Потоковая передача журнала аудита для предприятия

Сведения о потоковой передаче журналов аудита

Вы можете защитить интеллектуальную собственность и обеспечить соответствие вашей компании с помощью потоковой передачи для хранения копий данных журнала аудита. События журнала аудита, такие как изменения параметров и доступа, членство пользователей, разрешения приложения и многое другое. См. раздел AUTOTITLE, AUTOTITLE[ и [AUTOTITLE. ](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/audit-log-events-for-your-organization)](/authentication/keeping-your-account-and-data-secure/security-log-events)

Данные журнала аудита потоковой передачи имеют следующие преимущества:

• Исследование данных. Проверьте потоковые события с помощью предпочтительного средства для запроса больших объемов данных. Поток содержит как аудитские события, так и события Git для всего корпоративного аккаунта.
• Непрерывность данных. Если вы приостанавливаете поток, он сохраняет буфер в течение семи дней, поэтому на первую неделю нет потери данных. Если поток остается приостановлен более семи дней, он будет возобновляться с точки на одну неделю до текущего времени. Если приостановить поток на три недели и более, поток не будет сохранять данные и начинается заново с текущей временной метки.
• Хранение данных. Сохраняйте экспортированные журналы аудита и данные событий Git до тех пор, пока вам нужно.

Вы можете настроить, приостановить или удалить поток в любое время. Поток экспортирует данные о событиях аудита и Git для всех организаций в вашей организации с момента включения потока.

Все потоковые журналы аудита отправляются в виде сжатых JSON-файлов. Формат имени файла включенYYYY/MM/HH/MM/<uuid>.json.gz.

Проверки работоспособности потоков журнала аудита

Каждые 24 часа проверка работоспособности выполняется для каждого потока. Если поток настроен неправильно, сообщение электронной почты будет отправлено владельцам предприятия. Чтобы избежать удаления событий журнала аудита из потока, необходимо исправить неправильно настроенный поток в течение шести дней.

Чтобы исправить конфигурацию потоковой передачи, выполните действия, описанные в разделе "Настройка потоковой передачи журнала аудита".

Настройка потоковой передачи журналов аудита

Чтобы настроить поток журнала аудита, следуйте инструкциям поставщика.

• Amazon S3
• Хранилище BLOB-объектов Azure
• Центры событий Azure
• Datadog
• Google Cloud Storage
• Splunk

Потоковая передача в несколько конечных точек

Журналы аудита можно передавать в несколько конечных точек. Например, журнал аудита можно передавать в две конечные точки одного типа или передавать в два разных поставщика. Чтобы настроить несколько потоков, следуйте инструкциям для каждого поставщика.

Настройка потоковой передачи в Amazon S3

Вы можете настроить трансляцию на S3 с помощью ключей доступа или, чтобы избежать хранения долгоживущих секретов на GitHub, с помощью OpenID Connect (OIDC).

• Настройка потоковой передачи в S3 с помощью ключей доступа
• Настройка потоковой передачи в S3 с помощью OpenID Connect
• Отключение потоковой передачи в S3 с помощью OpenID Connect
• Интеграция с AWS CloudTrail Lake

Настройка потоковой передачи в S3 с помощью ключей доступа

Чтобы настроить потоковый GitHub поток аудита, вам понадобится:

• ИД ключа доступа AWS;
• секретный ключ AWS.

Сведения о создании ИД ключа доступа и секретного ключа или доступе к ним см. в статье Основные сведения об учетных данных AWS и их получение документации по AWS.

Из AWS:

1. Создайте контейнер и заблокируйте открытый доступ к нему. См. статью "Создание, настройка и работа с контейнерами Amazon S3" в документации AWS.

2. Создайте политику, которая позволяет GitHub записывать данные в контейнер. Скопируйте следующий код JSON и замените EXAMPLE-BUCKET его именем. Для GitHub требуются только разрешения в этом формате JSON.

   {
      "Version": "2012-10-17",
      "Statement": [
         {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
               "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::EXAMPLE-BUCKET/*"
        }
      ]
   }
   

   См. статью "Создание политик IAM" в документации ПО AWS.

От GitHub:

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.

3. В разделе "Параметры" щелкните журнал аудита.

4. В разделе "Журнал аудита" щелкните Потоковая передача журналов.

5. Выберите раскрывающееся меню "Настройка потока" и щелкните Amazon S3.

6. В разделе «Аутентификация» нажмите клавиши доступа.

7. Настройте параметры потоковой передачи.

   • В разделе "Регион" выберите регион контейнера. Например: us-east-1.
   • В разделе "Контейнер" введите имя контейнера, в который нужно выполнять потоковую передачу. Например: auditlog-streaming-test.
   • В разделе "Идентификатор ключа доступа" введите идентификатор ключа доступа. Например: ABCAIOSFODNN7EXAMPLE1.
   • В разделе "Секретный ключ" введите секретный ключ. Например: aBcJalrXUtnWXYZ/A1MDENG/zPxRfiCYEXAMPLEKEY.

8. Нажмите кнопку Проверить конечную точку, чтобы убедиться, что GitHub может подключиться к конечной точке Amazon S3 и записывать в нее.

9. После успешной проверки конечной точки щелкните Сохранить.

Настройка потоковой передачи в S3 с помощью OpenID Connect

Из AWS:

1. Добавьте GitHub провайдера OIDC в IAM. Сведения о создании поставщиков удостоверений OpenID Connect (OIDC) см. в документации ПО AWS.

   • Для URL-адреса поставщика используйте https://oidc-configuration.audit-log.githubusercontent.com.
   • Для параметра "Аудитория" используйте sts.amazonaws.com.

2. Создайте контейнер и заблокируйте открытый доступ к нему. См. статью "Создание, настройка и работа с контейнерами Amazon S3" в документации AWS.

3. Создайте политику, которая позволяет GitHub записывать данные в контейнер. Скопируйте следующий код JSON и замените EXAMPLE-BUCKET его именем. Для GitHub требуются только разрешения в этом формате JSON.

   {
      "Version": "2012-10-17",
      "Statement": [
         {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
               "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::EXAMPLE-BUCKET/*"
        }
      ]
   }
   

   См. статью "Создание политик IAM" в документации ПО AWS.

4. Настройте роль и политику доверия для GitHub IDP. Сведения о создании роли для веб-удостоверений или федерации OpenID Connect (консоль) в документации AWS.

   • Добавьте политику разрешений, созданную ранее, чтобы разрешить запись в контейнер.

   • Измените отношение доверия, чтобы добавить поле sub в условия проверки, заменив ENTERPRISE на имя предприятия.

     Примечание.

     Значение ENTERPRISE учитывает регистр. Если имя предприятия содержит прописные буквы, используйте тот же случай в политике доверия.

     "Condition": {
        "StringEquals": {
           "oidc-configuration.audit-log.githubusercontent.com:aud": "sts.amazonaws.com",
           "oidc-configuration.audit-log.githubusercontent.com:sub": "https://github.com/ENTERPRISE"
         }
      }
     

   • Запишите имя ресурса Amazon (ARN) созданной роли.

От GitHub:

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.

3. В разделе "Параметры" щелкните журнал аудита.

4. В разделе "Журнал аудита" щелкните Потоковая передача журналов.

5. Выберите раскрывающееся меню "Настройка потока" и щелкните Amazon S3.

6. В разделе "Проверка подлинности" щелкните OpenID Connect.

7. Настройте параметры потоковой передачи.

   • В разделе "Регион" выберите регион контейнера. Например, us-east-1также доступна опция Auto Discovery.
   • В разделе "Контейнер" введите имя контейнера, в который нужно выполнять потоковую передачу. Например: auditlog-streaming-test.
   • В разделе "Роль ARN" введите роль ARN, записанную ранее. Например: arn:aws::iam::1234567890:role/github-audit-log-streaming-role.

8. Нажмите кнопку Проверить конечную точку, чтобы убедиться, что GitHub может подключиться к конечной точке Amazon S3 и записывать в нее.

9. После успешной проверки конечной точки щелкните Сохранить.

Отключение потоковой передачи в S3 с помощью OpenID Connect

Чтобы отключить трансляцию в S3 с OIDC, удалите GitHub провайдера OIDC, которого вы создали в AWS при настройке стриминга. Сведения о создании поставщиков удостоверений OpenID Connect (OIDC) см. в документации ПО AWS.

Если вы отключите потоковую передачу из-за уязвимости безопасности в OIDC, после удаления поставщика настройте потоковую передачу с ключами доступа до устранения уязвимости. См. раздел "Настройка потоковой передачи в S3 с ключами доступа".

Интеграция с AWS CloudTrail Lake

Журналы аудита можно объединить, интегрируя потоковую передачу в S3 с AWS CloudTrail Lake. См. документацию AWS CloudTrail или журнал аудита GitHub для открытого аудита CloudTrail в репозитории aws-samples/aws-cloudtrail-lake-github-audit-log.

Настройка потокового потока в Хранилище BLOB-объектов Azure

Перед тем как настраивать поток в GitHub, сначала создайте аккаунт хранения и контейнер в Microsoft Azure. См. Введение в Хранилище BLOB-объектов Azure в документации Microsoft.

Чтобы настроить поток, вам потребуется URL-адрес маркера SAS.

Из портал Microsoft Azure:

1. На домашней странице выберите Учетные записи хранения.
2. В разделе "Имя" щелкните имя учетной записи хранения, которую вы хотите использовать.
3. В разделе "Хранилище данных" щелкните "Контейнеры".
4. Щелкните имя контейнера, который хотите использовать.
5. В левой боковой панели в разделе "Параметры" щелкните "Общие маркеры доступа".

6.        **Выберите раскрывающееся меню "Разрешения"**, а затем выберите `Create` и `Write` отмените выбор всех остальных параметров.
   

7. Задайте дату окончания срока действия, соответствующую политике смены секретов.
8. Щелкните Создать маркер SAS и URL-адрес.
9. Скопируйте значение отображаемого поля URL-адрес SAS BLOB-объекта. Вы будете использовать этот URL в GitHub.

От GitHub:

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
3. В разделе "Параметры" щелкните журнал аудита.
4. В разделе "Журнал аудита" щелкните Потоковая передача журналов.
5. Выберите выпадающее меню Configure stream и нажмите Хранилище BLOB-объектов Azure.
6. На странице конфигурации введите blob SAS URL, который вы скопировали в Azure. Поле Container (Контейнер) заполняется автоматически на основе URL-адреса.
7. Нажмите Check endpoint чтобы проверить, может ли GitHub подключиться и записать на Хранилище BLOB-объектов Azure конечную точку.
8. После успешной проверки конечной точки щелкните Сохранить.

Setting streaming to Центры событий Azure

Перед установкой потока GitHubв , вам нужно:

• An event hub namespace in Microsoft Azure
• Экземпляр event hub внутри пространства имён (см. Быстрый старт: Создать event hub с помощью Azure portal в документации Microsoft)

Из портал Microsoft Azure:

1. В верхней части страницы используйте поле поиска для поиска "Центры событий".
2. Выберите Концентраторы событий. Здесь перечислены имена концентраторов событий.
3. Запишите имя концентратора событий, в который требуется выполнить потоковую передачу. Щелкните концентратор событий.
4. В меню слева щелкните "Политики общего доступа".
5. Выберите политику общего доступа из списка политик или создайте новую политику.
6. Скопируйте строка подключения из поля Connection string-primary key.

От GitHub:

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
3. В разделе "Параметры" щелкните журнал аудита.
4. В разделе "Журнал аудита" щелкните Потоковая передача журналов.
5. Выберите выпадающее меню Configure stream и нажмите Центры событий Azure.
6. На странице конфигурации введите:
   • Название экземпляра Центры событий Azure.
   • Строка подключения.
7. Нажмите Check endpoint, чтобы убедиться, что GitHub может подключиться и записать на конечную точку Azure Events Hub.
8. После успешной проверки конечной точки щелкните Сохранить.

Настройка потоковой передачи в Datadog

Чтобы настроить потоковую трансляцию в Datadog, создайте клиентский токен или API в Datadog, затем настройте потоковый GitHub поток аудита с помощью токена для аутентификации. Вам не нужно создавать контейнер bucket или другой контейнер хранилища в Datadog.

После настройки потоковой передачи в Datadog можно просмотреть данные журнала аудита, отфильтровав их по github.audit.streaming. См. раздел "Управление журналами".

1. Если у вас еще нет учетной записи Datadog, создайте ее.
2. В Datadog создайте маркер клиента или ключ API и нажмите кнопку " Копировать ключ". См. раздел API и ключи приложений в документации Datadog.
3. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
4. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
5. В разделе "Параметры" щелкните журнал аудита.
6. В разделе "Журнал аудита" щелкните Потоковая передача журналов.

7.        **Выберите раскрывающийся список "Настройка потока**" и щелкните **Datadog**.
   

8. В поле токена **** вставьте скопированный ранее маркер.

9.        **Выберите раскрывающийся список "Сайт"** и щелкните сайт Datadog. Чтобы определить сайт, сравните URL-адрес Datadog с таблицей на [сайтах](https://docs.datadoghq.com/getting_started/site/) Datadog в Документациях Datadog.
   

10. Чтобы убедиться, что GitHub можно подключиться и записать на конечную точку Datadog, нажмите « Check endpoint».
11. После успешной проверки конечной точки щелкните Сохранить.
12. Через несколько минут убедитесь, что данные журнала аудита отображаются на вкладке "Журналы " в Datadog. Если он не отображается, убедитесь, что ваш токен и сайт находятся в GitHub.

Настройка потоковой передачи в Google Cloud Storage

Чтобы настроить потоковую трансляцию в Google Cloud Storage, создайте сервисную учетную запись в Google Cloud с соответствующими учётными данными и правами, затем настройте потоковую GitHub запись аудита, используя учетные данные сервисной учетной записи для аутентификации.

1. Создайте учетную запись службы для Google Cloud. Для этой учетной записи не требуется задавать элементы управления доступом или роли IAM. См. статью "Создание учетных записей служб и управление ими" в документации по Google Cloud.

2. Создайте ключ JSON для учетной записи службы и безопасно его храните. Сведения о создании ключей учетной записи службы и управлении ими см. в документации по Google Cloud.

3. Если вы еще не сделали этого, создайте контейнер. См. статью "Создание контейнеров хранилища" в документации по Google Cloud.

4. Предоставьте учетной записи службы роль Storage Object Creator (Создатель объектов хранилища) для контейнера. Ознакомьтесь с разрешениями Cloud IAM в документации по Google Cloud.

5. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

6. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.

7. В разделе "Параметры" щелкните журнал аудита.

8. В разделе "Журнал аудита" щелкните Потоковая передача журналов.

9.        **Выберите раскрывающийся список "Настройка потока**" и щелкните Google **Cloud Storage**.
   

10. В поле Bucket (Контейнер) введите имя контейнера Google Cloud Storage.

11. В разделе "Учетные данные JSON" вставьте все содержимое файла ключа учетной записи службы в формате JSON.

12. Чтобы убедиться, что GitHub можно подключиться и записать в корзину Google Cloud Storage, нажмите Check endpoint.

13. После успешной проверки конечной точки щелкните Сохранить.

Настройка потоковой передачи в Splunk

Чтобы передавать журналы аудита в конечную точку сборщика событий HTTP (HEC) Splunk, убедитесь, что конечная точка настроена для приема подключений HTTPS. Сведения о настройке и использовании сборщика событий HTTP в Splunk Web см. в документации по Splunk.

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.

3. В разделе "Параметры" щелкните журнал аудита.

4. В разделе "Журнал аудита" щелкните Потоковая передача журналов.

5.        **Выберите раскрывающийся список "Настройка потока**" и щелкните **Splunk**.
   

6. На странице конфигурации введите:

   • Домен, в котором размещено приложение, для которого требуется выполнить потоковую передачу.

     Если вы используете Splunk Cloud, должен быть Domain``http-inputs-<host> домен, host используемый в Splunk Cloud. Например: http-inputs-mycompany.splunkcloud.com.

     Если вы используете бесплатную пробную версию Splunk Cloud, Domain должно быть inputs.<host>, где host находится домен, используемый в Splunk Cloud. Например: inputs.mycompany.splunkcloud.com.

   • Порт, на котором приложение принимает данные.
     

     Если вы используете Splunk Cloud, Port должен быть 443.

     Если вы используете бесплатную пробную версию Splunk Cloud, Port это должно быть 8088.

   • Токен, который GitHub можно использовать для аутентификации в стороннем приложении.

7. Оставьте флажок Enable SSL verification (Включить проверку SSL).

   Журналы аудита всегда транслируются в виде зашифрованных данных, однако с этой GitHub опцией проверка SSL-сертификата вашего экземпляра Splunk при доставке событий. Проверка SSL помогает обеспечить безопасную доставку событий в конечную точку URL-адреса. Проверка является необязательной, но рекомендуется оставить включенную проверку SSL.

8. Нажмите Check endpoint , чтобы убедиться, что GitHub можно подключиться и записать на конечную точку Splunk.

9. После успешной проверки конечной точки щелкните Сохранить.

Приостановка потоковой передачи журналов аудита

Приостанавливайте поток для выполнения обслуживания в принимающем приложении, не теряя данные аудита. Журналы аудита хранятся до семи дней GitHub , а затем экспортируются при снятии трансляции на паузу.

Datadog принимает журналы только с 18 часов в прошлом. Если вы приостанавливаете поток в конечной точке Datadog более чем на 18 часов, вы рискуете потерять журналы, которые Datadog не примет после возобновления потоковой передачи.

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
3. В разделе "Параметры" щелкните журнал аудита.
4. В разделе "Журнал аудита" щелкните Потоковая передача журналов.
5. Справа от настроенного потока нажмите кнопку "Приостановить поток".
6. Отображается сообщение подтверждения. Нажмите кнопку Pause stream (Приостановить поток), чтобы подтвердить.

Чтобы перезапустить потоковую передачу, нажмите кнопку "Возобновить поток".

Удаление потока журналов аудита

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
3. В разделе "Параметры" щелкните журнал аудита.
4. В разделе "Журнал аудита" щелкните Потоковая передача журналов.
5. В разделе "Зона опасности" нажмите кнопку "Удалить поток".
6. Отображается сообщение подтверждения. Нажмите кнопку Delete stream (Удалить поток), чтобы подтвердить.

Включение потоковой передачи журналов аудита запросов API

1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
3. В разделе "Параметры" щелкните журнал аудита.
4. В разделе "Журнал аудита" нажмите кнопку "Параметры".
5. В разделе "Запросы API" выберите "Включить события запроса API".
6. Нажмите кнопку Сохранить.