Gerenciar conteúdos personalizados com repositórios do Microsoft Sentinel (versão prévia pública)
O recurso de repositórios do Microsoft Sentinel fornece uma experiência central para a implantação e o gerenciamento do conteúdo do Sentinel como código. Os repositórios permitem conexões com um controle de código-fonte externo para CI/CD (integração contínua/entrega contínua). Essa automação elimina os processos manuais de atualização e implantação de conteúdo personalizado nos workspaces. Para saber mais sobre os conteúdos do Sentinel, confira Conteúdos e soluções do Microsoft Sentinel.
Importante
O recurso de Repositórios do Microsoft Sentinel está atualmente em VERSÃO PRÉVIA. Consulte os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos mais legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.
Planejar sua conexão de repositório
Os repositórios do Microsoft Sentinel exigem um planejamento cuidadoso, a fim de garantir ao workspace as permissões adequadas para o repositório (repo) que será conectado.
- Há suporte apenas para conexões a repositórios do GitHub e Azure DevOps.
- É obrigatório ter acesso de colaborador ao seu repositório do GitHub ou acesso de Administrador do Projeto ao seu repositório do Azure DevOps.
- O aplicativo Microsoft Sentinel precisa de autorização para seu repositório.
- As ações devem ser habilitadas para o GitHub.
- Os pipelines devem ser habilitados para o Azure DevOps.
- Uma conexão do Azure DevOps deve estar no mesmo locatário que seu workspace do Microsoft Sentinel.
Criar uma conexão a um repositório requer uma função Proprietário no grupo de recursos que contém seu workspace do Microsoft Sentinel. Se não for possível usar a função de Proprietário no ambiente, use a combinação das funções Administrador de Acesso do Usuário e Colaborador do Sentinel para criar a conexão.
Se você encontrar conteúdo em um repositório público em que você não é um colaborador, primeiro importe, crie um fork ou clone o conteúdo em um repositório em que você é colaborador. Em seguida, conecte o repositório ao workspace do Microsoft Sentinel. Para obter mais informações, consulte Como implantar conteúdo personalizado a partir de seu repositório.
Planejar o conteúdo do repositório
O conteúdo do repositório deve ser armazenado como arquivos Bicep ou modelos do ARM (Azure Resource Manager). No entanto, o Bicep é mais intuitivo e facilita a descrição dos recursos do Azure e do conteúdo do Microsoft Sentinel.
Implante modelos de arquivo do Bicep com ou em vez de modelos JSON do ARM. Se você estiver considerando a infraestrutura como opções de código, recomendamos analisar o Bicep. Para obter mais informações, consulte O que é o Bicep?.
Importante
Para usar modelos Bicep, a conexão de repositórios precisará ser atualizada se a conexão tiver sido criada antes de 1º de novembro de 2024. As conexões de repositórios devem ser removidas e recriadas para serem atualizadas.
Mesmo que seu conteúdo original seja um modelo do ARM, considere converter em Bicep para tornar os processos de revisão e atualização menos complexos. O Bicep está proximamente relacionado ao ARM porque, durante uma implantação, cada arquivo do Bicep é convertido em um modelo do ARM. Para obter mais informações sobre como converter modelos do ARM, consulte Descompilando o JSON do modelo do ARM para Bicep.
Observação
Limitações conhecidas do Bicep:
- Os modelos do Bicep não dão suporte à propriedade
id. Ao descompilar o JSON do ARM para o Bicep, verifique se você não tem essa propriedade. Por exemplo, modelos de regra analíticos exportados do Microsoft Sentinel têm a propriedadeid, que precisa ser removida. - Altere o esquema JSON do ARM para a versão
2019-04-01para obter melhores resultados ao descompilar.
Validar seu conteúdo
Os seguintes tipos de conteúdo do Microsoft Sentinel podem ser implantados por meio de uma conexão de repositório:
- Regras de análise
- Regras de automação
- Consultas de busca
- Analisadores
- Guias estratégicos
- Pastas de trabalho
Dica
Este artigo não descreve como criar esses tipos de conteúdo do zero. Para mais informações, confira o Wiki do GitHub do Microsoft Azure Sentinel relevante para cada tipo de conteúdo.
A implantação dos repositórios não valida o conteúdo, exceto para confirmar se ele está no formato JSON ou Bicep correto. Certifique-se de testar seu conteúdo no Microsoft Sentinel antes da implantação.
Um repositório de exemplo está disponível com modelos para cada um dos tipos de conteúdo listados. O repositório também demonstra como usar recursos avançados de conexões de repositório. Para obter mais informações, consulte Exemplo de repositórios de CI/CD do Microsoft Sentinel.
Máximo de conexões e implantações
- Atualmente, cada workspace do Microsoft Sentinel está limitado a cinco conexões de repositório.
- Cada grupo de recursos do Azure é limitado a 800 implantações no histórico. Se você tiver um grande volume de implantações de modelo em um ou mais de seus grupos de recursos, poderá ver o erro
Deployment QuotaExceeded. Para obter mais informações, consulte DeploymentQuotaExceeded na documentação de modelos de Azure Resource Manager.
Melhorar o desempenho com implantações inteligentes
Dica
Para garantir que as implantações inteligentes funcionem no GitHub, os fluxos de trabalho devem ter permissões de leitura e gravação no repositório. Consulte Gerenciando configurações do GitHub Actions para um repositório para obter mais detalhes.
O recurso de implantações inteligentes é um recurso de back-end que melhora o desempenho rastreando ativamente as modificações feitas nos arquivos de conteúdo de um repositório conectado. Ele usa um arquivo CSV dentro da pasta .sentinel no repositório para auditar cada commit. O fluxo de trabalho evita a reimplantação de conteúdos que não foram modificados desde a última implantação. Esse processo melhora o desempenho da implantação e evita a adulteração de conteúdos inalterados no workspace, como a redefinição de agendamentos dinâmicos de suas regras de análise.
As implantações inteligentes são habilitadas por padrão em conexões recém-criadas. Se você preferir que todo o conteúdo do controle do código-fonte seja implantado sempre que uma implantação for disparada, independentemente de haver ou não modificações nele, modifique seu fluxo de trabalho para desabilitar as implantações inteligentes. Para mais informações, confira Personalizar o fluxo de trabalho ou o pipeline.
Considerar as opções de personalização de implantação
Considere as seguintes opções de personalização ao implantar conteúdo com repositórios do Microsoft Sentinel.
Personalizar o fluxo de trabalho ou o pipeline
Personalize o fluxo de trabalho ou o pipeline de uma das seguintes maneiras:
- configurar diferentes gatilhos de implantação
- só implantar conteúdos de uma pasta raiz específica para um determinado workspace
- agendar a execução periódica do fluxo de trabalho
- combinar diferentes eventos de fluxo de trabalho
- desativar implantações inteligentes
Essas personalizações são definidas em um arquivo .yml específico para seu fluxo de trabalho ou pipeline. Para obter mais informações sobre como implementar, confira Personalizar implantações de repositório
Personalizar a implantação
Depois que o fluxo de trabalho ou o pipeline é disparado, a implantação dá suporte aos seguintes cenários:
- priorizar o conteúdo a ser implantado antes do restante do conteúdo do repositório
- excluir conteúdo da implantação
- especificar arquivos de parâmetro de modelo do ARM
Essas opções estão disponíveis por meio de um recurso do script de implantação do PowerShell chamado do fluxo de trabalho ou do pipeline. Para saber como implementar essas personalizações, confira Personalizar implantações de repositório.
Próximas etapas
Obtenha mais exemplos e instruções passo a passo sobre a implantação de repositórios do Microsoft Sentinel.