Implementar conteúdo como código a partir do seu repositório

Ao criar conteúdo personalizado, pode geri-lo a partir das suas próprias áreas de trabalho Microsoft Sentinel ou de um repositório de controlo de código fonte externo. Este artigo descreve como criar e gerir ligações entre Microsoft Sentinel e o GitHub ou Azure repositórios de DevOps. Gerir o seu conteúdo num repositório externo permite-lhe fazer atualizações a esse conteúdo fora do Microsoft Sentinel e ter o conteúdo atualizado automaticamente distribuído nos seus espaços de trabalho. Para obter mais informações, veja Atualizar conteúdo personalizado com ligações de repositório.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte Está na altura de mudar: descontinuar o portal do Azure do Microsoft Sentinel para reforçar a segurança.

Pré-requisitos

Microsoft Sentinel atualmente suporta ligações ao GitHub e Azure repositórios de DevOps. Antes de ligar a área de trabalho Microsoft Sentinel ao repositório de controlo de origem, certifique-se de que:

  • Tem a função de Proprietário no grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel
  • Os ficheiros de conteúdo personalizados que pretende implementar nas áreas de trabalho estão num formato suportado. Para obter os formatos suportados, veja Planear o conteúdo do repositório.
  • A conta que utiliza para criar a ligação encontra-se no seu inquilino de casa. As identidades externas, como as contas de convidado B2B e o acesso delegado, não são suportadas.
  • (Apenas regras de deteção personalizada) Uma licença Microsoft 365 E5 (ou licença equivalente que inclui Microsoft Defender XDR) e espaços de trabalho Microsoft Sentinel integrados no portal Microsoft Defender. Para mais informações, consulte Implementar regras de deteção personalizadas como código.

Antes de te ligares ao GitHub, certifica-te de que tens os seguintes pré-requisitos:

  • Acesso de colaborador ao seu repositório do GitHub
  • Ações ativadas para o GitHub e Pipelines ativadas para Azure DevOps

Para obter mais informações sobre tipos de conteúdo implementáveis, veja Planear o conteúdo do repositório.

Associar um repositório

Este procedimento descreve como ligar um repositório do GitHub ou Azure DevOps à área de trabalho Microsoft Sentinel.

Cada ligação pode suportar múltiplos tipos de conteúdo personalizado, incluindo regras de análise, regras de automação, regras de deteção personalizadas (Preview), consultas de caça, analisadores, playbooks e workbooks. Para obter mais informações, veja Acerca Microsoft Sentinel conteúdos e soluções.

Não pode criar ligações duplicadas, com o mesmo repositório e ramo, numa única Microsoft Sentinel área de trabalho.

Crie a sua ligação:

  1. Certifique-se de que iniciou sessão na sua aplicação de controlo de versões com as credenciais que pretende utilizar para estabelecer a ligação. Se tiver sessão iniciada com credenciais diferentes, termine sessão primeiro.

  2. Para Microsoft Sentinel na portal do Azure, em Gestão de conteúdos, selecione Repositórios.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gestão de conteúdo>Repositórios.

  3. Selecione Adicionar novo e, em seguida, na página Criar nova ligação de implementação , introduza um nome e uma descrição relevantes para a sua ligação.

  4. Na lista pendente Controlo de Código-Fonte, selecione o tipo de repositório que pretende ligar e, em seguida, selecione Autorizar.

  5. Selecione um dos seguintes separadores, consoante o tipo de ligação:

    1. Introduza as suas credenciais do GitHub quando lhe for pedido.

      Quando adicionar uma ligação pela primeira vez, ser-lhe-á pedido que autorize a ligação a Microsoft Sentinel. Se já tiver sessão iniciada na sua conta do GitHub no mesmo browser, as suas credenciais do GitHub são preenchidas automaticamente.

    2. Uma área de Repositório é agora apresentada na página Criar nova ligação de implementação , onde pode selecionar um repositório existente ao qual ligar. Selecione o seu repositório na lista e, em seguida, selecione Adicionar repositório.

      Quando se ligar pela primeira vez a um repositório específico, verá uma nova janela ou separador do browser, solicitando-lhe que instale a aplicação Azure Sentinel no seu repositório. Se tiver vários repositórios, selecione os que pretende instalar a aplicação Azure-Sentinel e instale-a.

      É direcionado para o GitHub para continuar a instalação da aplicação.

    3. Após a aplicação Azure-Sentinel ser instalada no seu repositório, a lista pendente Ramificação na página Criar nova ligação de implementação fica preenchida com as suas ramificações. Selecione o ramo que pretende ligar à área de trabalho Microsoft Sentinel.

    4. No menu pendente Tipos de Conteúdo, selecione o tipo de conteúdo que está a implementar.

      • Tanto os analisadores como as consultas de investigação utilizam a API de Pesquisas Guardadas para implementar conteúdo no Microsoft Sentinel. Se selecionar um destes tipos de conteúdo e também tiver conteúdo do outro tipo no ramo, ambos os tipos de conteúdo são implementados.

      • Para todos os outros tipos de conteúdo, selecionar um tipo de conteúdo no painel Criar nova ligação de implementação implementa apenas esse conteúdo para Microsoft Sentinel. O conteúdo de outros tipos não é implementado.

    5. Selecione Criar para criar a ligação. Por exemplo:

      Captura de ecrã a mostrar uma nova ligação do repositório do GitHub.

Depois de criar a ligação, é gerado um novo fluxo de trabalho ou pipeline no seu repositório. O conteúdo armazenado no seu repositório é implementado na área de trabalho Microsoft Sentinel.

O tempo de implementação pode variar consoante o volume de conteúdo que está a implementar.

Ver o estado da implementação

No GitHub: no separador Ações do repositório, selecione o ficheiro .yaml do fluxo de trabalho para aceder a registos de implementação detalhados e a quaisquer mensagens de erro específicas.

No Azure DevOps: veja o estado da implementação no separador Pipelines do repositório.

Após a conclusão da implementação:

  • O conteúdo armazenado no seu repositório é apresentado na área de trabalho Microsoft Sentinel, na página de Microsoft Sentinel relevante.

  • Os detalhes da conexão na página Repositórios são atualizados com a ligação para os registos de implementação da conexão e o estado e a hora da última implementação. Por exemplo:

    Captura de ecrã dos registos de implementação de uma ligação a um repositório do GitHub.

O fluxo de trabalho predefinido só publica o conteúdo que foi modificado desde a última implementação, com base nos commits do repositório. No entanto, poderá querer desativar as implementações inteligentes ou efetuar outras personalizações. Por exemplo, pode configurar diferentes acionadores de implementação ou implementar conteúdo exclusivamente a partir de uma pasta raiz específica. Para saber mais, veja Personalizar implementações de repositórios.

Editar conteúdo

Quando cria com êxito uma ligação ao repositório de controlo de origem, o seu conteúdo é implementado no Sentinel. Recomendamos que edite conteúdo armazenado num repositório ligado apenas no repositório e não no Microsoft Sentinel. Por exemplo, para fazer alterações às regras de análise, faça-o diretamente no GitHub ou Azure DevOps.

Se editar o conteúdo no Microsoft Sentinel em vez disso, certifique-se de exportar o conteúdo editado para o seu repositório de controlo de versões para evitar que as alterações sejam sobrescrevidas na próxima vez que o conteúdo do repositório for implementado no seu espaço de trabalho.

Eliminar conteúdo

A eliminação de conteúdo do repositório não o elimina da área de trabalho Microsoft Sentinel. Se quiser remover conteúdos que foram implementados através de repositórios, elimine-o do repositório e Microsoft Sentinel. Por exemplo, defina um filtro para o conteúdo com base no nome de origem para facilitar a identificação de conteúdos de repositórios.

Captura de ecrã a mostrar as regras de análise filtradas pelo nome de origem dos repositórios.

Remover uma ligação de repositório

Este procedimento descreve como remover a ligação a um repositório de controlo de origem de Microsoft Sentinel. Para utilizar ficheiros Bicep, a ligação do repositório tem de ser mais recente do que 1 de novembro de 2024. Utilize este procedimento para remover a ligação e recriá-la para atualizar a ligação.

Para eliminar a ligação:

  1. Em Microsoft Sentinel, em Gestão de conteúdos, selecione Repositórios.
  2. Na grelha, selecione a ligação que pretende remover e, em seguida, selecione Eliminar.
  3. Selecione Sim para confirmar a eliminação.

Depois de remover a ligação, o conteúdo que foi implementado anteriormente através da ligação permanece na área de trabalho Microsoft Sentinel. O conteúdo adicionado ao repositório depois de remover a ligação não é implementado.

Se encontrar problemas ou uma mensagem de erro ao eliminar a ligação, recomendamos que verifique o controlo de origem. Confirme que o fluxo de trabalho do GitHub ou Azure pipeline de DevOps associado à ligação foi eliminado.

Remover a aplicação Microsoft Sentinel do seu repositório do GitHub

Se pretender eliminar a aplicação Microsoft Sentinel de um repositório do GitHub, recomendamos que remova primeiro todas as ligações associadas da página repositórios Microsoft Sentinel.

Cada instalação da Aplicação Microsoft Sentinel tem um ID exclusivo que é utilizado ao adicionar e remover a ligação. Se o ID estiver em falta ou alterado, remova a ligação da página repositórios Microsoft Sentinel e remova manualmente o fluxo de trabalho do seu repositório do GitHub para impedir futuras implementações de conteúdos.

Utilize os seus conteúdos personalizados no Microsoft Sentinel da mesma forma que utiliza o conteúdo predefinido.

Para mais informações, consulte: