你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 GitHub(使用 Webhook)(使用 Azure Functions)连接器
GitHub Webhook 数据连接器提供使用 GitHub Webhook 事件将 GitHub 订阅事件引入 Microsoft Sentinel 的功能。 该连接器提供将事件引入 Microsoft Sentinel 的功能,这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。
注意:如果你打算引入 Github 审核日志,请参阅“数据连接器”库中的 GitHub Enterprise 审核日志连接器。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | githubscanaudit_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
GitHub 事件 - 所有活动。
githubscanaudit_CL
| sort by TimeGenerated desc
先决条件
若要与 GitHub(使用 Webhook)(使用 Azure Functions)集成,请确保你拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
供应商安装说明
注意
此连接器在基于 http 触发器的 Azure 函数上构建。 它还提供了一个终结点,Github 将通过其 Webhook 功能连接到该终结点,并将订阅的事件发布到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数
重要提示:在部署 Github Webhook 连接器之前,请从以下位置复制工作区 ID 和工作区主密钥。
部署后的步骤
现在,我们已完成 Github Webhook 配置。 在 Github 事件触发并延迟 20 到 30 分钟后(因为 LogAnalytics 第一次启动资源会出现延迟),你将能够看到从 Github 引入到 LogAnalytics 工作区表(称为“githubscanaudit_CL”)的所有事务性事件。
有关详细信息,请单击此处。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。