Diese Version von GitHub Enterprise Server wurde eingestellt am 2026-04-23. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Vorbereiten eines Sicherheitsvorfalls

Stellen Sie sicher, dass Sie über die Tools und Prozesse verfügen, um effektiv auf einen Sicherheitsvorfall zu reagieren.

In diesem Artikel

Die Anleitung in diesem Artikel richtet sich an Unternehmensbesitzer, Organisationsbesitzer, Sicherheitsmanager und Sicherheitsteams. Sie müssen jedoch über die Rolle des Unternehmensbesitzers verfügen, um mehrere der features zu aktivieren, auf die in diesem Artikel verwiesen wird.

Introduction

Wenn ein Sicherheitsvorfall auftritt, hängt die Möglichkeit, zu untersuchen, was passiert ist, den Umfang der Auswirkungen zu verstehen und die Bedrohung einzudämmen, davon ab, dass die richtigen Tools und Prozesse bereits vorhanden sind. In diesem Artikel werden die wichtigsten Aktionen zusammengefasst, die Sie ergreifen sollten, bevor ein Vorfall auftritt, damit Ihr Team schnell und effektiv reagieren kann.

Kritische Tools im Vorfeld einrichten

Das folgende Untersuchungstool ist standardmäßig nicht verfügbar, wenn Sie Ihr GitHub Unternehmen einrichten. Es wird dringend empfohlen, diese Features zu aktivieren, bevor ein Vorfall auftritt.

Diese Kontrollen sind für die Reaktion auf Vorfälle, compliance und operative Transparenz von entscheidender Bedeutung. Ohne sie kann Ihr Team während einer Untersuchung große Sichtbarkeitslücken aufweisen, insbesondere für API-Aktivitäten, Git-Aktivitäten und lange laufende Vorfälle, bei denen Sie historische Daten benötigen.

Streaming von Überwachungsprotokollen

Sie sollten die Unternehmensüberwachungsprotokolle in ein SIEM-System (Security Information and Event Management) streamen. Dadurch wird eine Kopie Ihrer Überwachungsprotokolldaten (einschließlich Überwachungsereignissen und Git-Ereignissen) in einem System beibehalten, in dem Sie komplexe Abfragen über große Datenmengen hinweg ausführen und Daten über Standardaufbewahrungszeiträume hinaus aufbewahren können.

Dies ist in einem Vorfall wichtig, da einige hochwertige Ereignisse in der Webbenutzeroberfläche des GitHub Überwachungsprotokolls nicht sichtbar sind, und Protokolle sind nur für einen begrenzten Zeitraum verfügbar, es sei denn, Sie exportieren und aufbewahren sie extern.

Mit gestreamten Protokollen können Unternehmens- und Organisationsbesitzer Aktivitäten von Benutzern, Apps, Token und SSH-Schlüsseln unabhängig von der Ad-hoc-Datensammlung während einer aktiven Antwort untersuchen.

Informationen zum Einrichten des Überwachungsprotokollstreamings finden Sie unter Streaming des Überwachungsprotokolls für Ihre Organisation.

Stream-API-Anforderungsereignisse

Standardmäßig enthält der Überwachungsprotokolldatenstrom keine API-Anforderungsereignisse. Aktivieren Sie das API-Anforderungsstreaming, damit Sie nicht autorisierten API-Zugriff oder Datenexfiltration durch kompromittierte Token oder Apps erkennen und untersuchen können.

Siehe Aktivieren des Streaming von Audit-Logs für API-Anforderungen.

Anzeigen von IP-Adressen

Standardmäßig zeigt GitHub keine Quell-IP-Adressen im Unternehmensprotokoll an. Während einer Untersuchung helfen Quell-IPs, zu überprüfen, ob Aktivitäten von einem Akteur (einem Benutzer oder einer App) von einer vertrauenswürdigen oder unbekannten Adresse stammen.

Unternehmen auf GitHub Enterprise Cloud können die Offenlegung von IP-Adressen aktivieren, siehe Anzeigen von IP-Adressen im Überwachungsprotokoll für dein Unternehmen.

Aufbewahren von Identitätsanbieterprotokollen

Wenn Ihr Unternehmen SAML- oder OIDC-Authentifizierung verwendet, übernehmen Sie eine ähnliche Aufbewahrungsstrategie für Ihre IdP-Protokolle.

Beibehaltene IdP-Protokolle helfen Ihnen, Authentifizierungsaktivitäten zu untersuchen und Bereitstellungs- und Deprovisionierungsereignisse über längere Zeiträume hinweg zu überprüfen, einschließlich Vorfällen, die sich über Monate erstrecken.

Machen Sie sich mit Tools, Einschränkungen und allgemeinen Untersuchungsbereichen vertraut

Bevor ein Vorfall auftritt, überprüfen Sie die Tools und Oberflächen, die GitHub Sie während einer Untersuchung verwenden können, und verstehen Sie die Funktionen und Einschränkungen der einzelnen Tools.

Vertraut machen mit:

Machen Sie sich mit Eindämmungsstrategien vertraut

Bevor ein Vorfall auftritt, überprüfen Sie die sofortigen Eindämmungsmaßnahmen, die Sie möglicherweise benötigen. Wenn Sie diese Aktionen im Voraus mit Ihren Sicherheits- und Betriebsteams planen, können Sie schnell reagieren und bedeutet, dass Sie klare Anleitungen in Ihren Plan zur Reaktion auf Sicherheitsvorfälle (SECURITY Incident Response Plan, SIRP) einbeziehen können.

Machen Sie sich mit folgendem vertraut:

  • Allgemeine Eindämmungsaktionen für GitHub, z. B. das Widerrufen von Anmeldeinformationen, das Aktivieren einer IP-Zulassungsliste, das Anhalten von Benutzern und andere Aktionen zum Deaktivieren des Zugriffs. Siehe Bedrohung eindämmen.
  • Sperroptionen für jeden Typ von Anmeldeinformationen, auf die programmgesteuert zugegriffen werden kannGitHub. Siehe Referenz zu GitHub-Anmeldeinformationstypen.
  • Für Unternehmen unter GitHub Enterprise Cloud: die Massen-Notfallaktionen, die Unternehmensinhabern in einem größeren Vorfall zur Verfügung stehen, wie das Sperren von SSO und das Löschen aller Benutzertoken und Schlüssel. Siehe Reagieren auf Sicherheitsvorfälle in Ihrem Unternehmen.

Vorbereiten eines Plans zur Reaktion auf Sicherheitsvorfälle (SIRP)

Erstellen und verwalten Sie einen up-to-date Security Incident Response Plan (SIRP) für Ihr Unternehmen.

Ihr Plan sollte Folgendes definieren:

  • Rollen und Verantwortlichkeiten

  • Eskalationspfade

  • Kommunikationsprotokolle

  • Kriterien für die Klassifizierung des Schweregrads

  • Schrittweise Reaktionsverfahren für allgemeine Bedrohungstypen

            Copilot kann Ihnen helfen, diesen Plan basierend auf den Anforderungen und Ressourcen Ihres Teams zu entwerfen und zu verfeinern.

Anleitungen finden Sie unter "Was ist die Reaktion auf Vorfälle".

Nächste Schritte