Gestire il contenuto come codice con i repository Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel repository consentono di distribuire e gestire contenuto Sentinel personalizzato da un repository di controllo del codice sorgente esterno per l'integrazione continua/recapito continuo (CI/CD). Questa automazione elimina la necessità di processi manuali per aggiornare e distribuire il contenuto personalizzato nelle aree di lavoro. Un subset di contenuto come codice è costituito dai rilevamenti come codice (DaC). Microsoft Sentinel repository implementa anche l'applicazione livello dati.

Per altre informazioni sul contenuto Sentinel, vedere Informazioni sul contenuto e sulle soluzioni Microsoft Sentinel.

Funzionamento dei repository Microsoft Sentinel

È possibile distribuire questi Microsoft Sentinel tipi di contenuto personalizzati da un repository di controllo del codice sorgente esterno a cui ci si connette Microsoft Sentinel:

  • Regole di analisi
  • Regole di automazione
  • Ricerca di query
  • Parser
  • Playbook
  • Cartelle

Aggiornamenti apportate al contenuto nei repository Microsoft Sentinel vengono sincronizzate con l'area di lavoro Microsoft Sentinel e sovrascrivere le modifiche apportate al contenuto tramite il portale di Microsoft Sentinel. I repository Microsoft Sentinel diventano l'unica fonte di verità per il contenuto personalizzato nelle aree di lavoro connesse.

Pianificare la connessione al repository

Microsoft Sentinel repository richiedono un'attenta pianificazione per assicurarsi di disporre delle autorizzazioni appropriate dall'area di lavoro al repository (repository) che si vuole connettere.

  • Sono supportate solo le connessioni a GitHub e Azure repository DevOps.
  • È necessario l'accesso dei collaboratori al repository GitHub o all'amministratore del progetto al repository Azure DevOps.
  • L'applicazione Microsoft Sentinel richiede l'autorizzazione per il repository.
  • Le azioni devono essere abilitate per GitHub.
  • Le pipeline devono essere abilitate per Azure DevOps.
  • Una connessione DevOps Azure deve trovarsi nello stesso tenant dell'area di lavoro Microsoft Sentinel.

La creazione di una connessione a un repository richiede un ruolo proprietario nel gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel.

Se si trova contenuto in un repository pubblico in cui non si è collaboratori, prima di tutto importare, creare un fork o clonare il contenuto in un repository in cui si è collaboratori. Connettere quindi il repository all'area di lavoro Microsoft Sentinel. Per altre informazioni, vedere Distribuire contenuto personalizzato dal repository.

Numero massimo di connessioni e distribuzioni

  • Ogni area di lavoro Microsoft Sentinel è attualmente limitata a cinque connessioni al repository.
  • Ogni Azure gruppo di risorse è limitato a 800 distribuzioni nella cronologia di distribuzione. Se si dispone di un volume elevato di distribuzioni di modelli in uno o più gruppi di risorse, è possibile che venga visualizzato l'errore Deployment QuotaExceeded . Per altre informazioni, vedere DeploymentQuotaExceeded nella documentazione dei modelli di Azure Resource Manager.

Pianificare il contenuto del repository

Microsoft Sentinel repository supportano la distribuzione del contenuto archiviato come file Bicep o modelli di Azure Resource Manager (ARM). È consigliabile usare Bicep, che è più intuitivo e semplifica la descrizione delle risorse Azure e del contenuto Microsoft Sentinel.

Il modello per ogni tipo di contenuto ha una struttura e un nome di parametro specifici, come illustrato nel riferimento al modello di risorse Sentinel. Per esempi di ogni tipo di contenuto, vedere Repository RepositoriesSampleContent.

È stato fornito un repository di esempio con i modelli per ognuno dei tipi di contenuto elencati. Il repository illustra anche come usare le funzionalità avanzate delle connessioni al repository. Per altre informazioni, vedere Microsoft Sentinel esempio di repository CI/CD.

Screenshot di una connessione al repository riuscita. Viene visualizzato RepositoriesSampleContent. Questo screenshot è successivo all'importazione dell'esempio dal repository SentinelCICD in un repository GitHub privato nell'organizzazione FourthCoffee.

Anche se è possibile creare modelli da zero, spesso è più semplice iniziare dai file YAML del repository GitHub pubblico Sentinel o dal contenuto predefinito Microsoft Sentinel. Questa tabella illustra come convertire un modello di Resource Manager da usare con i repository Microsoft Sentinel.

Tipo di contenuto Eseguire la conversione da Sentinel YAML pubblico Esportare da Sentinel Informazioni di riferimento sul modello Modelli di esempio
Regole di analisi Script di PowerShell Esportare la funzionalità o lo script di PowerShell Riferimenti Modelli di Resource Manager
Regole di automazione N/D Esportare la funzionalità o gli script di PowerShell Riferimenti N/D
Ricerca di query Script di PowerShell Azure comandi dell'interfaccia della riga di comando Riferimenti Contenuto di esempio
Parser Script di PowerShell ASIM Azure comandi dell'interfaccia della riga di comando Riferimenti Modelli
Playbook N/D Utilità PowerShell Riferimenti N/D
Cartelle N/D Esportazione di cartelle di lavoro come modelli di Resource Manager Riferimenti N/D

Importante

Considerazioni su Bicep:

  • Per usare i file Bicep, la connessione ai repository deve essere aggiornata se la connessione è stata creata prima del 1° novembre 2024. Per eseguire l'aggiornamento, è necessario rimuovere e ricreare le connessioni dei repository.
  • I file Bicep non supportano la id proprietà . Quando si decompila ARM JSON in Bicep, assicurarsi di non avere questa proprietà. Ad esempio, i modelli di regola analitica esportati da Microsoft Sentinel hanno la id proprietà che deve essere rimossa.
  • Modificare lo schema JSON arm in versione 2019-04-01 per ottenere risultati ottimali durante la decompilazione.

Importante

Le regole di analisi distribuite usando la funzionalità Microsoft Sentinel repository possono usare query tra aree di lavoro solo se l'area di lavoro di destinazione si trova nello stesso gruppo di risorse dell'area di lavoro connessa al repository.

Per informazioni sulla creazione di contenuto personalizzato da zero, vedere il wiki Microsoft Sentinel GitHub pertinente per ogni tipo di contenuto.

Migliorare le prestazioni con distribuzioni intelligenti

Consiglio

Per garantire il funzionamento delle distribuzioni intelligenti in GitHub, i flussi di lavoro devono disporre delle autorizzazioni di lettura e scrittura nel repository. Per altre informazioni, vedere Gestione delle impostazioni di GitHub Actions per un repository.

La funzionalità distribuzioni intelligenti è una funzionalità back-end che migliora le prestazioni monitorando attivamente le modifiche apportate ai file di contenuto di un repository connesso. Usa un file CSV all'interno della .sentinel cartella nel repository per controllare ogni commit. Il flusso di lavoro evita la ridistribuzione del contenuto che non è stato modificato dall'ultima distribuzione. Questo processo migliora le prestazioni di distribuzione e impedisce la manomissione del contenuto non modificato nell'area di lavoro, ad esempio la reimpostazione delle pianificazioni dinamiche delle regole di analisi.

Le distribuzioni intelligenti sono abilitate per impostazione predefinita nelle connessioni appena create. Se si preferisce che tutto il contenuto del controllo del codice sorgente venga distribuito ogni volta che viene attivata una distribuzione, indipendentemente dal fatto che tale contenuto sia stato modificato o meno, modificare il flusso di lavoro per disabilitare le distribuzioni intelligenti. Per altre informazioni, vedere Personalizzare il flusso di lavoro o la pipeline.

Prendere in considerazione le opzioni di personalizzazione della distribuzione

Quando si distribuiscono contenuti con repository Microsoft Sentinel, prendere in considerazione le opzioni di personalizzazione seguenti.

Personalizzare il flusso di lavoro o la pipeline

Personalizzare il flusso di lavoro o la pipeline in uno dei modi seguenti:

  • configurare trigger di distribuzione diversi
  • distribuire il contenuto solo da una cartella radice specifica per una determinata area di lavoro
  • pianificare l'esecuzione periodica del flusso di lavoro
  • combinare diversi eventi del flusso di lavoro
  • disattivare le distribuzioni intelligenti

Queste personalizzazioni sono definite in un file .yml specifico del flusso di lavoro o della pipeline. Per altre informazioni su come implementare, vedere Personalizzare le distribuzioni del repository

Personalizzare la distribuzione

Dopo l'attivazione del flusso di lavoro o della pipeline, la distribuzione supporta gli scenari seguenti:

  • assegnare priorità al contenuto da distribuire prima del resto del contenuto del repository
  • escludere il contenuto dalla distribuzione
  • specificare i file dei parametri del modello di Arm

Queste opzioni sono disponibili tramite una funzionalità dello script di distribuzione di PowerShell chiamato dal flusso di lavoro o dalla pipeline. Per altre informazioni su come implementare queste personalizzazioni, vedere Personalizzare le distribuzioni del repository.

Gestire i repository Microsoft Sentinel usando l'API

Per informazioni sulla gestione dei repository Microsoft Sentinel tramite l'API, vedere le azioni Controllo del codice sorgente e Controlli del codice sorgente nell'API REST Microsoft Sentinel.

Importante

A partire da giugno 2026, le versioni precedenti delle API usate da Microsoft Sentinel repository non saranno più supportate. Se si usano le API per creare e gestire le connessioni al repository, passare all'API versione 2025-09-01, 2025-06-01 o 2025-07-01-preview prima del 15 giugno 2026 per evitare interruzioni del servizio. Le connessioni al repository esistenti non sono interessate.

Passaggi successivi

Ottenere altri esempi e istruzioni dettagliate sulla distribuzione di repository Microsoft Sentinel.

  • Last updated on