Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете управлять пользовательским контентом из ваших собственных рабочих областей Microsoft Sentinel или внешнего репозитория системы контроля версий. В этой статье описано, как создавать и администрировать подключения между Microsoft Sentinel и GitHub или репозиториями Azure DevOps. Управление содержимым во внешнем репозитории позволяет вносить обновления в содержимое за пределами Microsoft Sentinel и автоматически развертывать его в ваших рабочих областях. Дополнительные сведения см. в разделе "Обновление пользовательского содержимого с помощью подключений к репозиторию".
Внимание
- Функция репозиториев Microsoft Sentinel в настоящее время находится в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
- Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены. Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel (блог).
Предварительные условия
Сейчас Microsoft Sentinel поддерживает подключения только к репозиториям GitHub и Azure DevOps. Прежде чем подключить рабочую область Microsoft Sentinel к репозиторию контроля версий, убедитесь, что у вас есть:
- Роль владельца в группе ресурсов, содержащей рабочую область Microsoft Sentinel , или сочетание ролей администратора доступа пользователей и участника Sentinel для создания подключения
- Убедитесь, что пользовательские файлы содержимого, которые необходимо развернуть в рабочих областях, находятся в поддерживаемом формате. Поддерживаемые форматы см. в разделе "Планирование содержимого репозитория".
- Доступ к репозиторию GitHub для совместной работы
- Включены GitHub Actions и Pipelines для Azure DevOps.
Дополнительные сведения о развернутых типах контента см. в разделе "Проверка содержимого".
Подключение репозитория
В этой процедуре описывается подключение репозитория GitHub или Azure DevOps к рабочей области Microsoft Sentinel.
Каждое подключение может поддерживать несколько типов настраиваемого содержимого, включая правила аналитики, правила автоматизации, поисковые запросы для поиска угроз, парсеры, плейбуки и рабочие книги. Дополнительные сведения см. в разделе о содержимом и решениях Microsoft Sentinel.
В одной рабочей области Microsoft Sentinel нельзя создавать дублирующиеся подключения с одними и теми же репозиторием и ветвью.
Создайте подключение:
Убедитесь, что вы вошли в приложение системы управления версиями с теми учетными данными, которые вы хотите использовать для подключения. Если вы вошли в систему с другими учетными данными, выйдите и зайдите снова.
Для Microsoft Sentinel на портале Azure в разделе "Управление содержимым" выберите репозитории.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление содержимым>репозитории.Выберите "Добавить новое", а затем на странице "Создание подключения к развертыванию " введите понятное имя и описание подключения.
В раскрывающемся списке "Управление версиями" выберите тип репозитория, к которому требуется подключиться, а затем выберите "Авторизовать".
Выберите одну из следующих таблиц зависимости от вашего типа подключения.
При появлении запроса введите свои учетные данные GitHub.
При первом добавлении подключения вам будет предложено авторизовать подключение к Microsoft Sentinel. Если вы уже вошли в учетную запись GitHub в том же браузере, учетные данные GitHub автоматически заполнены.
Область репозитория теперь отображается на странице "Создание подключения к развертыванию ", где можно выбрать существующий репозиторий для подключения. Выберите репозиторий из списка и нажмите кнопку "Добавить репозиторий".
При первом подключении к определенному репозиторию вы увидите новое окно или вкладку в браузере, предлагающее установить приложение Azure-Sentinel в вашем репозитории. Если у вас несколько репозиториев, выберите те, где нужно установить приложение Azure-Sentinel и установить его.
Вы направляетесь на GitHub, чтобы продолжить установку приложения.
После установки приложения Azure-Sentinel в репозитории, выпадающий список «Ветвь» на странице «Создание подключения к развертыванию» перечисляет ваши ветви. Выберите ветвь, которую нужно подключить к рабочей области Microsoft Sentinel.
В раскрывающемся списке "Типы контента " выберите тип развернутого содержимого.
Оба парсера и запросы охоты используют API Сохраненных поисков для развертывания содержимого в Microsoft Sentinel. Если вы выберете один из этих типов содержания, и у вас также есть содержание другого типа в вашей ветви, то будут развернуты оба типа содержания.
Для всех других типов контента выбор типа контента в области "Создать новое подключение развертывания" развертывает только это содержимое в Microsoft Sentinel. Содержимое других типов не развертывается.
Нажмите кнопку "Создать", чтобы создать подключение. Например:
После создания подключения в репозитории создается новый рабочий процесс или конвейер. Содержимое, хранящееся в репозитории, развертывается в рабочей области Microsoft Sentinel.
Время развертывания может отличаться в зависимости от объема развернутого содержимого.
Просмотр состояния развертывания
На вкладке "Действия репозитория" в GitHub выберите файл workflow .yaml, чтобы получить доступ к подробным журналам развертывания и любым определенным сообщениям об ошибках.
В Azure DevOps: просмотрите состояние развертывания на вкладке конвейеров репозитория.
После завершения развертывания:
Содержимое, хранящееся в репозитории, отображается в рабочей области Microsoft Sentinel на соответствующей странице Microsoft Sentinel.
Сведения о подключении на странице репозиториев обновляются со ссылкой на журналы развертывания подключения и состояние и время последнего развертывания. Например:
Рабочий процесс по умолчанию развертывает только содержимое, измененное с момента последнего развертывания на основе коммитов в репозитории. Но вы можете отключить интеллектуальные развертывания или выполнить другие настройки. Например, вы можете настроить разные триггеры развертывания или развернуть содержимое исключительно из определенной корневой папки. Дополнительные сведения см. в статье о настройке развертываний репозитория.
Изменить содержимое
При успешном создании подключения к репозиторию системы управления версиями содержимое развертывается в Sentinel. Мы рекомендуем редактировать содержимое, хранящееся в подключенном репозитории, только в репозитории, а не в Microsoft Sentinel. Например, чтобы внести изменения в правила аналитики, сделайте это непосредственно в GitHub или Azure DevOps.
Если вместо этого изменить содержимое в Microsoft Sentinel, необходимо экспортировать его в репозиторий системы управления версиями, чтобы предотвратить перезапись изменений при следующем развертывании содержимого репозитория в рабочей области.
Удаление содержимого
Удаление содержимого из репозитория не приводит к его удалению из рабочей области Microsoft Sentinel. Если вы хотите удалить содержимое, развернутое через репозитории, удалите его как из вашего репозитория, так и из Microsoft Sentinel. Например, задайте фильтр для содержимого на основе имени источника, чтобы упростить идентификацию содержимого из репозиториев.
Удалить подключение репозитория
Эта процедура описывает, как удалить подключение к репозиторию управления исходным кодом из Microsoft Sentinel. Чтобы использовать файлы Bicep, подключение репозитория должно быть более новым, чем 1 ноября 2024 года. Используйте эту процедуру, чтобы удалить подключение и повторно создать его, чтобы обновить подключение.
Чтобы удалить подключение, выполните приведенные действия.
- В Microsoft Sentinel в разделе "Управление содержимым" выберите репозитории.
- В сетке выберите подключение, которое нужно удалить, и нажмите кнопку "Удалить".
- Нажмите кнопку "Да" , чтобы подтвердить удаление.
После удаления подключения содержимое, которое ранее было развернуто через подключение, остается в рабочей области Microsoft Sentinel. Содержимое, добавленное в репозиторий после удаления подключения, не развертывается.
Если при удалении подключения возникают проблемы или сообщение об ошибке, рекомендуется проверить вашу систему управления версиями. Убедитесь, что рабочий процесс GitHub или конвейер Azure DevOps, связанный с подключением, удаляется.
Удаление приложения Microsoft Sentinel из репозитория GitHub
Если вы планируете удалить приложение Microsoft Sentinel из репозитория GitHub, рекомендуется сначала удалить все связанные подключения на странице репозиториев Microsoft Sentinel.
Каждая установка приложения Microsoft Sentinel имеет уникальный идентификатор, который используется при добавлении и удалении подключения. Если идентификатор отсутствует или изменен, удалите подключение со страницы репозиториев Microsoft Sentinel и вручную удалите рабочий процесс из репозитория GitHub, чтобы предотвратить любые будущие развертывания содержимого.
Связанный контент
Используйте настраиваемое содержимое в Microsoft Sentinel так же, как вы бы использовали готовый контент.
Дополнительные сведения см. в разделе: