適用於 Microsoft Sentinel 的 GitHub (使用 Webhook) (使用 Azure Functions) 連接器
GitHub Webhook 資料連接器可讓您使用 GitHub Webhook 事件,將 GitHub 訂閱的事件內嵌至 Microsoft Sentinel。 連接器可讓您將事件放入 Microsoft Sentinel,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
注意:如果您打算內嵌 GitHub 稽核記錄,請參閱來自「資料連接器」資源庫的 GitHub Enterprise 稽核記錄連接器。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | githubscanaudit_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
GitHub 事件 - 所有活動。
githubscanaudit_CL
| sort by TimeGenerated desc
必要條件
若要與 GitHub (使用 Webhook) (使用 Azure Functions) 整合,請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
廠商安裝指示
注意
已在 HTTP 觸發程序型 Azure Function 上建置此連接器。 並提供將透過 github Webhook 功能來連線 github 的端點,然後將已訂閱的事件張貼至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure Function
重要:部署 GitHub Webhook 連接器之前,請先備妥工作區識別碼及工作區主要金鑰 (可從下方複製)。
部署後步驟
現在,我們已完成 github Webhook 設定。 觸發 github 事件之後,並在延遲 20 到 30 分鐘 (LogAnalytics 第一次啟動資源會發生一個延遲) 之後,您應該能夠看到 GitHub 中的所有交易事件進入稱為 "githubscanaudit_CL" 的 LogAnalytics 工作區資料表。
如需更多詳細資料,請按一下這裡
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。