보안 인시던트 준비

이 문서의 지침은 엔터프라이즈 소유자, 조직 소유자, 보안 관리자 및 보안 팀을 대상으로 합니다. 그러나 이 문서에서 참조하는 몇 가지 기능을 사용하도록 설정하려면 엔터프라이즈 소유자 역할이 있어야 합니다.

Introduction

보안 인시던트가 발생하는 경우 무슨 일이 발생했는지 조사하고, 영향 범위를 이해하며, 위협을 제어할 수 있는 능력은 올바른 도구와 프로세스를 이미 갖추는 것에 달려 있습니다. 이 문서에서는 팀이 신속하고 효과적으로 대응할 수 있도록 인시던트가 발생하기 전에 수행해야 하는 주요 작업을 함께 제공합니다.

중요한 도구 미리 설정

다음 조사 도구는 GitHub 엔터프라이즈를 설정할 경우 기본적으로 사용할 수 없습니다. 인시던트가 발생하기 전에 이러한 기능을 사용하도록 설정하는 것이 좋습니다.

이러한 제어는 인시던트 대응, 규정 준수 및 운영 투명성에 중요합니다. 이러한 작업이 없으면 팀은 조사 중에 특히 기록 데이터가 필요한 API 활동, Git 활동 및 장기 실행 인시던트에 대해 주요 가시성 격차를 가질 수 있습니다.

감사 로그 스트리밍

엔터프라이즈 감사 로그를 SIEM(보안 정보 및 이벤트 관리) 시스템으로 스트리밍해야 합니다. 이렇게 하면 감사 로그 데이터의 복사본(감사 이벤트 및 Git 이벤트 모두 포함)을 시스템에서 유지합니다. 이 경우 대량의 데이터에서 복잡한 쿼리를 실행하고 기본 보존 기간을 초과하여 데이터를 유지할 수 있습니다.

감사 로그 웹 UI에 GitHub 일부 고부가가치 이벤트가 표시되지 않으며 로그를 외부로 내보내고 유지하지 않는 한 제한된 시간 동안만 로그를 사용할 수 있기 때문에 인시던트에서 매우 중요합니다.

스트리밍된 로그를 사용하면 엔터프라이즈 및 조직 소유자는 활성 응답 중에 임시 데이터 수집에 의존하는 대신 사용자, 앱, 토큰 및 SSH 키의 활동을 독립적으로 조사할 수 있습니다.

감사 로그 스트리밍을 설정하려면 엔터프라이즈에 대한 감사 로그 스트리밍을 참조하세요.

스트림 API 요청 이벤트

기본적으로 감사 로그 스트림에는 API 요청 이벤트가 포함되지 않습니다. 손상된 토큰 또는 앱에 의한 무단 API 액세스 또는 데이터 반출을 검색하고 조사할 수 있도록 API 요청 스트리밍을 사용하도록 설정합니다.

          [API 요청의 감사 로그 스트리밍 사용](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/streaming-the-audit-log-for-your-enterprise#enabling-audit-log-streaming-of-api-requests) 설정을 참조하세요.

IP 주소 표시

기본적으로 GitHub 엔터프라이즈 감사 로그에 원본 IP 주소가 표시되지 않습니다. 조사 중에 원본 IP는 행위자(사용자 또는 앱)의 활동이 신뢰할 수 있거나 익숙하지 않은 주소에서 왔는지 여부를 확인하는 데 도움이 됩니다.

          GitHub Enterprise Cloud에서 엔터프라이즈는 IP 주소 공개를 활성화할 수 있습니다. [AUTOTITLE](/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/displaying-ip-addresses-in-the-audit-log-for-your-enterprise)을 참조하세요.

ID 공급자 로그 유지

기업에서 SAML 또는 OIDC 인증을 사용하는 경우 IdP 로그에 유사한 보존 전략을 채택합니다.

보존된 IdP 로그를 사용하면 인증 활동을 조사하고 수개월에 걸쳐 전개되는 인시던트를 포함하여 더 긴 기간 동안 프로비저닝 및 프로비저닝 해제 이벤트를 검토할 수 있습니다.

도구, 제한 사항 및 일반적인 조사 영역 숙지

인시던트가 발생하기 전에 조사 중에 사용할 수 있는 도구와 표면을 검토하고 GitHub 각 도구의 기능 및 제한 사항을 이해합니다.

익숙해지십시오:

• GitHub 조사를 위한 도구 및 표면과 그 제한 사항입니다. Investigation tools for security incidents을(를) 참조하세요.
• 액세스 토큰에 의해 수행되는 감사 로그 이벤트 식별과 같은 보안 위협 중에 감사 로그를 사용하기 위한 주요 절차입니다.
• 일반적인 조사 영역 및 특정 위협 신호에 대해 수행할 수 있는 검사입니다. Common security incident investigation areas을(를) 참조하세요.

격리 전략에 익숙해지세요.

인시던트가 발생하기 전에 필요할 수 있는 즉각적인 봉쇄 작업을 검토합니다. 보안 및 운영 팀과 함께 이러한 작업을 미리 계획하면 신속하게 대응할 수 있으며 SIRP(보안 인시던트 대응 계획)에 명확한 지침을 포함할 수 있습니다.

익숙해지세요:

• 일반적인 격리 조치 GitHub, 예를 들어 자격 증명 해지, IP 허용 목록 활성화, 사용자 일시 중단 및 기타 액세스 차단 작업입니다. 위협 제어를 참조하세요.
• 프로그래밍 방식으로 액세스할 GitHub수 있는 자격 증명의 각 유형에 대한 해지 옵션입니다. GitHub 자격 증명 형식 참조을(를) 참조하세요.
• 엔터프라이즈의 GitHub Enterprise Cloud경우: SSO 잠금 및 모든 사용자 토큰 및 키 삭제와 같은 주요 인시던트에서 엔터프라이즈 소유자가 사용할 수 있는 대량 긴급 작업입니다. 엔터프라이즈의 보안 인시던트에 대응을(를) 참조하세요.

SIRP(보안 인시던트 대응 계획) 준비

엔터프라이즈에 대한 up-to-date SIRP(보안 인시던트 대응 계획)를 만들고 유지 관리합니다.

계획은 다음을 정의해야 합니다.

• 역할 및 책임

• 에스컬레이션 경로

• 통신 프로토콜

• 심각도 분류 조건

• 일반적인 위협 유형에 대한 단계별 대응 절차

          Copilot 는 팀의 요구 사항 및 리소스에 따라 이 계획을 작성하고 구체화하는 데 도움이 될 수 있습니다.
  

지침은 인시던트 대응이란?을 참조하세요.

다음 단계

• 보안 인시던트에 대응