Este artigo de referência mostra quais GitHub ferramentas utilizar e quais GitHub superfícies verificar ao responder a um incidente de segurança. Use este artigo para orientar sua investigação entre as principais categorias de ameaças.
Para obter orientação completa sobre como responder a um incidente de segurança, incluindo estratégias de contenção, consulte Respondendo a um incidente de segurança.
Importante
A disponibilidade de cada ferramenta (e os dados que ela fornece) varia de acordo GitHub com o plano, a função, as permissões, a habilitação de recursos e a configuração pré-incidente (por exemplo, o streaming de log de auditoria e a divulgação de endereço IP exigem configuração anterior). Para obter mais informações, consulte Ferramentas de investigação para incidentes de segurança.
Lembre-se de que incidentes de segurança do mundo real raramente envolvem um único vetor de ataque. Um comprometimento de credencial pode levar a uma injeção de código mal-intencionada, o que pode habilitar a exfiltração de dados. À medida que você investiga um sinal de ameaça, esteja preparado para se mover para outras áreas de investigação e para percorrer a contenção, a investigação e a correção mais profundas à medida que você descobre novos indicadores de comprometimento e à medida que sua compreensão do modelo de ameaça evolui.
Credenciais expostas ou comprometidas
Esta seção pode ser aplicada quando:
Você suspeita que um token ou chave foi roubado ou explorado, recebeu um secret scanning alerta ou encontrou credenciais expostas em código, logs ou um repositório público.
O que verificar
- Pesquise no log de auditoria para:
- Ações executadas pelo token comprometido pesquisando todos os eventos associados a esse token. Consulte Identificar eventos de log de auditoria executados por um token de acesso.
- Ações executadas por atores inesperados ou endereços IP desconhecidos (se a divulgação de endereço IP estiver habilitada).
- Examine os secret scanning alertas de descobertas relevantes para avaliar a localização, a exposição e a validade de um segredo vazado.
- Use a visão geral de segurança para sua empresa ou organização para identificar tendências ou atividades entre repositórios.
- Use GitHub a pesquisa de código para verificar se há segredos expostos em código,
.envarquivos ou arquivos de configuração entre repositórios.
Principais ferramentas
| Tool | Purpose |
|---|---|
| Log de auditoria | Rastrear o uso do token |
| Visão geral de segurança | Exibir alertas de segurança e atividades de nível organizacional ou empresarial, especialmente alertas secret scanning. |
| [ |
GitHub pesquisa de código](/code-security/reference/security-incident-response/investigation-tools#github-code-search) | Pesquisar credenciais expostas no código |
Principais recursos
Acesso não autorizado e comprometimento da conta
Esta seção pode ser aplicada quando:
Você notou atividade de logon incomum, viu confirmações ou alterações inesperadas ou detectou comportamento suspeito da conta.
O que verificar
- Pesquise no log de auditoria o acesso de membros, permissões ou alterações de função. Por exemplo, procure eventos como
org.add_member, ,repo.add_member,org.add_outside_collaborator,org.update_member, ,repo.update_member,role.create.role.update - Para quaisquer eventos suspeitos no log de auditoria, identifique o ator. Verifique se o ator é um usuário desconhecido, uma conta potencialmente comprometida ou um aplicativo não reconhecido.
- Se você tiver a visibilidade do endereço IP habilitada, verifique se o endereço IP associado a eventos incomuns ou atividade suspeita é reconhecido.
- Pesquise no log de auditoria eventos relacionados a chaves de implantação ou aplicativos recém-criados, por exemplo
public_key.create,integration_installation.create. - Revise o log de auditoria para alterações inesperadas do repositório, como novos repositórios públicos ou alterações de visibilidade do repositório (privado para público), por exemplo
repo.create,repo.access. - Use o modo de exibição de atividade (nível de repositório) para criar uma linha do tempo dos pushes recentes. Procure por push por atores inesperados, force push ou nomes de ramificação incomuns.
Principais ferramentas
| Tool | Purpose |
|---|---|
| Logs de auditoria | Ações de pesquisa e verificação cruzada, atores e endereços IP |
| Exibição de atividade | Reveja a atividade para repositórios específicos |
Principais recursos
Exfiltração dos dados
Esta seção pode ser aplicada quando:
Você detectou grandes downloads, atividade de API incomum ou recebeu relatos de que seus dados estão aparecendo fora de sua organização.
O que verificar
- Pesquise logs de auditoria para operações git de alto volume (
git.clone,git.fetch) ou solicitações de API, particularmente de um ator desconhecido (actor) ou endereço IP (se a visibilidade do endereço IP estiver habilitada), que indicam a coleta de dados em grande volume.- Observe que os eventos git no log de auditoria têm requisitos de acesso especiais e políticas de retenção que diferem de outros eventos de log de auditoria. Para GitHub Enterprise Cloud, você pode acessar eventos git por meio da API REST e os dados são mantidos por sete dias, a menos que você esteja transmitindo o log de auditoria. Para GitHub Enterprise Server, os eventos do Git devem ser habilitados na configuração do log de auditoria e não estão incluídos nos resultados da pesquisa.
- Da mesma forma, capturar a atividade de API nos logs de auditoria requer configuração anterior e não está disponível por padrão.
- Verifique os logs de auditoria para eventos de replicação ou exposição de repositório, por exemplo, alterações de visibilidade do repositório (de privado para público), novos repositórios inesperados sendo criados (como novos repositórios públicos) ou repositórios sendo renomeados ou transferidos (
repo.create,repo.access(alterações de visibilidade),repo.rename).repo.transfer - Verifique se há mecanismos de saída, por exemplo, webhooks sendo criados ou atualizados (
hook.createou eventos semelhantes nos logs de auditoria) e verifique se algum webhook aponta para um domínio não reconhecido.
Principais ferramentas
| Tool | Purpose |
|---|---|
| Logs de auditoria | Pesquisar ações relevantes |
Principais recursos
Alterações mal-intencionadas de código e fluxo de trabalho
Esta seção pode ser aplicada quando:
Você encontrou código suspeito em seu repositório, um pesquisador de segurança relatou um problema ou notou um comportamento inesperado do fluxo de trabalho.
O que verificar
- Examine a guia Ações para execuções inesperadas de fluxo de trabalho, especialmente aquelas disparadas por usuários desconhecidos ou em momentos incomuns.
- Inspecione os logs de execução do fluxo de trabalho para identificar resultados suspeitos.
- Use GitHub a pesquisa de código para localizar arquivos suspeitos ou adições de código, especialmente em arquivos de fluxo de trabalho (
.github/workflows/), scripts de shell ou arquivos de configuração. - Use a visão Atividade para verificar pushes em nomes de ramificação incomuns, pushes forçados e pushes de atores inesperados.
- Verifique os logs de auditoria para obter alterações nas configurações de segurança ou ações de desabilitação (procure eventos como
repository_ruleset.destroy,repository_secret_scanning_push_protection.disableou outros.delete,.disable``.destroyeventos). - Verifique os logs de auditoria em busca de eventos relacionados a novos executores auto-hospedados que estão sendo adicionados (por exemplo,
org.register_self_hosted_runner,repo.register_self_hosted_runnereventos). - Verifique se há Dependabot alerts ou os GitHub Advisory Database para avisos relacionados ao uso de GitHub Actions em seus fluxos de trabalho.
Principais ferramentas
| Tool | Purpose |
|---|---|
| Execuções e logs de fluxo de trabalho | Examinar a execução do fluxo de trabalho e inspecionar a saída do log |
| Exibição de atividade | Identificar pushes inesperados, pushes forçados ou pushes de atores não reconhecidos |
| [ |
GitHub pesquisa de código](/code-security/reference/security-incident-response/investigation-tools#github-code-search) | Pesquisar padrões de código suspeitos |
| Logs de auditoria | Filtrar por ação para encontrar alterações de configuração de segurança |
Principais recursos
Ataques de malware e cadeia de suprimentos
Esta seção pode ser aplicada quando:
Você recebeu um alerta de malware ou dependência, suspeita de um pacote malicioso ou notou dependências inesperadas em seus projetos.
O que verificar
- Verifique se há um Dependabot alerta de malware, que pode informar detalhes sobre o pacote mal-intencionado (como o nome do pacote, as versões afetadas e a versão corrigida), bem como as etapas de correção. Atualmente, há suporte apenas para pacotes no
npmecossistema. - Pesquise o GitHub Advisory Database para ver se GitHub está emitindo avisos para dependências (ou versões de dependência) que seus projetos estão usando. Para malware especificamente, pesquise
type:malwareno banco de dados de avisos. - Use GitHub a pesquisa de código para pesquisar referências ao pacote ou ação suspeita em toda a sua organização.
- Examine o grafo de dependência de seus repositórios para identificar dependências novas ou inesperadas.
- Use a visão de atividade e verifique o histórico de commits para examinar alterações recentes em manifestos de dependência ou arquivos de bloqueio (por exemplo,
package.json,package-lock.json,Gemfile.lock). Verifique as exibições de culpa e solicitações de pull para identificar quem introduziu as alterações e se elas foram revisadas. - Examine os alertas de segurança criados recentemente na visão geral de segurança da sua organização.
Principais ferramentas
| Tool | Purpose |
|---|---|
| [ |
GitHub pesquisa de código](/code-security/reference/security-incident-response/investigation-tools#github-code-search)| Pesquisar referências para o pacote suspeito ou ação suspeita |
| Gráfico de dependência | Visualizar e examinar dependências |
|
Dependabot Alertas | Examinar alertas relacionados a dependências vulneráveis |
| GitHub Advisory Database| Pesquise por type:malware |
| Exibição de atividade | Examinar os envios recentes para repositórios |
| Visão geral de segurança | Examinar alertas de segurança recentes em uma organização ou empresa |