本文中的指南面向企业所有者、组织所有者、安全经理和安全团队。 但是,需要具有企业所有者角色才能启用本文中引用的多项功能。
Introduction
发生安全事件时,能够调查所发生的事情、理解影响范围,并遏制威胁取决于是否已有合适的工具和流程到位。 本文汇集了在发生事件 之前 应采取的关键操作,以便团队能够快速有效地做出响应。
提前设置关键工具
设置 GitHub 企业时,默认情况下,以下调查工具不可用。 强烈建议在发生任何事件之前启用这些功能。
这些控制对于事件响应、合规性和操作透明度至关重要。 如果没有这些数据,团队在调查期间可能会有重大的可见性差距,尤其是在 API 活动、Git 活动和需要利用历史数据分析的长期事件中。
审核日志流式处理
应将企业审核日志流式传输到安全信息和事件管理 (SIEM) 系统。 这会在系统中保留审核日志数据(包括审核事件和 Git 事件)的副本,可以在系统中跨大量数据运行复杂的查询,并保留超出默认保留期的数据。
这在事件中至关重要,因为审核日志 Web UI 中 GitHub 不显示某些高价值事件,并且日志仅在有限的时间内可用,除非导出并保留在外部。
使用流式传输日志,企业和组织所有者可以独立调查用户、应用、令牌和 SSH 密钥的活动,而不是在活动响应期间依赖于临时数据收集。
若要设置审核日志流式处理,请参阅 流式处理企业审核日志。
Stream API 请求事件
默认情况下,审核日志流不包括 API 请求事件。 启用 API 请求流式处理,以便可以检测和调查由于令牌或应用程序被泄露导致的未经授权的 API 访问或数据泄露。
请参阅 启用 API 请求的审核日志流式处理。
显示 IP 地址
默认情况下, GitHub 不会在企业审核日志中显示源 IP 地址。 在调查期间,源 IP 可帮助你验证来自参与者(用户或应用)的活动是否来自受信任的或不熟悉的地址。
在GitHub Enterprise Cloud的企业可以启用 IP 地址披露功能,请参阅在企业审核日志中显示 IP 地址。
保留标识提供者日志
如果企业使用 SAML 或 OIDC 身份验证,请对 IdP 日志采用类似的保留策略。
保留的 IdP 日志有助于调查身份验证活动,并在更长的时间窗口中查看预配和取消预配事件,包括持续数月的事件。
熟悉工具、限制和常见调查领域
在事件发生之前,请查看 GitHub 调查期间可以使用的工具和界面,并了解每个工具的功能和局限性。
请熟悉:
- GitHub 用于调查的工具和表面,包括其局限性。 请参阅“安全事件调查工具”。
- 在安全威胁(如标识由访问令牌执行的审核日志事件)期间使用审核日志的关键步骤。
- 常见的调查区域和可以对特定威胁信号执行的检查。 请参阅“常见安全事件调查领域”。
熟悉隔离策略
在事件发生之前,请审查可能需要的紧急控制措施。 与安全和运营团队提前规划这些操作有助于快速响应,这意味着你可以在安全事件响应计划(SIRP)中包含明确的指导。
请熟悉以下内容:
- 常见的 GitHub约束措施,例如撤销凭据、启用允许 IP 列表、暂停用户和其他访问禁用操作。 请参阅 “包含威胁”。
- 可以编程方式访问 GitHub的每种凭据类型的吊销选项。 请参阅“GitHub 凭据类型参考”。
- 对于企业 GitHub Enterprise Cloud:重大事件中企业所有者可用的批量紧急操作,例如锁定 SSO 并删除所有用户令牌和密钥。 请参阅“响应企业中的安全事件”。
准备安全事件响应计划 (SIRP)
为企业创建和维护最新的安全事件响应计划(SIRP)。
计划应定义:
-
角色和职责
-
升级路径
-
通信协议
-
严重性分类条件
-
常见威胁类型的分步响应过程
Copilot 可帮助你根据团队的需求和资源起草和优化此计划。
有关指南,请参阅 什么是事件响应。