Microsoft Sentinel est un service de gestion des informations et des événements de sécurité (SIEM) natif du cloud qui utilise l’intelligence artificielle (IA) pour analyser les données de sécurité provenant de diverses sources et détecter les menaces. GitHub est une plateforme d’hébergement, de gestion et de collaboration sur des projets de développement logiciel à l’aide de Git. En intégrant Microsoft Sentinel à GitHub, vous pouvez surveiller et protéger vos dépôts GitHub, suivre les activités des utilisateurs et automatiser les flux de travail de sécurité. En d’autres termes, Microsoft Sentinel est un service de sécurité qui utilise l’IA pour analyser les données de sécurité et détecter les menaces, tandis que GitHub est une plateforme de développement logiciel qui permet de surveiller et protéger les dépôts GitHub, de suivre les activités des utilisateurs et d’automatiser les flux de travail de sécurité.
Utilisation des webhooks
Pour utiliser des webhooks avec Microsoft Sentinel, vous devez créer une application Azure Function qui reçoit les événements de webhook de GitHub et les envoie à votre espace de travail Microsoft Sentinel. Vous devez également configurer GitHub pour envoyer les événements de webhook à l’URL de l’application Azure Function. Les étapes sont les suivantes :
- Créez une application Azure Function dans votre portail Azure.Create an Azure Function app in your Azure portal.
- Copiez l’URL de l’application Azure Function à partir de la page Vue d’ensemble.
- Accédez à votre compte GitHub Enterprise et sélectionnez le dépôt que vous souhaitez surveiller.
- Allez dans Paramètres > Webhooks et cliquez sur Ajouter un webhook.
- Collez l’URL de l’application Azure Function dans le champ URL de la charge utile et sélectionnez application/json comme type de contenu.
- Choisissez les événements pour lesquels vous souhaitez déclencher le webhook. Vous pouvez sélectionner des événements individuels ou tous les événements.
- Cliquez sur Ajouter un webhook pour enregistrer la configuration.
Désormais, chaque fois que les événements sélectionnés se produisent dans votre référentiel GitHub, GitHub envoie un événement de webhook à l’application Azure Function, qui le transfère à votre espace de travail Microsoft Sentinel. Vous pouvez afficher les données du webhook dans Microsoft Sentinel en accédant à :
Connecteurs de données > GitHub (à l’aide de Webhooks) (à l’aide d’Azure Function) > Logs > GitHub_CL
Utilisation des journaux d’audit
Pour utiliser les journaux d’audit avec Microsoft Sentinel, vous devez activer la journalisation d’audit dans votre compte d’entreprise GitHub et créer un connecteur de données dans votre espace de travail Microsoft Sentinel. Les étapes sont les suivantes :
- Accédez à votre compte GitHub Enterprise et sélectionnez l’organisation que vous souhaitez surveiller.
- Allez dans Paramètres > Journal d’audit et cliquez sur Activer la journalisation d’audit.
- Accédez à votre espace de travail Microsoft Sentinel et sélectionnez Connecteurs de données dans le menu de navigation.
- Recherchez le connecteur GitHub Enterprise Audit Log et cliquez sur Ouvrir la page du connecteur.
- Suivez les instructions pour configurer le connecteur. Vous devrez fournir le nom de votre compte d’entreprise GitHub, votre jeton d’accès et l’URL de l’API.
- Cliquez sur Appliquer les modifications pour enregistrer la configuration.
Désormais, Microsoft Sentinel récupère périodiquement les journaux d’audit à partir de votre compte GitHub Enterprise et les ingère dans votre espace de travail. Vous pouvez afficher les données du journal d’audit dans Microsoft Sentinel en accédant à :
Connecteurs de données > GitHub Enterprise Audit Log > Logs > GitHubAudit_CL
Laisser un commentaire