Соединитель GitHub (с помощью веб-перехватчиков) (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных веб-перехватчика GitHub предоставляет возможность приема подписанных событий GitHub в Microsoft Sentinel с помощью событий веб-перехватчика GitHub. Соединитель предоставляет возможность получать события в Microsoft Sentinel, что помогает изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.
Примечание. Если вы хотите принять журналы аудита Github, обратитесь к журналу аудита GitHub Enterprise Подключение or из коллекции "Данные Подключение or".
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | githubscanaudit_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
События GitHub — все действия.
githubscanaudit_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с GitHub (с помощью веб-перехватчиков) (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель создан на основе функции Azure на основе триггера HTTP. И он предоставляет конечную точку, к которой github будет подключен через ее возможности веб-перехватчика и публикует подписанные события в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Выберите ОДИН из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО. Перед развертыванием соединителя веб-перехватчика Github укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).
Шаги после развертывания
Теперь мы закончим настройку веб-перехватчика Github. После активации событий github и после задержки от 20 до 30 минут (так как для LogAnalytics впервые потребуется выполнить сделку по развертыванию ресурсов), вы сможете просмотреть все транзакционные события из Github в таблицу рабочей области LogAnalytics с именем "githubscanaudit_CL".
Дополнительные сведения см . здесь
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.