View a markdown version of this page

Quellkonfiguration für Audit Log GitHub - Amazon CloudWatch
Integration mit GitHubAuthentifizierung mit GitHubKonfiguration der CloudWatch PipelineUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Audit Log GitHub

Anmerkung

Wichtig: Für die Verwendung dieses Connectors sind GitHub Unternehmenskonten erforderlich. GitHub Persönliche Konten oder Unternehmenskonten werden nicht unterstützt.

Integration mit GitHub

Mit Amazon Telemetry Pipelines können Sie Auditprotokolle aus der GitHub Enterprise Cloud sammeln. GitHub Enterprise ist eine Softwareentwicklungsplattform für Unternehmen, die für die komplexen Workflows der modernen Entwicklung entwickelt wurde. GitHub Enterprise Cloud ist die Cloud-basierte Lösung von GitHub Enterprise, die auf GitHub den Servern gehostet wird.

Authentifizierung mit GitHub

Um die Audit-Logs lesen zu können, muss sich Pipeline mit Ihrem GitHub Konto authentifizieren. Für den Unternehmensbereich können Sie den persönlichen Zugriffstoken und für den Unternehmensbereich entweder den persönlichen Zugriffstoken oder die GitHub App verwenden.

Generieren Sie das Token, um sich als Personal Access Token zu authentifizieren:

  • Melden Sie sich GitHub mit den Anmeldeinformationen für das Konto an GitHub

  • Der authentifizierte Benutzer muss ein Unternehmensadministrator sein, um diesen Endpunkt verwenden zu können

  • Öffnen Sie die Seite GitHub Persönliche Zugriffstoken (klassisch), suchen Sie nach der Option Neues Token generieren (klassisch) und folgen Sie dann den Anweisungen zum Generieren eines Tokens mit read:audit_log Gültigkeitsbereich und Ohne GitHub Ablauf

  • Speichern Sie dieses neue Token geheim AWS Secrets Manager unter dem Schlüssel personal_access_token

Generieren Sie den privaten Schlüssel, um sich als GitHub App zu authentifizieren:

  • Melden Sie sich GitHub mit den Anmeldeinformationen für das Konto an GitHub

  • Stellen Sie sicher, dass die GitHub App über die Organisationsberechtigungen (Leserechte) „Administration“ verfügt

  • Folgen Sie den Anweisungen unter Private Schlüssel für GitHub Apps verwalten und generieren Sie den privaten Schlüssel

  • Speichern Sie diesen privaten Schlüssel geheim AWS Secrets Manager unter dem Schlüssel private_key und den Namen der GitHub App unter dem Schlüssel app_id

Konfiguration der CloudWatch Pipeline

Wenn Sie die Pipeline so konfigurieren, dass sie Audit-Logs aus GitHub Enterprise Cloud liest, wählen Sie GitHub Audit-Logs als Datenquelle. Wählen Sie je nach Umfang Ihrer Integration den Quelltyp als Unternehmen oder Organisation aus und geben Sie die erforderlichen Informationen wie Unternehmens- oder Organisationsname entsprechend dem ausgewählten Bereich ein. Sobald Sie die Pipeline erstellt haben, sind die Daten in der ausgewählten Protokollgruppe „ CloudWatch Protokolle“ verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und die GitHub Aktionen, die Account Change (3001), API Activity (6003) und Entity Management (3004) zugeordnet sind.

Account Change umfasst die folgenden Aktionen:

  • org.enable_two_factor_requirement

  • org.disable_two_factor_requirement

  • Zwei-Faktor-Authentifizierung.add_factor

  • two_factor_authentication.aktiviert

  • two_factor_authentication.deaktiviert

  • two_factor_authentication.remove_factor

  • org.disable_saml

  • org.enable_saml

  • personal_access_token.access_restriction_disabled

  • personal_access_token.access_restriction_enabled

  • personal_access_token.expiration_limit_set

  • personal_access_token.expiration_limit_unset

Die API-Aktivität umfasst die folgenden Aktionen:

  • repository_secret_scanning_custom_pa... erstellen

  • repository_secret_scanning_custom_pa... aktualisieren

  • repository_secret_scanning_custom_pa... löschen

  • repository_secret_scanning_custom_pa... veröffentlichen

  • repository_secret_scanning_custom_p... aktiviert

  • repository_secret_scanning_custom_p... deaktiviert

  • repository_secret_scanning_non_provi... aktiviert

  • repository_secret_scanning_non_provi... deaktiviert

  • repository_secret_scanning_generic_s... aktiviert

  • repository_secret_scanning_generic_s... deaktiviert

  • business_secret_scanning_custom_pattern.create

  • business_secret_scanning_custom_pattern.update

  • business_secret_scanning_custom_pattern.delete

  • business_secret_scanning_custom_pattern.publish

  • business_secret_scanning_custom_patt... aktiviert

  • business_secret_scanning_custom_patt... deaktiviert

  • business_secret_scanning_generic_secrets.enabled

  • business_secret_scanning_generic_secrets.deaktiviert

  • business_secret_scanning_non_provide... aktiviert

  • business_secret_scanning_non_provide... deaktiviert

  • org_secret_scanning_non_provider_patt... aktiviert

  • org_secret_scanning_non_provider_patt... deaktiviert

  • org_secret_scanning_generic_secrets.enabled

  • org_secret_scanning_generic_secrets.deaktiviert

  • org_secret_scanning_custom_pattern.create

  • org_secret_scanning_custom_pattern.update

  • org_secret_scanning_custom_pattern.delete

  • org_secret_scanning_custom_pattern.publish

Mehr anzeigenWeniger anzeigen

Entity Management umfasst die folgenden Aktionen:

  • oauth_application.destroy

  • oauth_application.client_secret generieren

  • oauth_application.client_secret entfernen

  • oauth_application.revoke_all_tokens

  • oauth_application.revoke_tokens

  • oauth_application.transfer

  • personal_access_token.auto_approve_grant_requests_enabled

  • personal_access_token.auto_approve_grant_requests_disabled

  • ip_allow_list.disable

  • ip_allow_list.enable_for_installe_apps

  • ip_allow_list.deaktivieren_für_installierte_Apps

  • ip_allow_list_entry.create

  • ip_allow_list_entry.update

  • ip_allow_list_entry.destroy

  • repository_secret_scanning.disable

  • repository_secret_scanning_automatic... deaktiviert

  • repository_secret_scanning_push_prot... deaktivieren

  • repository_secret_scanning_push_prot... aktivieren

  • oauth_application.create

  • oauth_application.reset_secret

  • auto_approve_personal_access_token_req... aktiviert

  • auto_approve_personal_access_token_req... deaktiviert

  • ip_allow_list.enable

  • ip_allow_list.disable_user_level_enforcement

  • ip_allow_list.enable_user_level_enforcement

  • repository_secret_scanning.enable

  • repository_secret_scanning_automatic... aktiviert

  • repository_secret_scanning_push_prot... aktivieren

  • repository_secret_scanning_push_prot... hinzufügen

  • repository_secret_scanning_push_prot... entfernen

  • repository_secret_scanning_push_prot... deaktivieren

  • secret_scanning.enable

  • secret_scanning.disable

  • secret_scanning_new_repos.enable

  • org_secret_scanning_automatic_validi... aktiviert

  • org_secret_scanning_automatic_validi... deaktiviert

  • org_secret_scanning_push_protection_b... hinzufügen

  • org_secret_scanning_push_protection_b... entfernen

  • org_secret_scanning_push_protection_b... deaktivieren

  • org_secret_scanning_push_protection_b... aktivieren

  • business_secret_scanning_automatic_va... aktiviert

  • business_secret_scanning_automatic_va... deaktiviert

  • business_secret_scanning_push_protection.enable

  • business_secret_scanning_push_protection.disable

  • business_secret_scanning_push_protection.enabled_for_new_repos

  • business_secret_scanning_push_protection.disabled_for_new_repos

  • business_secret_scanning_push_protete... aktivieren

  • business_secret_scanning_push_prote... aktualisieren

  • business_secret_scanning_push_prote... deaktivieren

Mehr anzeigenWeniger anzeigen