從您的存放庫部署自訂內容 (公開預覽)
建立自訂內容時,您可以從自己的 Microsoft Sentinel 工作區或外部原始檔控制存放庫加以管理。 本文說明如何建立和管理 Microsoft Sentinel 與 GitHub 或 Azure DevOps 存放庫之間的連線。 在外部存放庫中管理您的內容可讓您更新 Microsoft Sentinel 外部的內容,並將它自動部署至您的工作區。 如需詳細資訊,請參閱 使用存放庫連線更新自定義內容。
重要
- Microsoft Sentinel 存放庫功能目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
- Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件和範圍
Microsoft Sentinel 目前支援 GitHub 和 Azure DevOps 存放庫的連線。 將 Microsoft Sentinel 工作區連線到原始檔控制存放庫之前,請確定您有:
- 資源群組中的擁有者角色,其中包含您的 Microsoft Sentinel 工作區或使用者存取 管理員 istrator 和 Sentinel 參與者角色的組合,以建立連線
- 對 GitHub 存放庫或 Project 管理員 istrator 存取 Azure DevOps 存放庫的合作者存取權
- 針對 Azure DevOps 啟用的 GitHub 和管線啟用的動作
- 透過針對 Azure DevOps 應用程式連線原則啟用 OAuth 的第三方應用程式存取。
- 請確定您想要部署到工作區的自定義內容檔案位於相關的 Azure Resource Manager (ARM) 範本中。
如需詳細資訊,請參閱 驗證您的內容。
連線存放庫
此程序說明如何將 GitHub 或 Azure DevOps 存放庫連線到您的 Microsoft Sentinel 工作區。
每個連線都可以支援多種自訂內容類型,包括分析規則、自動化規則、搜捕查詢、剖析器、劇本和活頁簿。 如需詳細資訊,請參閱 關於 Microsoft Sentinel 內容和解決方案。
您無法在單一 Microsoft Sentinel 工作區中使用相同的存放庫和分支建立重複的連線。
建立您的連線:
請確定您已使用您要用於連線的認證登入原始檔控制應用程式。 如果您目前使用不同的認證登入,請先登出。
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 底下,選取 [存放庫]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>存放庫]。選取 [新增],然後在 [ 建立新的部署連線 ] 頁面上,輸入有意義的連線名稱和描述。
從 [ 原始檔控制 ] 下拉式清單中,選取您要連線的存放庫類型,然後選取 [ 授權]。
根據您的連線類型,選取下列其中一個索引標籤:
出現提示時,請輸入您的 GitHub 認證。
第一次新增連線時,系統會提示您授權連線至 Microsoft Sentinel。 如果您已在相同的瀏覽器中登入您的 GitHub 帳戶,則會自動填入您的 GitHub 認證。
[存放 庫 ] 區域現在會顯示在 [ 建立新的部署連線 ] 頁面上,您可以在其中選取要連線的現有存放庫。 從清單中選取您的存放庫,然後選取 [ 新增存放庫]。
第一次連線到特定存放庫時,您會看到新的瀏覽器視窗或索引標籤,提示您在 存放庫上安裝 Azure-Sentinel 應用程式。 如果您有多個存放庫,請選取您想要安裝 Azure-Sentinel 應用程式的存放庫,並加以安裝。
系統會將您導向至 GitHub 以繼續安裝應用程式。
在存放庫中安裝 Azure-Sentinel 應用程式之後,[建立新的部署連線] 頁面中的 [分支] 下拉式清單會填入您的分支。 選取您要連線到 Microsoft Sentinel 工作區的分支。
從 [ 內容類型] 下拉式清單中,選取您要部署的內容類型。
剖析器和搜捕查詢都會使用已儲存的 搜尋 API 將內容部署至 Microsoft Sentinel。 如果您選取其中一個內容類型,而且在分支中也有另一種類型的內容,則會部署這兩種內容類型。
若為所有其他內容類型,請在 [ 建立新的部署連接 ] 窗格中選取內容類型,只會將該內容部署至 Microsoft Sentinel。 未部署其他類型的內容。
選取 [建立] 以建立您的連線。 例如:
建立連線之後,您的存放庫中會產生新的工作流程或管線。 儲存在存放庫中的內容會部署到您的 Microsoft Sentinel 工作區。
部署時間可能會因您要部署的內容量而有所不同。
檢視部署狀態
在 GitHub:在存放庫的 [動作] 索引標籤上,選取工作流程 .yaml 檔案以存取詳細的部署記錄和任何特定錯誤訊息。
在 Azure DevOps 中:從存放庫的 [管線 ] 索引卷標檢視部署狀態。
部署完成之後:
儲存在存放庫中的內容會顯示在 Microsoft Sentinel 工作區中,並顯示在相關的 Microsoft Sentinel 頁面中。
[存放庫] 頁面上的連線詳細數據會更新為連線的部署記錄連結,以及上次部署的狀態和時間。 例如:
默認工作流程只會根據對存放庫的認可,部署自上次部署後修改的內容。 但您可能想要關閉智慧部署或執行其他自定義。 例如,您可以設定不同的部署觸發程式,或從特定根資料夾獨佔部署內容。 若要深入瞭解,請參閱 自定義存放庫部署。
編輯內容
當您成功建立與原始檔控制存放庫的連線時,您的內容會部署到 Sentinel。 我們建議您只編輯儲存在已連線存放庫中的內容,而不是儲存在 Microsoft Sentinel 中。 例如,若要變更您的分析規則,請直接在 GitHub 或 Azure DevOps 中進行。
如果您改為編輯 Microsoft Sentinel 中的內容,請務必將其匯出至原始檔控制存放庫,以防止下次將存放庫內容部署至工作區時覆寫變更。
刪除內容
從您的存放庫刪除內容並不會從您的 Microsoft Sentinel 工作區中刪除內容。 如果您想要移除透過存放庫部署的內容,請從您的存放庫和 Microsoft Sentinel 刪除它。 例如,根據來源名稱設定內容的篩選,以便更輕鬆地從存放庫識別內容。
拿掉存放庫連線
此程式描述如何從 Microsoft Sentinel 移除原始檔控制存放庫的連線。
若要移除您的連線:
- 在 Microsoft Sentinel 的 [內容管理] 底下,選取 [存放庫]。
- 在方格中,選取您要移除的連線,然後選取 [ 刪除]。
- 輸入 [是] 以確認刪除。
拿掉連線之後,先前透過連線部署的內容會保留在 Microsoft Sentinel 工作區中。 拿掉連線之後新增至存放庫的內容並未部署。
如果您在刪除連線時遇到問題或錯誤訊息,建議您檢查原始檔控制。 確認已刪除與連線相關聯的 GitHub 工作流程或 Azure DevOps 管線。
從 GitHub 存放庫移除 Microsoft Sentinel 應用程式
如果您想要從 GitHub 存放庫刪除 Microsoft Sentinel 應用程式,建議您 先 從 Microsoft Sentinel 存放庫 頁面移除所有相關聯的連線。
每個 Microsoft Sentinel 應用程式安裝都有唯一標識碼,用於新增和移除連線。 如果標識符遺失或變更,請從 Microsoft Sentinel 存放庫 頁面移除連線,並手動從 GitHub 存放庫移除工作流程,以防止任何未來的內容部署。
下一步
使用 Microsoft Sentinel 中的自訂內容的方式與您使用現用內容的方式相同。
如需詳細資訊,請參閱