yalnızca bu içerik Microsoft Sentinel'e dağıtılır. Diğer türlerin içeriği dağıtılmaz.

   2. Bağlantınızı oluşturmak için Oluştur'u seçin. Örneğin:

      

Bağlantıyı oluşturduktan sonra deponuzda yeni bir iş akışı veya işlem hattı oluşturulur. Deponuzda depolanan içerik Microsoft Sentinel çalışma alanınıza dağıtılır.

Dağıtım süresi, dağıttığınız içerik hacmine bağlı olarak değişebilir.

Dağıtım durumunu görüntüleme

GitHub'da: Deponun Eylemler sekmesinde, ayrıntılı dağıtım günlüklerine ve belirli hata iletilerine erişmek için iş akışı .yaml dosyasını seçin.

Azure DevOps'ta: Deponun İşlem Hatları sekmesinden dağıtım durumunu görüntüleyin.

Dağıtım tamamlandıktan sonra:

• Deponuzda depolanan içerik, Microsoft Sentinel çalışma alanınızda, ilgili Microsoft Sentinel sayfasında görüntülenir.

• Depolar sayfasındaki bağlantı ayrıntıları, bağlantının dağıtım günlüklerinin bağlantısı ve son dağıtımın durumu ve saati ile güncelleştirilir. Örneğin:

  

Varsayılan iş akışı yalnızca depoya yapılan işlemeleri temel alarak son dağıtımdan bu yana değiştirilen içeriği dağıtır. Ancak akıllı dağıtımları kapatmak veya başka özelleştirmeler yapmak isteyebilirsiniz. Örneğin, farklı dağıtım tetikleyicileri yapılandırabilir veya içeriği özel olarak belirli bir kök klasörden dağıtabilirsiniz. Daha fazla bilgi edinmek için bkz . Depo dağıtımlarını özelleştirme.

İçeriği düzenle

Kaynak denetim deponuza başarıyla bağlantı oluşturduğunuzda, içeriğiniz Sentinel'e dağıtılır. Bağlı bir depoda depolanan içeriği Microsoft Sentinel'de değil yalnızca depoda düzenlemenizi öneririz. Örneğin, analiz kurallarınızda değişiklik yapmak için bunu doğrudan GitHub'da veya Azure DevOps'ta yapın.

Bunun yerine Microsoft Sentinel'de içeriği düzenlerseniz, depo içeriğinin çalışma alanınıza bir sonraki dağıtılışında değişikliklerinizin üzerine yazılmasını önlemek için içeriği kaynak denetim deponuza aktardığınızdan emin olun.

İçeriği sil

Deponuzdan içerik silindiğinde microsoft Sentinel çalışma alanınızdan silinmez. Depolar aracılığıyla dağıtılan içeriği kaldırmak istiyorsanız, hem deponuzdan hem de Microsoft Sentinel'den silin. Örneğin, depolardaki içeriği tanımlamayı kolaylaştırmak için kaynak ada göre içerik için bir filtre ayarlayın.

Depo bağlantısını kaldırma

Bu yordam, Microsoft Sentinel'den bir kaynak denetimi deposuna bağlantının nasıl kaldırılacağını açıklar.

Bağlantınızı kaldırmak için:

1. Microsoft Sentinel'de İçerik yönetimi'nin altında Depolar'ı seçin.
2. Kılavuzda, kaldırmak istediğiniz bağlantıyı seçin ve ardından Sil'i seçin.
3. Silmeyi onaylamak için Evet'i seçin.

Bağlantınızı kaldırdıktan sonra, bağlantı aracılığıyla daha önce dağıtılan içerik Microsoft Sentinel çalışma alanınızda kalır. Bağlantı kaldırıldıktan sonra depoya eklenen içerik dağıtılmaz.

Bağlantınızı sildiğinizde sorunlarla veya hata iletisiyle karşılaşırsanız, kaynak denetiminizi denetlemenizi öneririz. Bağlantıyla ilişkili GitHub iş akışının veya Azure DevOps işlem hattının silindiğini onaylayın.

Microsoft Sentinel uygulamasını GitHub deponuzdan kaldırma

Microsoft Sentinel uygulamasını bir GitHub deposundan silmek istiyorsanız, önce Microsoft Sentinel Depoları sayfasından tüm ilişkili bağlantıları kaldırmanızı öneririz.

Her Microsoft Sentinel Uygulaması yüklemesi, bağlantıyı hem eklerken hem de kaldırırken kullanılan benzersiz bir kimliğe sahiptir. Kimlik eksikse veya değiştirildiyse, microsoft Sentinel Depoları sayfasından bağlantıyı kaldırın ve gelecekteki içerik dağıtımlarını önlemek için iş akışını GitHub deponuzdan el ile kaldırın.

Sonraki adımlar

Microsoft Sentinel'deki özel içeriğinizi, kullanıma açık içerikle aynı şekilde kullanın.

Daha fazla bilgi için bkz.

• Depo dağıtımlarını özelleştirme
• Microsoft Sentinel çözümlerini bulma ve dağıtma (Genel önizleme)
• Microsoft Sentinel veri bağlayıcıları