Verwalten von Inhalten als Code mit Microsoft Sentinel Repositorys (Vorschau)

mit Microsoft Sentinel Repositorys können Sie benutzerdefinierte Sentinel-Inhalte aus einem externen Quellcodeverwaltungsrepository für eine kontinuierliche Integration/kontinuierliche Übermittlung (CI/CD) bereitstellen und verwalten. Diese Automatisierung entfernt die Notwendigkeit manueller Prozesse zum Aktualisieren und Bereitstellen von benutzerdefinierten Inhalten über Arbeitsbereiche hinweg. Eine Teilmenge von Inhalt als Code (Content as Code) ist Erkennungen als Code (Detections as Code, DaC). Microsoft Sentinel Repositories implementiert auch DaC.

Weitere Informationen zu Sentinel-Inhalten finden Sie unter About Microsoft Sentinel Content and Solutions.

Funktionsweise von Microsoft Sentinel Repositorys

Sie können diese Microsoft Sentinel benutzerdefinierten Inhaltstypen aus einem externen Quellcodeverwaltungs-Repository bereitstellen, das Sie mit Microsoft Sentinel verbinden:

• Analyseregeln
• Automatisierungsregeln
• Hunting-Abfragen
• Parser
• Spielbücher
• Arbeitsmappen

Aktualisierungen, die Sie an den Inhalten in Ihren Microsoft Sentinel-Repositories vornehmen, werden mit Ihrem Microsoft Sentinel-Arbeitsbereich synchronisiert und überschreiben alle Änderungen, die Sie über das Microsoft Sentinel-Portal an diesen Inhalten vornehmen. Ihre Microsoft Sentinel Repositorys werden Ihre "einzige Wahrheitsquelle" für benutzerdefinierte Inhalte in den verbundenen Arbeitsbereichen.

Planen der Repositoryverbindung

Microsoft Sentinel-Repositories erfordern sorgfältige Planung, um sicherzustellen, dass Sie über die richtigen Berechtigungen von Ihrem Arbeitsbereich für das Repository verfügen, das Sie verbinden möchten.

• Es werden nur Verbindungen mit GitHub- und Azure DevOps Repositorys unterstützt.
• Mitarbeiterzugriff auf Ihr GitHub-Repository oder Projektadministratorzugriff auf Ihr Azure DevOps-Repository ist erforderlich.
• Die Microsoft Sentinel Anwendung benötigt eine Autorisierung für Ihr Repository.
• Aktionen müssen für GitHub aktiviert sein.
• Pipelines müssen für Azure DevOps aktiviert sein.
• Eine Azure DevOps-Verknüpfung muss sich im selben Azure-Instanz wie Ihr Microsoft Sentinel-Arbeitsbereich befinden.

Zum Erstellen einer Verbindung mit einem Repository ist eine Owner Rolle in der Ressourcengruppe erforderlich, die Ihren Microsoft Sentinel Arbeitsbereich enthält.

Wenn Sie Inhalte in einem öffentlichen Repository finden, für das Sie nicht über die Rolle „Mitwirkender“ verfügen, importieren, forken oder klonen Sie zunächst den Inhalt in ein Repository, in dem Sie über die Rolle „Mitwirkender“ verfügen. Verbinden Sie dann Ihr Repository mit Ihrem Microsoft Sentinel Arbeitsbereich. Weitere Informationen finden Sie unter Bereitstellen benutzerdefinierter Inhalte aus Ihrem Repository.

Maximale Anzahl von Verbindungen und Bereitstellungen

• Jeder Microsoft Sentinel Arbeitsbereich ist derzeit auf fünf Repositoryverbindungen beschränkt.
• Jede Azure Ressourcengruppe ist auf 800 Bereitstellungen im Bereitstellungsverlauf beschränkt. Wenn mindestens eine Ihrer Ressourcengruppen eine hohe Anzahl von Vorlagenbereitstellungen enthält, tritt möglicherweise ein Fehler vom Typ Deployment QuotaExceeded auf. Weitere Informationen finden Sie in der Azure Resource Manager Vorlagendokumentation unter DeploymentQuotaExceeded.

Planen des Repositoryinhalts

Microsoft Sentinel Repositorys unterstützen die Bereitstellung von Inhalten, die Sie als Bicep-Dateien speichern oder Azure Resource Manager (ARM)-Vorlagen. Es wird empfohlen, Bicep zu verwenden, was intuitiver ist und es einfacher macht, Azure Ressourcen und Microsoft Sentinel Inhalte zu beschreiben.

Die Vorlage für jeden Inhaltstyp weist einen bestimmten Struktur- und Parameternamen auf, wie im Sentinel-Ressourcenvorlagenverweis dokumentiert. Beispiele für jeden Inhaltstyp finden Sie unter RepositoriesSampleContent-Repository.

Wir haben ein Beispiel-Repository mit Vorlagen für jeden aufgeführten Inhaltstyp bereitgestellt. Das Repository demonstriert auch, wie Sie erweiterte Features von Repositoryverbindungen verwenden können. Weitere Informationen finden Sie im Beispiel für Microsoft Sentinel CI/CD-Repositorys.

Obwohl Sie Vorlagen von Grund auf neu erstellen können, ist es oft einfacher, von den Sentinel Public GitHub Repository-YAML-Dateien oder von sofort einsatzbereiten Microsoft Sentinel Inhalten zu beginnen. In dieser Tabelle wird beschrieben, wie Sie eine ARM-Vorlage für die Verwendung mit Microsoft Sentinel Repositorys konvertieren.

Informationen zum Erstellen benutzerdefinierter Inhalte finden Sie im relevanten Microsoft Sentinel GitHub wiki für jeden Inhaltstyp.

Verbessern der Leistung mit intelligenten Bereitstellungen

Das Feature Intelligente Bereitstellungen ist eine Back-End-Funktion, die die Leistung verbessert, indem sie aktiv Änderungen an den Inhaltsdateien eines verbundenen Repositorys nachverfolgt. Es verwendet eine CSV-Datei im Ordner .sentinel in Ihrem Repository, um jeden Commit zu überwachen. Der Workflow vermeidet die erneute Bereitstellung von Inhalten, die seit der letzten Bereitstellung nicht geändert wurden. Dieser Prozess verbessert die Leistung Ihrer Bereitstellung und verhindert Manipulationen an unveränderten Inhalten in Ihrem Arbeitsbereich, z. B. das Zurücksetzen dynamischer Zeitpläne Ihrer Analyseregeln.

Intelligente Bereitstellungen sind standardmäßig für neu erstellte Verbindungen aktiviert. Wenn Sie es vorziehen, dass alle Inhalte der Quellcodeverwaltung jedes Mal, wenn eine Bereitstellung ausgelöst wird, bereitgestellt werden, unabhängig davon, ob diese Inhalte geändert wurden oder nicht, können Sie Ihren Workflow ändern, um intelligente Bereitstellungen zu deaktivieren. Weitere Informationen dazu finden Sie unter Anpassen des Workflows oder der Pipeline.

Berücksichtigen von Anpassungsoptionen bei der Bereitstellung

Berücksichtigen Sie beim Bereitstellen von Inhalten mit Microsoft Sentinel Repositorys die folgenden Anpassungsoptionen.

Anpassen des Workflows oder der Pipeline

Passen Sie den Workflow oder die Pipeline auf eine der folgenden Arten an:

• Konfigurieren verschiedener Bereitstellungstrigger
• Bereitstellen von Inhalten, die nur aus einem bestimmten Stammordner für einen bestimmten Arbeitsbereich stammen
• Planen der regelmäßigen Ausführung des Workflows
• Kombinieren verschiedener Workflowereignisse
• Deaktivieren von intelligenten Bereitstellungen

Diese Anpassungen werden in einer YML-Datei definiert, die für Ihren Workflow oder Ihre Pipeline spezifisch ist. Weitere Informationen zum Implementieren finden Sie unter Anpassen von Repositorybereitstellungen

Anpassen der Bereitstellung

Nachdem der Workflow oder die Pipeline ausgelöst wurde, unterstützt die Bereitstellung die folgenden Szenarien:

• Priorisieren von Inhalten, die vor dem übrigen Repositoryinhalt bereitgestellt werden sollen
• Ausschließen von Inhalten aus der Bereitstellung
• Angeben von ARM-Vorlagenparameterdateien

Diese Optionen sind über ein Feature des PowerShell-Bereitstellungsskripts verfügbar, das über den Workflow oder die Pipeline aufgerufen wird. Weitere Informationen zum Implementieren dieser Anpassungen finden Sie unter Anpassen von Repositorybereitstellungen.

Verwalten von Microsoft Sentinel Repositorys mithilfe der API

Informationen zum Verwalten von Microsoft Sentinel Repositorys mithilfe der API finden Sie in den Aktionen Source Control und Source Controls in der Microsoft Sentinel REST-API.

Nächste Schritte

Hier finden Sie weitere Beispiele und schrittweise Anleitungen zum Bereitstellen Microsoft Sentinel Repositorys.

• Bereitstellen von benutzerdefinierten Inhalten aus Ihrem Repository
• Microsoft Sentinel CI/CD-Beispiel-Repository
• Automate Sentinel-Integration in DevOps