微软SIEM平台Sentinel整合GitHub，可持续监控企业储存库安全

游研社 • 2023年8月25日 15:50 • 投稿

微软现在让GitHub企业用户，可以将存储库连接到云端安全性信息与事件管理员（SIEM）平台Microsoft Sentinel工作区，以获得GitHub审计日志，纪录像是储存库创建和删除、存储库复制次数等信息。

Microsoft Sentinel 过去称为Azure Sentinel，利用人工智能分析大量资料，发现企业网络环境中潜在的威胁者。微软提到，追踪企业GitHub储存库的各种活动非常重要，因为能够发现可疑事件，并且使管理者有能力调查环境中的异常。

Microsoft Sentinel通过与GitHub整合，接收企业储存库日志，目前该监控解决方案，仅适用于使用GitHub Enterprise授权的用户，其内建分析规则，可以在特定事件发生时触发警示，并且在工作簿中可视化资料。 Microsoft Sentinel所提供的开箱即用分析规则，包括储存库创建、删除、支付方法移除，以及OAuth应用程序等。

当连接到Microsoft Sentinel的企业GitHub环境中，有新的储存库被创建时，警示便会被启动，并且提供管理者储存库名称和用户身份，相同的，储存库移除时也会触发警示，供管理员确定移除储存库的用户，拥有适当的权限，而且非恶意攻击者所为。

每次GitHub储存库中的支付方法被更动时，Microsoft Sentinel也能即时发出警示，供管理员知道何时付款方式被移除，并验证执行该动作的用户身份。另外，当用户删除客户端密码时，会触发Microsoft Sentinel中的OAuth应用程序警示，官方提到，这也是属于值得管理员注意的高优先度警示。

工作簿所提供的可视化信息，包含GitHub存储库新增和删除的成员，还有创建的存储库，以及所有储存库被分叉和复制的次数。管理员可以查询的时窗，最长90天短至24小时，甚至是更小的时窗。