GitHub 감사 로그 쿼리

때때로 GitHub 기여자들이 브랜치 보호를 우회합니다. GitHub 감사 로그는 브랜치 보호가 우회되었다고 보고하지만 우회 시 어떤 활동이 있었는지에 대한 명시적인 정보를 제공하지 않습니다.

이 쿼리는 브랜치 보호 우회 이벤트와 시간적으로 관련된 GitHub 감사 로그에서 사용자의 이벤트를 찾습니다.

WITH rows_i_care_about AS (
SELECT
  actor, repo, at_sign_timestamp as ts, md5(p_row_id) as event_id
FROM panther_logs.public.github_audit
WHERE action like '%override%' 
   AND p_occurs_since('3 week') 
) 
-- 위의 행 주변의 모든 행을 시간적으로 수집
SELECT
  b.event_id, a.* 
FROM panther_logs.public.github_audit a 
JOIN rows_i_care_about b
    WHERE ( 
    a.actor = b.actor 
    AND 
    a.repo = b.repo
    AND 
    a.at_sign_timestamp > DATEADD(MINUTE, -5, b.ts)
    AND 
    a.at_sign_timestamp < DATEADD(MINUTE, 2, b.ts)
    AND
    p_occurs_since('3 week', a)
  )
 ORDER BY event_id, at_sign_timestamp ASC

PreviousCloudTrail 로그 쿼리 NextGuardDuty 로그 쿼리

Last updated 1 month ago

Was this helpful?