Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функция репозиториев Microsoft Sentinel обеспечивает централизованное развертывание и управление содержимым Sentinel в виде кода. Репозитории позволяют подключаться к функциям внешнего управления версиями для непрерывной интеграции и непрерывной поставки (CI/CD). Эта автоматизация устраняет необходимость выполнять процессы обновления и развертывания вашего пользовательского содержимого в рабочих областях вручную. Подмножество содержимого в виде кода определяется как код (DaC). Microsoft Sentinel Repositories также реализует DaC.
Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel.
Внимание
Функция Репозитории Microsoft Sentinel сейчас предоставляется в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Планирование подключения к репозиторию
Для работы с репозиториями Microsoft Sentinel требуются тщательное планирование, так как у вас должны быть надлежащие разрешения на доступ из вашей рабочей области к репозиторию, который вы хотите подключить.
- Поддерживаются только подключения к репозиториям GitHub и Azure DevOps.
- Для этого требуется доступ в ваш репозиторий на GitHub или администраторский доступ в ваш репозиторий на Azure DevOps.
- Приложению Microsoft Sentinel требуется авторизация в репозитории.
- Действия должны быть включены на GitHub.
- Конвейеры должны быть включены для Azure DevOps.
- Подключение Azure DevOps должно находиться в том же клиенте, что и рабочая область Microsoft Sentinel.
Для создания подключения к репозиторию требуется роль владельца в группе ресурсов, содержащей рабочую область Microsoft Sentinel. Если вы не можете использовать роль владельца в вашей среде, используйте сочетание ролей администратора доступа пользователей и участника Sentinel для создания подключения.
Если вы найдете содержимое в общедоступном репозитории, где вы не являетесь участником, сначала импортируйте, форкните или клонируйте это содержимое в репозиторий, где вы являетесь участником. Затем подключите репозиторий к рабочей области Microsoft Sentinel. Дополнительные сведения см. в статье Развертывание пользовательского содержимого из репозитория.
Планирование содержимого репозитория
Содержимое репозитория должно храниться в виде файлов Bicep или Azure Resource Manager (ARM) шаблонов. Однако Bicep более интуитивно понятен и упрощает описание ресурсов Azure и содержимого Microsoft Sentinel.
Разверните шаблоны файлов Bicep вместе с шаблонами ARM JSON или вместо шаблонов ARM. Если вы рассматриваете варианты инфраструктуры как кода, мы рекомендуем обратить внимание на Bicep. Дополнительные сведения см. в статье Что такое Bicep.
Внимание
Чтобы использовать шаблоны Bicep, необходимо обновить подключение репозиториев, если подключение было создано до 1 ноября 2024 г. Для обновления необходимо удалить и воссоздать подключения репозиториев.
Даже если исходное содержимое является шаблоном ARM, рекомендуется преобразовать в Bicep, чтобы сделать процессы проверки и обновления менее сложными. Bicep тесно связан с ARM, так как во время развертывания каждый файл Bicep преобразуется в шаблон ARM. Дополнительные сведения о преобразовании шаблонов ARM см. в разделе «Декомпиляция JSON шаблона ARM в Bicep».
Примечание.
Известные ограничения Bicep:
- Шаблоны Bicep не поддерживают
idсвойство. При декомпиляции JSON ARM в Bicep убедитесь, что в вашем коде нет этого свойства. Например, шаблоны правил аналитики, экспортированные из Microsoft Sentinel, имеютidсвойство, которое требует удаления. - Измените схему JSON ARM на версию
2019-04-01для получения наилучших результатов при декомпиляции.
Проверка содержимого
Следующие типы содержимого Microsoft Sentinel можно развернуть через подключение к репозиторию:
- Правила аналитики
- Правила автоматизации
- Запросы охоты
- Средства синтаксического анализа
- Руководства
- Рабочие тетради
Совет
В этой статье не описывается, как создавать определенные типы содержимого. Дополнительные сведения о каждом типе содержимого см. на соответствующей вики-странице GitHub Microsoft Sentinel.
Развертывание репозиториев не проверяет содержимое, за исключением проверки правильности формата JSON или Bicep. Перед развертыванием обязательно протестируйте содержимое в Microsoft Sentinel.
Пример репозитория доступен с шаблонами для каждого из перечисленных типов контента. В репозитории также показано, как использовать расширенные функции подключения к репозиторию. Дополнительные сведения см. в примере репозиториев CI/CD Microsoft Sentinel.
Максимальное число подключений и развертываний
- Каждая рабочая область Microsoft Sentinel сейчас может иметь не более пяти подключений к репозиторию.
- В журнале развертывания у каждой группы ресурсов Azure может быть не больше 800 развертываний. Если у вас большой объем развертываний шаблонов в одной или нескольких группах ресурсов, может возникнуть ошибка
Deployment QuotaExceeded. Дополнительные сведения см. в разделе DeploymentQuotaExceeded в документации по шаблонам Azure Resource Manager.
Повышение производительности с помощью интеллектуальных развертываний
Совет
Чтобы обеспечить работу смарт-развертываний в GitHub, рабочие процессы должны иметь разрешения на чтение и запись в репозитории. Дополнительные сведения см. в разделе "Управление параметрами GitHub Actions" для репозитория .
Интеллектуальные развертывания — это серверная возможность, которая повышает производительность за счет активного отслеживания изменений, внесенных в файлы содержимого подключенного репозитория. Он использует CSV-файл в папке .sentinel в репозитории для аудита каждой фиксации. Рабочий процесс позволяет избежать повторного развертывания содержимого, которое не было изменено с момента последнего развертывания. Этот процесс повышает производительность развертывания и предотвращает незаконное изменение неизменного содержимого в рабочей области, например сброс динамических расписаний правил аналитики.
Смарт-развертывания включены по умолчанию для ново созданных подключений. Если вы предпочитаете, чтобы всё содержимое системы управления версиями развертывалось каждый раз при запуске развертывания, независимо от того, было оно изменено или нет, измените рабочий процесс, чтобы отключить умные развертывания. Дополнительные сведения см. в разделе "Настройка рабочего процесса или конвейера".
Рассмотрите варианты настройки развертывания
При развертывании содержимого с помощью репозиториев Microsoft Sentinel следует учитывать следующие параметры настройки.
Настройка рабочего процесса или конвейера
Настройте рабочий процесс или конвейер одним из следующих способов:
- настройка различных триггеров развертывания;
- развертывание содержимого только из определенной корневой папки для указанной рабочей области;
- планирование рабочего процесса для периодического выполнения
- объединение различных событий рабочего процесса вместе;
- отключение умных развертываний
Эти настройки определены в файле .yml, относямся к рабочему процессу или конвейеру. Дополнительные сведения о реализации см. в разделе "Настройка развертываний репозитория"
Настройка развертывания
После активации рабочего процесса или конвейера развертывание поддерживает следующие сценарии:
- приоритизировать содержимое для развертывания перед остальной частью содержимого репозитория
- исключить содержимое из развертывания
- укажите файлы параметров шаблона ARM
Эти параметры доступны с помощью функции сценария развертывания PowerShell, вызываемого из рабочего процесса или конвейера. Дополнительные сведения о реализации этих настроек см. в разделе "Настройка развертываний репозитория".
Следующие шаги
Получите дополнительные примеры и пошаговые инструкции по развертыванию репозиториев Microsoft Sentinel.