Развертывание содержимого в виде кода из репозитория

При создании настраиваемого содержимого вы можете управлять им в собственных рабочих областях Microsoft Sentinel или во внешнем репозитории системы управления исходным кодом. В этой статье описывается, как создавать подключения между Microsoft Sentinel и GitHub или Azure репозиториями DevOps и управлять ими. Управление содержимым во внешнем репозитории позволяет обновлять содержимое за пределами Microsoft Sentinel и автоматически развертывать обновленное содержимое в рабочих областях. Дополнительные сведения см. в разделе Обновление пользовательского содержимого с помощью подключений к репозиторию.

Важно!

После 31 марта 2027 года Microsoft Sentinel больше не будет поддерживаться в портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Пора переходить: вывод из эксплуатации портала Azure для Microsoft Sentinel в целях повышения безопасности.

Предварительные условия

Microsoft Sentinel сейчас поддерживает подключения к репозиториям GitHub и Azure DevOps. Перед подключением рабочей области Microsoft Sentinel к репозиторию системы управления версиями убедитесь, что:

  • У вас есть роль владельца в группе ресурсов, содержащей рабочую область Microsoft Sentinel.
  • Файлы пользовательского контента, которые вы хотите разместить в ваших рабочих областях, имеют поддерживаемый формат. Поддерживаемые форматы см. в статье Планирование содержимого репозитория.
  • Учетная запись, используемая для создания подключения, находится в вашем домашнем клиенте. Внешние удостоверения, например гостевые учетные записи B2B, а также делегированный доступ не поддерживаются.
  • (Только для настраиваемых правил обнаружения) Лицензия Microsoft 365 E5 (или эквивалентная лицензия, включающая Microsoft Defender XDR) и рабочие области Microsoft Sentinel, подключенные к порталу Microsoft Defender. Дополнительные сведения см. в разделе "Развертывание пользовательских правил обнаружения в виде кода".

Перед подключением к GitHub убедитесь, что у вас есть следующие предварительные требования:

  • Доступ к репозиторию GitHub для участников совместной работы
  • Действия, включенные для GitHub и Pipelines, включенные для Azure DevOps

Дополнительные сведения о развертываемых типах контента см. в статье Планирование содержимого репозитория.

Подключение репозитория

В этой процедуре описывается, как подключить репозиторий GitHub или Azure DevOps к рабочей области Microsoft Sentinel.

Каждое подключение может поддерживать несколько типов настраиваемого содержимого, включая правила аналитики, правила автоматизации, настраиваемые правила обнаружения (предварительная версия), запросы для поиска угроз, парсеры, сценарии и рабочие книги. Дополнительные сведения см. в разделе Сведения о содержимом и решениях Microsoft Sentinel.

Невозможно создать повторяющиеся подключения с одним репозиторием и ветвью в одной рабочей области Microsoft Sentinel.

Создайте подключение:

  1. Убедитесь, что вход в приложение системы управления версиями выполнен с учетными данными, которые вы хотите использовать для этого подключения. Если вы вошли в систему с другими учетными данными, сначала выйдите из нее.

  2. Для Microsoft Sentinel в портал Azure в разделе Управление содержимым выберите Репозитории.
    Для Microsoft Sentinel в портале Defender выберите Microsoft Sentinel>Управление содержимым>Репозитории.

  3. Выберите Добавить новое, а затем на странице Создание нового подключения развертывания введите осмысленное имя и описание для подключения.

  4. В раскрывающемся списке Система управления версиями выберите тип репозитория, к которому требуется подключиться, а затем выберите Авторизовать.

  5. Выберите одну из следующих вкладок в зависимости от типа подключения:

    1. При появлении запроса введите учетные данные GitHub.

      При первом добавлении подключения вам будет предложено авторизовать подключение для Microsoft Sentinel. Если вы уже вошли в учетную запись GitHub в том же браузере, учетные данные GitHub заполняются автоматически.

    2. Теперь на странице Создание подключения к развертыванию отображается область Репозиторий, в которой можно выбрать существующий репозиторий для подключения. Выберите репозиторий в списке, а затем выберите Добавить репозиторий.

      При первом подключении к определенному репозиторию появится новое окно или вкладка браузера с предложением установить приложение Azure Sentinel в репозитории. Если у вас несколько репозиториев, выберите те, в которые вы хотите установить приложение Azure Sentinel, и установите его.

      Вы будете перенаправлены на GitHub, чтобы продолжить установку приложения.

    3. После установки приложения Azure-Sentinel в вашем репозитории раскрывающийся список Ветвь на странице Создать новое подключение к развертыванию будет содержать ваши ветви. Выберите ветвь, которую вы хотите подключить к рабочей области Microsoft Sentinel.

    4. В раскрывающемся списке Типы контента выберите тип развертываемого содержимого.

      • Анализаторы и запросы для поиска угроз используют API Saved Searches для развертывания содержимого в Microsoft Sentinel. Если вы выбрали один из этих типов контента и в вашей ветви также есть контент другого типа, будут развернуты оба типа контента.

      • Для всех остальных типов контента при выборе типа контента на панели Создать новое подключение для развертывания в Microsoft Sentinel будет развернут только этот контент. Содержимое других типов не развертывается.

    5. Выберите Создать , чтобы создать подключение. Например, вы можете:

      Снимок экрана: новое подключение к репозиторию GitHub.

После создания подключения в репозитории создается новый рабочий процесс или конвейер. Содержимое, хранящееся в репозитории, развертывается в рабочей области Microsoft Sentinel.

Время развертывания может отличаться в зависимости от объема развертываемого содержимого.

Просмотр состояния развертывания

В GitHub: на вкладке Действия репозитория выберите YAML-файл рабочего процесса, чтобы получить доступ к подробным журналам развертывания и определенным сообщениям об ошибках.

В Azure DevOps: просмотрите состояние развертывания на вкладке Конвейеры репозитория.

После завершения развертывания:

  • Содержимое, хранящееся в репозитории, отображается в рабочей области Microsoft Sentinel на соответствующей странице Microsoft Sentinel.

  • Сведения о подключении на странице Репозитории обновляются со ссылкой на журналы развертывания подключения, а также состояние и время последнего развертывания. Например, вы можете:

    Снимок экрана: журналы развертывания подключения к репозиторию GitHub.

Рабочий процесс по умолчанию развертывает только контент, измененный с момента последнего развертывания, на основании коммитов в репозитории. Но вы можете отключить интеллектуальные развертывания или выполнить другие настройки. Например, можно настроить различные триггеры развертывания или развернуть содержимое исключительно из определенной корневой папки. Дополнительные сведения см. в статье Настройка развертываний репозитория.

Изменение содержимого

Когда вы успешно создаёте подключение к репозиторию системы контроля версий, ваш контент развёртывается в Sentinel. Мы рекомендуем изменять содержимое, хранящееся в подключенном репозитории, только в репозитории, а не в Microsoft Sentinel. Например, чтобы внести изменения в правила аналитики, сделайте это непосредственно в GitHub или Azure DevOps.

Если вы изменяете содержимое в Microsoft Sentinel вместо этого, обязательно экспортируйте измененное содержимое в репозиторий системы управления версиями, чтобы предотвратить перезапись изменений при следующем развертывании содержимого репозитория в рабочей области.

Удаление содержимого

При удалении содержимого из репозитория оно не удаляется из рабочей области Microsoft Sentinel. Если вы хотите удалить содержимое, развернутое через репозитории, удалите его как из репозитория, так и из Microsoft Sentinel. Например, задайте фильтр для содержимого на основе имени источника, чтобы упростить идентификацию содержимого из репозиториев.

Снимок экрана: правила аналитики, отфильтрованные по имени источника репозиториев.

Удаление подключения к репозиторию

В этой процедуре описывается, как удалить подключение к репозиторию системы управления версиями в Microsoft Sentinel. Чтобы использовать файлы Bicep, подключение к репозиторию должно быть новее 1 ноября 2024 г. Используйте эту процедуру, чтобы удалить подключение и повторно создать его для обновления подключения.

Чтобы удалить подключение, выполните приведенные далее действия.

  1. В Microsoft Sentinel в разделе Управление содержимым выберите Репозитории.
  2. В сетке выберите подключение, которое нужно удалить, а затем нажмите кнопку Удалить.
  3. Выберите Да , чтобы подтвердить удаление.

После удаления подключения содержимое, которое ранее было развернуто через подключение, остается в рабочей области Microsoft Sentinel. Содержимое, добавленное в репозиторий после удаления подключения, не развертывается.

Если при удалении подключения возникают проблемы или появляется сообщение об ошибке, рекомендуем проверить систему управления версиями. Убедитесь, что рабочий процесс GitHub или конвейер Azure DevOps, связанный с подключением, удален.

Удаление приложения Microsoft Sentinel из репозитория GitHub

Если вы планируете удалить приложение Microsoft Sentinel из репозитория GitHub, рекомендуется сначала удалить все связанные подключения на странице репозиториев Microsoft Sentinel.

Каждая установка приложения Microsoft Sentinel имеет уникальный идентификатор, который используется как при добавлении, так и при удалении подключения. Если идентификатор отсутствует или изменен, удалите подключение со страницы репозиториев Microsoft Sentinel и вручную удалите рабочий процесс из репозитория GitHub, чтобы предотвратить развертывание содержимого в будущем.

Используйте пользовательское содержимое в Microsoft Sentinel так же, как и содержимое из коробки.

Дополнительные сведения см. в разделе: