GitHub 로그
Panther는 GitHub 로그 직접 가져오기 및 감사 로그 스트리밍을 지원합니다
개요
Panther는 다음을 수집하는 것을 지원합니다 GitHub 다음에 설명된 다양한 방법을 통해 로그를 수집합니다.
Panther는 다음 GitHub 로그 수집 방법을 지원합니다:
Panther는 를 쿼리하여 GitHub 감사 로그를 가져올 수 있습니다 GitHub API 새 이벤트를 매 1분마다.
이 방법은 GitHub의 조직 수준.
Panther는 를 사용하여 GitHub 감사 로그를 수집할 수 있습니다 GitHub의 감사 로그 스트리밍 기능 AWS S3 또는 Google Cloud Storage를 통해.
이 방법은 GitHub의 엔터프라이즈 수준.
GitHub Enterprise Cloud를 사용 중인 경우, 감사 로그 스트리밍 방법으로 로그를 수집하는 것이 권장됩니다. 이는 단일 통합으로 전체 엔터프라이즈의 로그를 수집할 수 있게 해주기 때문입니다. API 방법은 하나의 GitHub 조직에 대해서만 로그를 가져올 수 있습니다.
GitHub 조직 로그를 Panther에 온보딩하는 방법
귀하의 GitHub 조직은 Github Enterprise Cloud 배포의 일부여야 합니다. Github Enterprise Server의 자체 호스팅 옵션은 아직 지원되지 않습니다.
1단계: GitHub에서 Panther 권한 부여
Panther가 GitHub 감사 로그를 수신하도록 권한을 부여하는 방법은 두 가지가 있습니다:
새 OAuth 앱 생성 GitHub에서 앱을 생성하고 앱 자격 증명을 Panther에 제공
개인 액세스 토큰 생성 GitHub에서 생성하고 자격 증명을 Panther에 제공
옵션 1: 새 OAuth 앱 생성
아래 단계는 귀하가 GitHub 조직에서 조직 소유자 권한과 GitHub Enterprise 구독을 보유한 경우에만 수행할 수 있습니다. 동일한 자격 증명을 사용하여 여러 GitHub 조직에 대해 통합을 구성해야 하는 경우, 개인 액세스 토큰을 사용하거나 조직 계정 대신 사용자 계정에서 생성된 OAuth2 앱 을 사용할 수 있습니다. 조직들이 OAuth2 앱 액세스 제한을 활성화했을경우, 앱은 조직 관리자가 먼저 승인해야 합니다.
GitHub Enterprise 계정에 로그인합니다.
조직 계정의 홈페이지에서, 를 클릭합니다 설정 탭을 클릭하세요.
페이지 하단으로 스크롤한 다음 를 클릭합니다 개발자 설정 그런 다음 OAuth 앱 (앱을
조직수준에 설치합니다).를 클릭합니다 애플리케이션 등록. 양식을 작성하세요:
기억에 남는 애플리케이션 이름을 이름 필드에 입력하세요. 예:
Panther 통합.Panther 인스턴스의 기본 URL을 홈페이지 URL 필드에 입력하세요. 예:
https://test.runpanther.xyz다음 값을 복사하세요 리디렉트 URL Panther에서 가져와서 승인 콜백 URL 필드에 붙여넣으세요.
에 붙여넣습니다. 이를 수행하려면 Panther에 로그인하고 로그 소스로 GitHub를 설정하여 아래 지침을따르세요. 단계에서 리디렉트 URL를 보게 되면 복사하여 계속해서 GitHub 앱 설정을 진행할 수 있습니다.
필요한 모든 필드를 입력한 후, 를 클릭합니다 애플리케이션 등록.
이동: 권한 및 이벤트 를 설정하고
관리>읽기권한을 권한 목록에서 설정하세요.애플리케이션이 등록되면, 를 보고 새 클라이언트 ID 클라이언트 시크릿을 생성할 수 있습니다. 클라이언트 시크릿. 다음 단계에서 필요하므로 안전한 위치에 저장하세요.
옵션 2: 개인 액세스 토큰 생성
아래 단계는 귀하가 GitHub 조직에서 조직 소유자 권한과 GitHub Enterprise 구독을 보유한 경우에만 수행할 수 있습니다. GitHub에서 개인 액세스 토큰을 생성하는 방법에 대해 더 읽어볼 수 있습니다 에 대해 더 읽을 수 있습니다.
GitHub Enterprise 계정에 로그인합니다.
프로필을 클릭한 다음 를 클릭합니다 설정 옵션.
페이지 하단으로 스크롤한 다음 를 클릭합니다 개발자 설정 그런 다음 개인 액세스 토큰.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새 토큰 생성 을 클릭하고 설명적인 토큰 이름을 입력하세요, 예:
Panther 통합.이 토큰에 부여할 범위(권한)를 선택하세요.
다음
read:audit_log범위를 선택하세요.도구가 Snowflake 계정과 관리 사용자를 대신 프로비저닝해야 하는 경우:
read:audit_log해당 범위를 사용할 수 없는 경우, 대신admin:org>read:org권한을 선택하세요.
다음을 활성화할 필요는 없습니다:
write:orgListBucket
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 토큰 생성.
토큰을 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.
2단계: Panther에서 새 GitHub API 소스 생성
Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
“GitHub API”를 검색한 다음 해당 타일을 클릭하세요.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.
다음 화면에서 소스의 설명 이름을 입력하세요(예:
내 GitHub 감사 로그) 및 모니터링하려는 GitHub 조직의 이름을 입력합니다.를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.
Panther가 GitHub에서 로그를 수신하도록 권한을 부여하세요 - 위에서 선택한 옵션에 따라 아래 단계를 따르세요:
OAuth2 권한 부여 흐름 사용: Panther에서 이전 단계에서 생성한 앱 클라이언트 ID 및 GitHub에서 획득한 클라이언트 시크릿 정보를 사용합니다. 애플리케이션을 등록하면 GitHub 계정의 OAuth 앱 세부정보 페이지에서 이 정보를 찾을 수 있습니다.
개인 액세스 토큰 사용: 개인 액세스 토큰 키를 복사하여 개인 액세스 토큰 필드에 붙여넣습니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Panther 콘솔에서 필드에 값을 입력하세요:
다음 옵션이 표시됩니다: 액세스 부여.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 권한 부여.
3단계: 소스 설정 완료
성공 화면으로 이동됩니다: 선택적으로 하나 이상의.
사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은예
감사 로그 스트리밍을 통해 GitHub 로그를 Panther에 온보딩하는 방법
GitHub 감사 로그 스트리밍을 Panther와 구성하는 단계는 두 가지입니다:
GitHub에서 스토리지 대상으로 감사 로그 스트리밍을 설정합니다.
Panther에서 새 GitHub 감사 로그 스트리밍 소스를 생성합니다.
전제 조건
감사 로그 스트리밍은 GitHub의 엔터프라이즈 소유자가 GitHub에서 구성해야 합니다.
1단계: GitHub에서 스토리지 대상으로 감사 로그 스트리밍 설정
Panther는 두 가지 스토리지 대상에서 GitHub 감사 로그 스트리밍 데이터를 수집하는 것을 지원합니다. 아래 스토리지 대상 중 하나를 선택하세요:
AWS S3
다음 지침을 따르세요: Amazon S3용 스트리밍 설정.
Google Cloud GCS
다음 지침을 따르세요: Google Cloud Storage로 스트리밍 설정.
2단계: Panther에서 새 GitHub 감사 로그 스트리밍 소스 생성
Panther 콘솔의 왼쪽 탐색 바에서 를 클릭하세요 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Python 함수를 입력한 다음.
GitHub을 검색하세요. 를 선택하세요 GitHub 감사 로그 스트리밍 타일을 클릭합니다.
선택한 전송 방법에 따라 다음 중 하나를 선택하세요: S3 이전에 생성한 Snowflake 사용자 이름, 예를 들면 GCS선택한 전송 방법에 따라.
선택한 대상 방법에 대한 온보딩 프로세스를 따르세요:
S3의 경우, Panther가 S3에서 로그를 가져오도록 활성화하는 방법에 대한 문서를 따르세요.
Panther에서 S3 버킷을 만든 후, 소스의 스키마 탭으로 이동하여 고급 편집 및 원시 이벤트로 테스트.
를 클릭하세요. 다음을 설정하세요: S3 제외 필터
값으로.
문서를 따르세요
GitHub 웹훅 이벤트 온보딩 방법
Panther는 GitHub 웹훅 이벤트를 HTTP를 통해 직접 수집하는 것을 지원합니다.
Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
1단계: Panther에서 GitHub 웹훅 소스 생성
슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 자동으로 HTTP 옵션.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
Panther의 HTTP 소스 구성에 대한 지침을 따르세요5단계부터 시작하여.
“GitHub Webhooks”를 검색한 다음 해당 타일을 클릭하세요. 인증 방법 설정 중에, HMAC가 기본값으로 설정되며 헤더 이름 설정 중에,
HMAC.X-Hub-Signature-256 가 설정됩니다. 입력한
이 소스로 전송된 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.
HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
비밀 키 값
을 저장하세요. 다음 단계에서 필요합니다. 2단계: GitHub에서 웹훅 생성.
GitHub에서 웹훅을 생성하는 자세한 지침은 다음을 참조하세요:
샘플 로그 웹훅.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. GitHub의 웹훅 생성 문서.
GitHub에서 조직으로 이동합니다.
웹훅 추가다음 필드에 값을 입력하세요:
콘텐츠 유형.페이로드 URL: 로 설정
application/json: Panther에서 1단계에서 생성한 HTTP 소스 URL로 설정하세요.
비밀 값
: 1단계에서 HTTP 소스 생성 시 사용한 값을 여기에 설정하세요. Panther가 수신할 이벤트를 선택하세요. 모든 이벤트 유형이 지원되지만, 모든 이벤트가 보안상 유의미한 것은 아닙니다..
이벤트 유형에 대한 설명은 다음을 참조하세요:
GitHub의 웹훅 이벤트 및 페이로드 문서보안상 유의미한 GitHub 웹훅 이벤트 유형(일반적으로)푸시 (push)풀 리퀘스트 (pull_request),저장소 (repository),멤버 (member)멤버십 (membership)팀 (team),조직 (organization)설치 (installation)설치_저장소 (installation_repositories)비밀 스캐닝 알러트 (secret_scanning_alert)코드 스캐닝 알러트 (code_scanning_alert)저장소 취약점 알러트 (repository_vulnerability_alert)워크플로 디스패치 (workflow_dispatch)워크플로 작업 (workflow_job)워크플로 실행 (workflow_run)체크 실행 (check_run)Dependabot 알러트 (dependabot_alert)브랜치 보호 룰 (branch_protection_rule)
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. GitHub의 웹훅 생성 문서.
Panther 관리 디텍션
참조 Panther 관리 브랜치 보호 구성 (branch_protection_configuration) panther-analysis GitHub 리포지토리.
데이터 익스플로러에서 로그 쿼리하기
보안 및 분석 (security_and_analysis) Panther의 데이터 탐색기에서 GitHub 로그를 쿼리하는 예제를 보려면 다음을 참조하세요:.
지원되는 로그 유형
Github 감사 로그 쿼리
GitHub.Webhook GitHub 웹훅은 조직 또는 저장소 내에서 생성되는 모든 이벤트에 대해 알림을 발행합니다. 자세한 내용은 다음을 참조하세요:.
설명: 청구 이벤트의 발효 날짜.
Github.Audit 감사 로그는 조직 관리자들이 조직 구성원이 수행한 작업을 빠르게 검토할 수 있게 해줍니다. 자세한 내용은 다음을 참조하세요:.
마지막 업데이트
도움이 되었나요?