菜单

这是文档下一个版本的Grafana。最新的稳定版本,去最新版本

Grafana文档 设置 配置安全 配置秘密扫描
Grafana云 企业 开源

配置Grafana秘密扫描和通知

Grafana,您可以使用GitHub扫描服务来确定你的秘密服务帐户标记GitHub上泄露。

GitHub秘密扫描检测到一个Grafana秘密时,其散列存储在Grafana实验室的秘密扫描服务。bob电竞频道

Grafana实例,无论是本地还是在云上,可以使用该服务来验证如果令牌生成的实例已经公开。这个验证是通过比较令牌与暴露的令牌的哈希散列。

如果服务检测泄露的令牌,它立即撤销它,使它没用,和事件日志。

注意:如果撤销选项是禁用的,服务只发送一个通知配置webhook URL和日志事件。令牌是不会自动撤销。

您还可以配置服务发送一个外向webhook通知webhook URL。

通知包括一个JSON载荷包含以下数据:

{“alert_uid”:“c9ce50a1 - d66b - 45 - e4 - 9 - b5d - 175766 - cfc026”、“link_to_upstream_details”: < URL标记泄漏>,“消息”:“令牌类型grafana_service_account_token名字sa-the-toucans公开暴露在令牌漏> < URL。Grafana撤销这个令牌”、“状态”:“报警”、“标题”:“SecretScan警报:Grafana牌泄露”}
注意:秘密扫描默认情况下是禁用的。即将离任的连接是由一旦启用它。

在你开始之前

配置秘密扫描

  1. 打开Grafana配置文件。

  2. (secretscan)部分,更新以下参数:

[secretscan] #启用secretscan特性使= true #是否撤销令牌如果检测到泄漏或只是发送一个通知撤销= true

保存配置文件并重启Grafana。

配置外向webhook通知

  1. 创建一个oncall集成的类型Webhook并设置警报。学习如何创建一个Grafana OnCall集成,请参考Webhook集成为Grafana OnCall

  2. 复制webhook新的集成的URL。

  3. 打开Grafana配置文件。

  4. (secretscan)部分,更新以下参数,替换URL的webhook URL复制在步骤2中。

[secretscan] # oncall格式的URL发送一个webhook载荷oncall_url = https://example.url/integrations/v1/webhook/3a359nib9eweAd9lAAAETVdOx/

保存配置文件并重启Grafana。