GITHUB

이 문서에서는 Amazon S3를 사용하여 GitHub 감사 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 다양한 grok 패턴을 사용하여 'message' 필드에서 데이터를 추출하려고 시도하며 JSON 형식과 비 JSON 형식을 모두 처리합니다. 추출된 'process_type'을 기반으로 grok, kv, 기타 필터를 사용하여 원시 로그 데이터를 통합 데이터 모델 (UDM) 스키마에 매핑하는 특정 파싱 로직을 적용합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

• Google SecOps 인스턴스
• 엔터프라이즈 소유자 권한이 있는 GitHub Enterprise Cloud 테넌트에 대한 권한 액세스
• AWS (S3, IAM)에 대한 권한 액세스

GitHub Enterprise Cloud 필수사항 수집 (엔터프라이즈 액세스)

1. GitHub Enterprise Cloud 관리 콘솔에 로그인합니다.
2. 엔터프라이즈 설정 > 설정 > 감사 로그 > 로그 스트리밍으로 이동합니다.
3. 감사 로그 스트리밍을 구성하려면 엔터프라이즈 소유자 권한이 있어야 합니다.
4. 다음 세부정보를 복사하여 안전한 위치에 저장합니다.
   • GitHub Enterprise 이름
   • 엔터프라이즈의 조직 이름

Google SecOps용 AWS S3 버킷 및 ID 및 액세스 관리 구성

1. 이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
2. 나중에 참조할 수 있도록 버킷 이름과 리전을 저장합니다 (예: github-audit-logs).
3. 이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
4. 생성된 사용자를 선택합니다.
5. 보안 사용자 인증 정보 탭을 선택합니다.
6. 액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
7. 사용 사례로 서드 파티 서비스를 선택합니다.
8. 다음을 클릭합니다.
9. 선택사항: 설명 태그를 추가합니다.
10. 액세스 키 만들기를 클릭합니다.
11. .CSV 파일 다운로드를 클릭하여 향후 참조할 수 있도록 액세스 키와 비밀 액세스 키를 저장합니다.
12. 완료를 클릭합니다.

GitHub S3 스트리밍의 IAM 정책 구성

1. AWS 콘솔에서 IAM > 정책 > 정책 만들기 > JSON 탭으로 이동합니다.
2. 다음 정책을 복사하여 붙여넣습니다.

3. 정책 JSON (다른 버킷 이름을 입력한 경우 github-audit-logs 대체):

   {
   "Version": "2012-10-17",
   "Statement": [
       {
       "Sid": "AllowPutObjects",
       "Effect": "Allow",
       "Action": "s3:PutObject",
       "Resource": "arn:aws:s3:::github-audit-logs/*"
       }
   ]
   }
   

4. 다음 > 정책 만들기를 클릭합니다.

5. 정책 이름을 GitHubAuditStreamingPolicy로 지정하고 정책 만들기를 클릭합니다.

6. 이전에 만든 IAM 사용자로 돌아갑니다.

7. 권한 탭을 선택합니다.

8. 권한 추가 > 정책 직접 연결을 클릭합니다.

9. GitHubAuditStreamingPolicy을 검색하여 선택합니다.

10. 다음 > 권한 추가를 클릭합니다.

GitHub Enterprise Cloud 감사 로그 스트리밍 구성

1. 엔터프라이즈 소유자로 GitHub Enterprise Cloud에 로그인합니다.
2. 프로필 사진을 클릭한 다음 엔터프라이즈 설정을 클릭합니다.
3. 엔터프라이즈 계정 사이드바에서 설정 > 감사 로그 > 로그 스트리밍을 클릭합니다.
4. 스트림 구성을 선택하고 Amazon S3를 클릭합니다.
5. 인증에서 액세스 키를 클릭합니다.
6. 다음 구성 세부정보를 제공합니다.
   • 리전: 버킷의 리전을 선택합니다 (예: us-east-1).
   • 버킷: 스트리밍할 버킷의 이름을 입력합니다 (예: github-audit-logs).
   • 액세스 키 ID: IAM 사용자의 액세스 키 ID를 입력합니다.
   • 보안 비밀 키: IAM 사용자의 보안 비밀 키를 입력합니다.
7. 엔드포인트 확인을 클릭하여 GitHub가 Amazon S3 엔드포인트에 연결하고 쓸 수 있는지 확인합니다.
8. 엔드포인트 인증이 완료되면 저장을 클릭합니다.

Google SecOps용 읽기 전용 IAM 사용자 및 키 만들기

1. AWS 콘솔 > IAM > 사용자 > 사용자 추가로 이동합니다.
2. Add users를 클릭합니다.
3. 다음 구성 세부정보를 제공합니다.
   • 사용자: secops-reader를 입력합니다.
   • 액세스 유형: 액세스 키 – 프로그래매틱 액세스를 선택합니다.
4. 사용자 만들기를 클릭합니다.
5. 최소 읽기 정책 (맞춤)을 연결합니다. 사용자 > secops-reader > 권한 > 권한 추가 > 정책 직접 연결 > 정책 만들기

6. JSON:

   {
   "Version": "2012-10-17",
   "Statement": [
       {
       "Effect": "Allow",
       "Action": ["s3:GetObject"],
       "Resource": "arn:aws:s3:::github-audit-logs/*"
       },
       {
       "Effect": "Allow",
       "Action": ["s3:ListBucket"],
       "Resource": "arn:aws:s3:::github-audit-logs"
       }
   ]
   }
   

7. 이름 = secops-reader-policy

8. 정책 만들기 > 검색/선택 > 다음 > 권한 추가를 클릭합니다.

9. secops-reader의 액세스 키를 만듭니다. 보안 사용자 인증 정보 > 액세스 키 > 액세스 키 만들기 > .CSV 다운로드 (이 값을 피드에 붙여넣음).

GitHub 로그를 수집하도록 Google SecOps에서 피드 구성

1. SIEM 설정> 피드로 이동합니다.
2. + 새 피드 추가를 클릭합니다.
3. 피드 이름 필드에 피드 이름을 입력합니다 (예: GitHub audit logs).
4. 소스 유형으로 Amazon S3 V2를 선택합니다.
5. 로그 유형으로 GitHub를 선택합니다.
6. 다음을 클릭합니다.
7. 다음 입력 파라미터의 값을 지정합니다.
   • S3 URI: s3://github-audit-logs/
   • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
   • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
   • 액세스 키 ID: S3 버킷에 액세스할 수 있는 사용자 액세스 키입니다.
   • 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키입니다.
   • 애셋 네임스페이스: 애셋 네임스페이스입니다.
   • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
8. 다음을 클릭합니다.
9. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 테이블

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.