Aracılığıyla paylaş

Microsoft Sentinel depolarıyla özel içeriği yönetme (genel önizleme)

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Microsoft Sentinel depoları özelliği, Sentinel içeriğinin kod olarak dağıtılması ve yönetilmesi için merkezi bir deneyim sağlar. Depolar, sürekli tümleştirme /sürekli teslim (CI/CD) için dış kaynak denetimine bağlantılara izin verir. Bu otomasyon, özel içeriğinizi çalışma alanları arasında güncelleştirmek ve dağıtmak için el ile gerçekleştirilen işlemlerin yükünü ortadan kaldırır. Sentinel içeriği hakkında daha fazla bilgi için bkz . Microsoft Sentinel içeriği ve çözümleri hakkında.

Önemli

Microsoft Sentinel Depoları özelliği şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan daha yasal koşullar için Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları'na bakın.

Depo bağlantınızı planlama

Microsoft Sentinel depoları, çalışma alanınızdan bağlanmak istediğiniz depoya (depo) uygun izinlere sahip olduğunuzdan emin olmak için dikkatli bir planlama gerektirir.

  • Yalnızca GitHub ve Azure DevOps depolarına bağlantılar desteklenir.
  • GitHub deponuza ortak çalışan erişimi veya Azure DevOps deponuza Proje Yöneticisi erişimi gereklidir.
  • Microsoft Sentinel uygulamasının deponuz için yetkilendirmeye ihtiyacı vardır.
  • GitHub için eylemlerin etkinleştirilmesi gerekir.
  • Azure DevOps için işlem hatları etkinleştirilmelidir.
  • Azure DevOps bağlantısı, Microsoft Sentinel çalışma alanınızla aynı kiracıda olmalıdır.

Depoya bağlantı oluşturmak için Microsoft Sentinel çalışma alanınızı içeren kaynak grubunda Sahip rolü gerekir. Ortamınızda Sahip rolünü kullanamıyorsanız, bağlantıyı oluşturmak için Kullanıcı Erişim Yöneticisi ve Sentinel Katkıda Bulunanı rollerinin birleşimini kullanın.

Katkıda bulunan olmadığınız bir ortak depoda içerik bulursanız, önce içeriği içeri aktarın, çatal oluşturun veya katkıda bulunan olduğunuz bir depoya kopyalayın. Ardından deponuzu Microsoft Sentinel çalışma alanınıza bağlayın. Daha fazla bilgi için bkz . Deponuzdan özel içerik dağıtma.

Depo içeriğinizi planlama

Depo içeriği Bicep dosyaları veya Azure Resource Manager (ARM) şablonları olarak depolanmalıdır. Ancak Bicep daha sezgiseldir ve Azure kaynaklarını ve Microsoft Sentinel içeriğini açıklamayı kolaylaştırır.

ARM JSON şablonlarının yanında veya yerine Bicep dosya şablonlarını dağıtın. Kod seçenekleri olarak altyapıyı düşünüyorsanız Bicep'e bakmanızı öneririz. Daha fazla bilgi için bkz . Bicep nedir?.

Önemli

Bicep şablonlarını kullanmak için, bağlantınız 1 Kasım 2024'den önce oluşturulduysa depolar bağlantınızın güncelleştirilmesi gerekir. Depo bağlantılarının güncelleştirilmesi için kaldırılması ve yeniden oluşturulması gerekir.

Özgün içeriğiniz bir ARM şablonu olsa bile, gözden geçirme ve güncelleştirme işlemlerini daha az karmaşık hale getirmek için Bicep'e dönüştürmeyi göz önünde bulundurun. Dağıtım sırasında her Bicep dosyası arm şablonuna dönüştürüldüğü için Bicep ARM ile yakından ilişkilidir. ARM şablonlarını dönüştürme hakkında daha fazla bilgi için bkz . ARM şablonu JSON'yi Bicep'e derleme.

Not

Bilinen Bicep sınırlamaları:

  • Bicep şablonları özelliği desteklemez id . ARM JSON'ı Bicep'e derlerken bu özelliğin olmadığından emin olun. Örneğin, Microsoft Sentinel'den dışarı aktarılan analitik kural şablonlarının id kaldırılması gereken özelliği vardır.
  • Kod çözme sırasında en iyi sonuçları elde etmek için ARM JSON şemasını sürüm 2019-04-01 olarak değiştirin.

İçeriğinizi doğrulama

Aşağıdaki Microsoft Sentinel içerik türleri bir depo bağlantısı aracılığıyla dağıtılabilir:

  • Analiz kuralları
  • Otomasyon kuralları
  • Arama sorguları
  • Çözümleyicileri
  • Çalışma kitapları
  • Çalışma Kitapları

İpucu

Bu makalede, bu tür içeriklerin sıfırdan nasıl oluşturulacağı açıklanmaz . Daha fazla bilgi için her içerik türü için ilgili Microsoft Sentinel GitHub wiki'sine bakın.

Depo dağıtımı, içeriğin doğru JSON veya Bicep biçiminde olduğunu onaylamak dışında içeriği doğrulamaz. Dağıtmadan önce içeriğinizi Microsoft Sentinel'de test etmeye özen gösterin.

Listelenen içerik türlerinin her biri için şablonlar içeren örnek bir depo mevcuttur. Depo ayrıca depo bağlantılarının gelişmiş özelliklerinin nasıl kullanılacağını da gösterir. Daha fazla bilgi için bkz . Microsoft Sentinel CI/CD depoları örneği.

Başarılı bir depo bağlantısının ekran görüntüsü. RepositoriesSampleContent gösterilir. Bu ekran görüntüsü, örnek SentinelCICD deposundan FourthCoffee kuruluşundaki özel bir GitHub deposuna aktarıldıktan sonra verilmiştir.

En fazla bağlantı ve dağıtım sayısı

  • Her Microsoft Sentinel çalışma alanı şu anda beş depo bağlantısıyla sınırlıdır.
  • Her Azure kaynak grubu, dağıtım geçmişinde 800 dağıtımla sınırlıdır. Kaynak gruplarınızdan biri veya daha fazlası için yüksek miktarda şablon dağıtımınız varsa hatayı görebilirsiniz Deployment QuotaExceeded . Daha fazla bilgi için Azure Resource Manager şablonları belgelerinde DeploymentQuotaExceeded bölümüne bakın.

Akıllı dağıtımlarla performansı geliştirme

İpucu

Akıllı dağıtımların GitHub'da çalıştığından emin olmak için iş akışlarının deponuzda okuma ve yazma izinlerine sahip olması gerekir. Daha fazla ayrıntı için bkz . Bir depo için GitHub Actions ayarlarını yönetme.

Akıllı dağıtımlar özelliği, bağlı bir deponun içerik dosyalarında yapılan değişiklikleri etkin bir şekilde izleyerek performansı geliştiren bir arka uç özelliğidir. Her işlemeyi .sentinel denetlemek için deponuzdaki klasör içinde bir CSV dosyası kullanır. İş akışı, son dağıtımdan bu yana değiştirilmemiş içeriğin yeniden dağıtılmasını önler. Bu işlem dağıtım performansınızı artırır ve analiz kurallarınızın dinamik zamanlamalarını sıfırlama gibi çalışma alanınızdaki değişmemiş içerikle oynanmasını önler.

Akıllı dağıtımlar, yeni oluşturulan bağlantılarda varsayılan olarak etkinleştirilir. Her dağıtım tetiklendiğinde dağıtılan tüm kaynak denetimi içeriğini tercih ediyorsanız, bu içerik değiştirilip değiştirilmese de, akıllı dağıtımları devre dışı bırakmak için iş akışınızı değiştirin. Daha fazla bilgi için bkz . İş akışını veya işlem hattını özelleştirme.

Dağıtım özelleştirme seçeneklerini göz önünde bulundurun

Microsoft Sentinel depolarıyla içerik dağıtırken aşağıdaki özelleştirme seçeneklerini göz önünde bulundurun.

İş akışını veya işlem hattını özelleştirme

İş akışını veya işlem hattını aşağıdaki yollardan biriyle özelleştirin:

  • farklı dağıtım tetikleyicilerini yapılandırma
  • belirli bir çalışma alanı için yalnızca belirli bir kök klasörden içerik dağıtma
  • iş akışını düzenli aralıklarla çalışacak şekilde zamanlama
  • farklı iş akışı olaylarını birlikte birleştirme
  • akıllı dağıtımları kapatma

Bu özelleştirmeler iş akışınıza veya işlem hattınıza özgü bir .yml dosyasında tanımlanır. Uygulama hakkında daha fazla bilgi için bkz . Depo dağıtımlarını özelleştirme

Dağıtımı özelleştirme

İş akışı veya işlem hattı tetiklendiğinde dağıtım aşağıdaki senaryoları destekler:

  • depo içeriğinin geri kalanından önce dağıtılacak içeriğe öncelik verme
  • içeriği dağıtımdan dışlama
  • ARM şablonu parametre dosyalarını belirtme

Bu seçenekler, iş akışından veya işlem hattından çağrılan PowerShell dağıtım betiğinin bir özelliği aracılığıyla kullanılabilir. Bu özelleştirmeleri uygulama hakkında daha fazla bilgi için bkz . Depo dağıtımlarını özelleştirme.

Sonraki adımlar

Microsoft Sentinel depolarını dağıtma hakkında daha fazla örnek ve adım adım yönergeler alın.