Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel repository consentono di distribuire e gestire il contenuto di Sentinel personalizzato da un repository di controllo del codice sorgente esterno per l'integrazione continua/il recapito continuo (CI/CD). Questa automazione elimina la necessità di processi manuali per aggiornare e distribuire il contenuto personalizzato tra aree di lavoro. Un sottoinsieme di contenuti come codice è costituito dai rilevamenti come codice (DaC). Microsoft Sentinel Repositories implementa anche DaC.
Per altre informazioni sul contenuto di Sentinel, vedere Informazioni su contenuto e soluzioni Microsoft Sentinel.
Importante
La funzionalità Microsoft Sentinel Repositories è attualmente in PREVIEW. Consultare i Termini aggiuntivi per l'uso di Microsoft Azure Previews per ulteriori termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.
Funzionamento dei repository Microsoft Sentinel
È possibile distribuire questi tipi di contenuto personalizzati di Microsoft Sentinel da un repository di controllo del codice sorgente esterno connesso a Microsoft Sentinel.
- Regole di analisi
- Regole di automazione
- Ricerca di query
- Parser
- Playbook
- Workbooks
Gli aggiornamenti apportati al contenuto nei repository di Microsoft Sentinel vengono sincronizzati con l'area di lavoro Microsoft Sentinel e sovrascrivono le modifiche apportate al contenuto tramite il portale di Microsoft Sentinel. I repository Microsoft Sentinel diventano la "singola fonte di verità" per il contenuto personalizzato nelle aree di lavoro connesse.
Pianificare la connessione al repository
Microsoft Sentinel repository richiedono un'attenta pianificazione per assicurarsi di disporre delle autorizzazioni appropriate dall'area di lavoro al repository (repository) che si vuole connettere.
- Sono supportate solo le connessioni ai repository GitHub e Azure DevOps.
- È necessario l'accesso da collaboratore al repository GitHub o l'accesso da amministratore di progetto al repository Azure DevOps.
- L'applicazione Microsoft Sentinel deve disporre dell'autorizzazione per il repository.
- Le azioni devono essere abilitate per GitHub.
- Le pipeline devono essere abilitate per Azure DevOps.
- Una connessione Azure DevOps deve trovarsi nello stesso tenant dell'area di lavoro Microsoft Sentinel.
La creazione di una connessione a un repository richiede un ruolo Owner nel gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel.
Se si trova contenuto in un repository pubblico di cui non si è collaboratore, accertarsi prima di importare, creare una copia tramite fork o clonare il contenuto in un repository di cui si è collaboratore. Connettere quindi il repository all'area di lavoro Microsoft Sentinel. Per altre informazioni, vedere Distribuire contenuto personalizzato dal repository.
Numero massimo di connessioni e distribuzioni
- Ogni area di lavoro Microsoft Sentinel è attualmente limitata a cinque connessioni di repository.
- Ogni gruppo di risorse Azure è limitato alle distribuzioni 800 nella cronologia di distribuzione. Se si dispone di un volume elevato di distribuzioni di modelli in uno o più gruppi di risorse, è possibile che venga visualizzato l'errore
Deployment QuotaExceeded. Per altre informazioni, vedere DeploymentQuotaExceeded nella documentazione dei modelli di Azure Resource Manager.
Pianificare il contenuto del repository
I repository di Microsoft Sentinel supportano la distribuzione di contenuti archiviati come file Bicep o come modelli Azure Resource Manager (ARM). È consigliabile usare Bicep, che è più intuitivo e semplifica la descrizione delle risorse Azure e del contenuto Microsoft Sentinel.
Il modello per ogni tipo di contenuto ha una struttura e un nome di parametro specifici, come documentato nel riferimento al modello di risorse di Sentinel. Per esempi di ogni tipo di contenuto, vedere RepositoriesSampleContent repository.
È stato fornito un repository di esempio con modelli per ognuno dei tipi di contenuto elencati. Il repository dimostra anche come usare le funzionalità avanzate delle connessioni ai repository. Per ulteriori informazioni, vedere Esempio di repository CI/CD di Microsoft Sentinel.
Anche se è possibile creare modelli da zero, è spesso più facile iniziare dai file YAML del Sentinel Public GitHub repository o dai contenuti predefiniti di Microsoft Sentinel. Questa tabella mostra come convertire un modello ARM da usare con i repository di Microsoft Sentinel.
| Tipo di contenuto | Effettuare la conversione da YAML pubblico di Sentinel | Esportare da Sentinel | Informazioni di riferimento sul modello | Modelli di esempio |
|---|---|---|---|---|
| Regole analitiche | script PowerShell | funzionalità Export o script PowerShell | Riferimento | modelli ARM |
| Regole di automazione | N/A | Funzione di esportazione o script PowerShell | Riferimento | N/A |
| Query di ricerca | script PowerShell | comandi Azure CLI | Riferimento | Contenuto di esempio |
| Parser | script ASIM PowerShell | comandi Azure CLI | Riferimento | Templates |
| Playbooks | N/A | utilità PowerShell | Riferimento | N/A |
| Quaderni | N/A | Esportazione di cartelle di lavoro come modelli ARM | Riferimento | N/A |
Importante
** Considerazioni per Bicep
- Per usare Bicep file, è necessario aggiornare la connessione ai repository se la connessione è stata creata prima del 1° novembre 2024. Per eseguire l'aggiornamento, è necessario rimuovere e ricreare le connessioni dei repository.
- Bicep file non supportano la proprietà
id. Quando si decompila ARM JSON in Bicep, verificare di non includere questa proprietà. Ad esempio, i modelli di regola analitici esportati da Microsoft Sentinel hanno la proprietàidche richiede la rimozione. - Per ottenere risultati ottimali durante la decompilazione, modificare lo schema JSON di ARM alla versione
2019-04-01.
Importante
Le regole analitiche distribuite usando la funzionalità Microsoft Sentinel Repositories possono usare query tra aree di lavoro solo se l'area di lavoro di destinazione si trova nello stesso gruppo di risorse dell'area di lavoro connessa al repository.
Per informazioni sulla creazione di contenuto personalizzato da zero, vedere il Microsoft Sentinel GitHub wiki pertinente per ogni tipo di contenuto.
Migliorare le prestazioni con distribuzioni intelligenti
Suggerimento
Per garantire il funzionamento delle distribuzioni intelligenti in GitHub, i flussi di lavoro devono disporre delle autorizzazioni di lettura e scrittura per il repository. Per altri dettagli, vedere Gestione delle impostazioni di GitHub Actions per un repository.
La funzionalità di distribuzione intelligente è una funzionalità back-end che migliora le prestazioni monitorando attivamente le modifiche apportate ai file di contenuto di un repository connesso. Usa un file CSV all'interno della cartella .sentinel del repository per controllare ogni commit. Questo flusso di lavoro evita che vengano ridistribuiti i contenuti che non sono stati modificati dall'ultima distribuzione. Questo processo migliora le prestazioni di distribuzione e impedisce la manomissione dei contenuti rimasti invariati nell'area di lavoro, come il ripristino di pianificazioni dinamiche delle regole di analisi.
Le distribuzioni intelligenti sono abilitate per impostazione predefinita nelle connessioni appena create. Se si preferisce che l’intero contenuto di controllo del codice sorgente venga distribuito ogni volta che viene attivata una distribuzione, indipendentemente dal fatto che il contenuto sia stato modificato o meno, modificare il flusso di lavoro in modo da disabilitare le distribuzioni intelligenti. Per altre informazioni, vedere Personalizzare il flusso di lavoro o la pipeline.
Prendere in considerazione le opzioni di personalizzazione della distribuzione
Quando si distribuisce contenuto con repository di Microsoft Sentinel, prendere in considerazione le opzioni di personalizzazione seguenti.
Personalizzare il flusso di lavoro o la pipeline
Personalizzare il flusso di lavoro o la pipeline in uno dei modi seguenti:
- configurare trigger di distribuzione diversi
- distribuire contenuti soltanto da una cartella radice specifica per una determinata area di lavoro
- pianificare l'esecuzione periodica del flusso di lavoro
- combinare insieme diversi eventi del flusso di lavoro
- disattivare le distribuzioni intelligenti
Queste personalizzazioni vengono definite in un file .yml specifico del flusso di lavoro o della pipeline. Per altre informazioni su come implementare, vedere Personalizzare le distribuzioni di repository
Personalizzare la distribuzione
Dopo l'attivazione del flusso di lavoro o della pipeline, la distribuzione supporta gli scenari seguenti:
- classificare i contenuti del repository da distribuire in base al grado di priorità
- escludere il contenuto dalla distribuzione
- specificare i file dei parametri del modello di Resource Manager
Queste opzioni sono disponibili tramite una funzionalità dello script di distribuzione di PowerShell chiamato dal flusso di lavoro o dalla pipeline. Per altre informazioni su come implementare queste personalizzazioni, vedere Personalizzare le distribuzioni del repository.
Gestire i repository Microsoft Sentinel tramite l'API
Per informazioni sulla gestione dei repository Microsoft Sentinel tramite l'API, vedere le azioni Source Control e Source Controls nell'API REST Microsoft Sentinel.
Importante
A partire da June 1, 2026, le versioni api precedenti usate dai repository Microsoft Sentinel non saranno più supportate. Se si usano le API per creare e gestire le connessioni al repository, passare all'API versione 2025-09-01, 2025-06-01 o 2025-07-01-preview prima del 1° giugno 2026 per evitare interruzioni del servizio. Le connessioni del repository esistenti non sono interessate.
Passaggi successivi
Ottenere altri esempi e istruzioni dettagliate sulla distribuzione di repository Microsoft Sentinel.