你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建自定义内容时,可以从自己的Microsoft Sentinel工作区或外部源代码管理存储库对其进行管理。 本文介绍如何创建和管理 Microsoft Sentinel 与 GitHub 或 Azure DevOps 存储库之间的连接。 通过管理外部存储库中的内容,可以在Microsoft Sentinel之外对内容进行更新,并将其自动部署到工作区。 有关详细信息,请参阅 使用存储库连接更新自定义内容。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。 有关详细信息,请参阅是时候移动了:为提高安全性而停用Microsoft Sentinel Azure 门户。
先决条件
Microsoft Sentinel当前支持连接到 GitHub 和 Azure DevOps 存储库。 在将Microsoft Sentinel工作区连接到源代码管理存储库之前,请确保:
- 在包含Microsoft Sentinel工作区的资源组中具有所有者角色
- 要部署到工作区的自定义内容文件采用受支持的格式。 有关支持的格式,请参阅 规划存储库内容。
- 用于创建连接的帐户位于主租户中。 不支持外部标识,例如 B2B 来宾帐户和委派访问权限。
- 协作者对 GitHub 存储库的访问权限
- 为 GitHub 启用的操作和为 Azure DevOps 启用的管道
有关可部署内容类型的详细信息,请参阅 规划存储库内容。
连接存储库
此过程介绍如何将 GitHub 或 Azure DevOps 存储库连接到Microsoft Sentinel工作区。
每个连接可以支持多种类型的自定义内容,包括分析规则、自动化规则、搜寻查询、分析程序、playbook 和工作簿。 有关详细信息,请参阅关于Microsoft Sentinel内容和解决方案。
不能在单个Microsoft Sentinel工作区中创建具有相同存储库和分支的重复连接。
创建连接:
确保已使用要用于连接的凭据登录到源代码管理应用。 如果当前使用不同的凭据登录,请先注销。
对于Azure 门户中的Microsoft Sentinel,请在“内容管理”下选择“存储库”。
对于 Defender 门户中的Microsoft Sentinel,请选择“Microsoft Sentinel>”内容管理>存储库”。选择“ 新增”,然后在“ 创建新部署连接 ”页上,输入有意义的连接名称和说明。
从 “源代码管理 ”下拉列表中,选择要连接到的存储库类型,然后选择“ 授权”。
根据连接类型选择以下选项卡之一:
出现提示时输入 GitHub 凭据。
首次添加连接时,系统会提示你授权连接到Microsoft Sentinel。 如果已在同一浏览器上登录到 GitHub 帐户,则会自动填充 GitHub 凭据。
“创建新部署连接”页上现在会显示“存储库”区域,你可以在其中选择要连接到的现有存储库。 从列表中选择存储库,然后选择 “添加存储库”。
首次连接到特定存储库时,你将看到一个新的浏览器窗口或选项卡,提示你在存储库上安装 Azure Sentinel 应用。 如果有多个存储库,请选择要在其中安装 Azure-Sentinel 应用的存储库,然后将其安装。
系统会定向到 GitHub 继续应用安装。
在存储库中安装 Azure Sentinel 应用后,“创建新部署连接”页中的“分支”下拉列表将填充分支。 选择要连接到Microsoft Sentinel工作区的分支。
从 “内容类型” 下拉列表中,选择要部署的内容类型。
分析器和搜寻查询都使用保存的搜索 API 将内容部署到Microsoft Sentinel。 如果选择其中一种内容类型,并且分支中还包含另一种类型的内容,则会部署这两种内容类型。
对于所有其他内容类型,在“创建新部署连接”窗格中选择内容类型时,仅会将该内容部署到Microsoft Sentinel。 不会部署其他类型的内容。
选择“ 创建 ”以创建连接。 例如:
创建连接后,会在存储库中生成新的工作流或管道。 存储在存储库中的内容将部署到Microsoft Sentinel工作区。
部署时间可能因要部署的内容量而异。
查看部署状态
在 GitHub 中:在存储库的“ 操作 ”选项卡上,选择工作流 .yaml 文件以访问详细的部署日志和任何特定的错误消息。
在 Azure DevOps 中:从存储库的“管道”选项卡查看部署状态。
部署完成后:
存储库中存储的内容显示在Microsoft Sentinel工作区的相关Microsoft Sentinel页中。
“ 存储库 ”页上的连接详细信息将更新为连接部署日志的链接以及上次部署的状态和时间。 例如:
默认工作流仅部署自上次部署以来基于对存储库的提交修改的内容。 但你可能想要关闭智能部署或执行其他自定义。 例如,可以配置不同的部署触发器,或从特定根文件夹以独占方式部署内容。 若要了解详细信息,请参阅 自定义存储库部署。
编辑内容
成功创建与源代码管理存储库的连接后,内容将部署到Sentinel。 建议仅编辑存储在已连接存储库中的内容,而不要在Microsoft Sentinel中。 例如,若要更改分析规则,请直接在 GitHub 或 Azure DevOps 中进行更改。
如果改为在 Microsoft Sentinel 中编辑内容,请确保将其导出到源代码管理存储库,以防止在下次将存储库内容部署到工作区时覆盖所做的更改。
删除内容
从存储库中删除内容不会将其从Microsoft Sentinel工作区中删除。 如果要删除通过存储库部署的内容,请从存储库和Microsoft Sentinel中删除它。 例如,基于源名称为内容设置筛选器,以便更轻松地识别存储库中的内容。
删除存储库连接
此过程介绍如何从 Microsoft Sentinel 中删除与源代码管理存储库的连接。 若要使用 Bicep 文件,存储库连接必须高于 2024 年 11 月 1 日。 使用此过程删除并重新创建连接以更新连接。
若要删除连接,请执行以下操作:
- 在“Microsoft Sentinel”中,在“内容管理”下,选择“存储库”。
- 在网格中,选择要删除的连接,然后选择“ 删除”。
- 选择“ 是 ”以确认删除。
删除连接后,以前通过连接部署的内容将保留在Microsoft Sentinel工作区中。 删除连接后添加到存储库的内容不会部署。
如果在删除连接时遇到问题或错误消息,建议检查源代码管理。 确认已删除与连接关联的 GitHub 工作流或Azure DevOps 管道。
从 GitHub 存储库中删除 Microsoft Sentinel 应用
如果打算从 GitHub 存储库中删除 Microsoft Sentinel 应用,建议首先从“Microsoft Sentinel存储库”页中删除所有关联的连接。
每个Microsoft Sentinel应用安装都有一个唯一的 ID,该 ID 在添加和删除连接时使用。 如果 ID 缺失或更改,请从“Microsoft Sentinel存储库”页中删除连接,并从 GitHub 存储库手动删除工作流,以防止将来进行任何内容部署。
相关内容
使用 Microsoft Sentinel中的自定义内容的方式与使用现用内容的方式相同。
有关更多信息,请参阅: