GitHub 감사 로그 쿼리

가끔 GitHub 기여자들이 브랜치 보호를 우회합니다. GitHub 감사 로그는 브랜치 보호가 우회되었다고 보고하지만, 우회 시 어떤 활동이 발생했는지에 대한 명확한 정보를 제공하지 않습니다.

이 쿼리는 브랜치 보호 우회 이벤트와 시간적으로 관련된 사용자의 이벤트를 GitHub 감사 로그에서 찾습니다.

WITH rows_i_care_about AS (
SELECT
  actor, repo, at_sign_timestamp as ts, md5(p_row_id) as event_id
FROM panther_logs.public.github_audit
WHERE action like '%override%' 
   AND p_occurs_since('3 week') 
) 
-- 위의 행들을 기준으로 시간적으로 주변에 있는 모든 행을 수집
SELECT
  b.event_id, a.* 
FROM panther_logs.public.github_audit a 
JOIN rows_i_care_about b
    WHERE ( 
    a.actor = b.actor 
    AND 
    a.repo = b.repo
    AND 
    a.at_sign_timestamp > DATEADD(MINUTE, -5, b.ts)
    AND 
    a.at_sign_timestamp < DATEADD(MINUTE, 2, b.ts)
    AND
    p_occurs_since('3 week', a)
  )
 ORDER BY event_id, at_sign_timestamp ASC

이전CloudTrail 로그 쿼리 다음GuardDuty 로그 쿼리

마지막 업데이트 2개월 전

도움이 되었나요?