Microsoft Sentinel 用 GitHub (Webhook を使用) (Azure Functions を使用) コネクタ
GitHub Webhook データ コネクタは、GitHub Webhook イベントを使って GitHub でサブスクライブされたイベントを Microsoft Sentinel に取り込む機能を提供します。 このコネクタを使うと、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを Microsoft Sentinel に取得できます。
注: GitHub の監査ログを取り込む場合は、"データ コネクタ" ギャラリーの GitHub Enterprise Audit Log コネクタを参照してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | githubscanaudit_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
GitHub イベント - すべてのアクティビティ。
githubscanaudit_CL
| sort by TimeGenerated desc
前提条件
GitHub (Webhook を使用) (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
ベンダーのインストール手順
注意
このコネクタは、HTTP トリガー ベースの Azure 関数に基づいて構築されています。 また、Github が Webhook 機能を介して接続され、サブスクライブされたイベントを Microsoft Sentinel に投稿する、エンドポイントが提供されます。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: GitHub Webhook コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピーできます)。
デプロイ後の手順
これで、GitHub Webhook の構成が完了しました。 GitHub イベントがトリガーされると、20 分から 30 分の遅延の後 (LogAnalytics が初めてリソースを起動する処理が発生するため)、GitHub から Log Analytics ワークスペースのテーブル "githubscanaudit_CL" に送られたすべてのトランザクション イベントを表示できるようになります。
詳しくは、こちらをクリックしてください
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。