Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os repositórios Microsoft Sentinel permitem-lhe implementar e gerir conteúdos personalizados do Sentinel a partir de um repositório externo de controlo de versões para integração contínua/entrega contínua (CI/CD). Esta automação elimina a necessidade de processos manuais para atualizar e distribuir o seu conteúdo personalizado entre os espaços de trabalho. Um subconjunto de conteúdo como código é deteções como código (DaC). Microsoft Sentinel Repositories também implementa DaC.
Para mais informações sobre conteúdos do Sentinel, consulte Sobre Microsoft Sentinel conteúdos e soluções.
Importante
A funcionalidade Microsoft Sentinel Repositories encontra-se atualmente em PRÉVIA. Consulte os Termos de Utilização Suplementares para Microsoft Azure Pré-visualizações para mais termos legais que se aplicam a funcionalidades Azure que estejam em beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Como funcionam os repositórios Microsoft Sentinel
Pode implementar estes tipos de conteúdo personalizados do Microsoft Sentinel a partir de um repositório externo de controlo de versões que liga ao Microsoft Sentinel:
- Regras de análise
- Regras de automatização
- Consultas de pesquisa
- Analisadores
- Manuais de Procedimentos
- Livros
As atualizações que faz ao conteúdo nos seus repositórios Microsoft Sentinel são sincronizadas com o seu espaço de trabalho Microsoft Sentinel e sobreescrevem quaisquer alterações que faça a esse conteúdo através do portal Microsoft Sentinel. Os seus repositórios Microsoft Sentinel tornam-se a sua "fonte única de verdade" para conteúdos personalizados nos espaços de trabalho conectados.
Planeje sua conexão com o repositório
Os repositórios do Microsoft Sentinel exigem um planeamento cuidadoso para garantir que tenha as permissões adequadas do seu espaço de trabalho para o repositório que pretende ligar.
- Apenas são suportadas ligações aos repositórios GitHub e Azure DevOps.
- É necessário acesso colaborador ao seu repositório GitHub ou acesso de Administrador de Projeto ao seu repositório Azure DevOps.
- A aplicação Microsoft Sentinel precisa de autorização para o seu repositório.
- As ações devem estar ativadas no GitHub.
- Os pipelines têm de estar ativados para Azure DevOps.
- Uma ligação Azure DevOps deve estar no mesmo tenant que o seu espaço de trabalho Microsoft Sentinel.
Criar uma ligação a um repositório requer um papel Proprietário no grupo de recursos que contém o seu espaço de trabalho Microsoft Sentinel.
Se você encontrar conteúdo em um repositório público onde não seja um colaborador, primeiro importe, bifurque ou clone o conteúdo para um repositório onde você é um colaborador. Depois liga o teu repositório ao teu espaço de trabalho Microsoft Sentinel. Para obter mais informações, consulte Implantar conteúdo personalizado do repositório.
Limite máximo de conexões e implementações
- Cada espaço de trabalho do Microsoft Sentinel está limitado atualmente a cinco ligações de repositório.
- Cada grupo de recursos Azure está limitado a 800 implantações no seu histórico de implementação. Se tiveres um volume elevado de implantações de modelo em um ou mais dos teus grupos de recursos, poderá ver o erro
Deployment QuotaExceeded. Para mais informações, consulte DeploymentQuotaExceeded na documentação de modelos Azure Resource Manager.
Planeje o conteúdo do repositório
Os repositórios do Microsoft Sentinel suportam a implantação dos conteúdos que você armazena como ficheiros Bicep ou como modelos Azure Resource Manager (ARM). Recomendamos usar o Bicep, que é mais intuitivo e facilita a descrição dos recursos do Azure e do conteúdo do Microsoft Sentinel.
O modelo para cada tipo de conteúdo tem uma estrutura e um nome de parâmetro específicos, conforme documentado na referência do modelo de recursos Sentinel. Para exemplos de cada tipo de conteúdo, consulte o repositório RepositoriesSampleContent.
Disponibilizámos um repositório de exemplos com modelos para cada um dos tipos de conteúdo listados. O repositório também demonstra como usar recursos avançados de conexões de repositório. Para mais informações, consulte o exemplo de repositórios CI/CD do Microsoft Sentinel.
Embora possas construir modelos do zero, muitas vezes é mais fácil começar a partir dos ficheiros YAML do repositório público do GitHub do Sentinel ou a partir de conteúdos Microsoft Sentinel prontos a usar. Esta tabela descreve como converter um modelo ARM para utilização com repositórios Microsoft Sentinel.
| Tipo de conteúdo | Converter a partir do Sentinel Public YAML | Exportar do Sentinel | Referência do Modelo | Modelos de Exemplo |
|---|---|---|---|---|
| Regras analíticas | Script PowerShell | Referência | Modelos ARM | |
| Regras de automação | N/A | Funcionalidade de exportação ou scripts do PowerShell | Referência | N/A |
| Consultas de investigação | Script do PowerShell | Comandos Azure CLI | Referência | Conteúdo de Exemplo |
| Analisadores | script PowerShell ASIM | Comandos Azure CLI | Referência | Templates |
| Playbooks | N/A | utilitário PowerShell | Referência | N/A |
| Livros de trabalho | N/A | Exportar livros de trabalho como modelos ARM | Referência | N/A |
Importante
Considerações sobre o Bicep:
- Para usar ficheiros Bicep, a ligação do seu repositório precisa de ser atualizada se a sua ligação foi criada antes de 1 de novembro de 2024. As conexões de repositórios devem ser removidas e recriadas para serem atualizadas.
- Os ficheiros Bicep não suportam a propriedade
id. Ao descompilar ARM JSON para Bicep, certifique-se de que não tem esta propriedade. Por exemplo, modelos de regras analíticas exportados de Microsoft Sentinel têm a propriedadeidque precisa de ser removida. - Altere o esquema JSON ARM para versão
2019-04-01para obter melhores resultados ao descompilar.
Importante
As regras analíticas implementadas usando a funcionalidade Microsoft Sentinel Repositories só podem usar consultas entre espaços de trabalho se o espaço de trabalho de destino estiver no mesmo Grupo de Recursos que o espaço de trabalho ligado ao repositório.
Para informações sobre como criar conteúdo personalizado do zero, consulte a wiki Microsoft Sentinel GitHub relevante para cada tipo de conteúdo.
Melhore o desempenho com implantações inteligentes
Gorjeta
Para garantir que as implementações inteligentes funcionem no GitHub, os fluxos de trabalho devem ter permissões de leitura e escrita no seu repositório. Consulte Configurar GitHub Actions para um repositório para mais detalhes.
O recurso implantações inteligentes é uma funcionalidade de backend que melhora o desempenho ao monitorizar ativamente as modificações feitas nos ficheiros de conteúdo de um repositório conectado. Ele usa um arquivo CSV dentro da .sentinel pasta em seu repositório para auditar cada confirmação. O fluxo de trabalho evita a reimplantação de conteúdo que não foi modificado desde a última implantação. Este processo melhora o desempenho da implantação e evita a alteração indevida de conteúdo inalterado no seu espaço de trabalho, como a reposição de agendas dinâmicas das suas regras de análise.
As implantações inteligentes são habilitadas por padrão em conexões recém-criadas. Se você preferir todo o conteúdo de controle do código-fonte implantado sempre que uma implantação for acionada, independentemente de esse conteúdo ter sido modificado ou não, modifique seu fluxo de trabalho para desabilitar implantações inteligentes. Para obter mais informações, consulte Personalizar o fluxo de trabalho ou canal.
Considere as opções de personalização de implantação
Considere as seguintes opções de personalização ao implementar conteúdo com repositórios do Microsoft Sentinel.
Personalizar o fluxo de trabalho ou sequência de atividades
Personalize o fluxo de trabalho ou pipeline de uma das seguintes maneiras:
- Configurar diferentes gatilhos de implantação
- implantar conteúdo somente de uma pasta raiz específica para um determinado espaço de trabalho
- Agendar a periódica execução do fluxo de trabalho
- combinar diferentes eventos de fluxo de trabalho juntos
- Desativar implantações inteligentes
Essas personalizações são definidas em um arquivo de .yml específico para seu fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar, consulte Personalizar implantações de repositório
Personalizar a implantação
Depois que o fluxo de trabalho ou pipeline é acionado, a implantação oferece suporte aos seguintes cenários:
- Priorizar o conteúdo a ser implantado antes do restante do conteúdo de repositório
- Excluir conteúdo da implementação
- especificar arquivos de parâmetro de modelo ARM
Essas opções estão disponíveis por meio de um recurso do script de implantação do PowerShell chamado a partir do fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar estas personalizações, consulte Personalizar implantações de repositório.
Gerir repositórios Microsoft Sentinel usando a API
Para informações sobre a gestão de repositórios Microsoft Sentinel usando a API, consulte as ações Controlo de Código e Controlo de Código na API Microsoft Sentinel REST.
Importante
A partir de 15 de junho de 2026, versões anteriores da API usadas pelos repositórios Microsoft Sentinel deixarão de ser suportadas. Se estiver a usar APIs para criar e gerir ligações a repositórios, faça a transição para a versão da API 2025-09-01, 2025-06-01-preview ou 2025-07-01-preview antes de 15 de junho de 2026 para evitar interrupções no serviço. As ligações existentes ao repositório não são afetadas.
Próximos passos
Obtenha mais exemplos e instruções passo a passo sobre como implementar repositórios Microsoft Sentinel.