In diesem Referenzartikel erfahren Sie, welche GitHub Tools verwendet werden sollen und welche GitHub Oberflächen überprüft werden sollen, wenn Sie auf einen Sicherheitsvorfall reagieren. Verwenden Sie diesen Artikel, um Ihre Untersuchung in wichtigen Bedrohungskategorien zu leiten.
Vollständige Anleitungen zur Reaktion auf einen Sicherheitsvorfall, einschließlich Eindämmungsstrategien, finden Sie unter Reagieren auf einen Sicherheitsvorfall.
Wichtig
Die Verfügbarkeit der einzelnen Tools (und die bereitgestellten Daten) variiert je nach GitHub Plan, Rolle, Berechtigungen, Featureaktivierung und Vorvorfallkonfiguration (z. B. Das Streaming von Überwachungsprotokollen und die OFFENLEGUNG von IP-Adressen erfordert eine vorherige Einrichtung). Weitere Informationen findest du unter Untersuchungstools für Sicherheitsvorfälle.
Beachten Sie, dass reale Sicherheitsvorfälle selten einen einzelnen Angriffsvektor umfassen. Eine Kompromittierung von Anmeldeinformationen kann zu schadhaftem Codeeinfügung führen, wodurch Datenexfiltration aktiviert werden kann. Während Sie ein Bedrohungssignal untersuchen, seien Sie bereit, auch andere Untersuchungsbereiche einzubeziehen und iterativ durch Eindämmung, tiefere Untersuchungen und Abhilfemaßnahmen zu gehen, während Sie neue Kompromissindikatoren entdecken und Ihr Verständnis des Bedrohungsmodells weiterentwickeln.
Offengelegte oder kompromittierte Anmeldeinformationen
Dieser Abschnitt kann in folgenden Fällen gelten:
Sie vermuten, dass ein Token oder Schlüssel gestohlen oder ausgenutzt wurde, eine secret scanning Warnung empfangen oder Anmeldeinformationen gefunden wurde, die in Code, Protokollen oder einem öffentlichen Repository verfügbar gemacht wurden.
Was soll überprüft werden?
- Suchen Sie im Überwachungsprotokoll nach:
- Aktionen, die vom kompromittierten Token ausgeführt werden, indem sie nach allen Ereignissen suchen, die diesem Token zugeordnet sind. Siehe Identifizieren von Überwachungsprotokollereignissen, die von einem Zugriffstoken ausgeführt werden.
- Aktionen von unerwarteten Akteuren oder unbekannten IP-Adressen (wenn die OFFENLEGUNG von IP-Adressen aktiviert ist).
- Überprüfen Sie secret scanning Warnungen auf relevante Funde, um den Standort, die Offenlegung und die Gültigkeit eines geleakten Geheimnisses zu bewerten.
- Verwenden Sie die Sicherheitsübersicht für Ihr Unternehmen oder Ihre Organisation, um Trends oder Aktivitäten in Repositorys zu identifizieren.
- Verwenden Sie die GitHub Codesuche, um nach Geheimnissen zu suchen, die in Code,
.envDateien oder Konfigurationsdateien in Repositorys offengelegt sind.
Wichtige Tools
| Werkzeug | Purpose |
|---|---|
| Überwachungsprotokoll | Verfolgung der Token-Nutzung |
| Sicherheitsübersicht | Anzeigen von Sicherheitswarnungen und Aktivität auf Organisations- oder Unternehmensebene, insbesondere secret scanning-Warnungen |
| [ |
GitHub Codesuche](/code-security/reference/security-incident-response/investigation-tools#github-code-search) | Suchen nach offengelegten Anmeldeinformationen im Code |
Wichtige Ressourcen
Nicht autorisierter Zugriff und Kontokompromittierung
Dieser Abschnitt kann in folgenden Fällen gelten:
Sie haben ungewöhnliche Anmeldeaktivitäten bemerkt, unerwartete Commits oder Änderungen gesehen oder verdächtiges Kontoverhalten erkannt.
Was soll überprüft werden?
- Durchsuchen Sie das Überwachungsprotokoll nach Mitgliedszugriff, Berechtigungen oder Rollenänderungen. Suchen Sie z. B. nach Ereignissen wie
org.add_member,repo.add_member, ,org.add_outside_collaborator``org.update_member,repo.update_member, .role.create``role.update - Identifizieren Sie für verdächtige Ereignisse im Überwachungsprotokoll den Akteur. Überprüfen Sie, ob der Akteur ein unbekannter Benutzer, ein potenziell kompromittiertes Konto oder eine nicht erkannte App ist.
- Wenn die Sichtbarkeit von IP-Adressen aktiviert ist, überprüfen Sie, ob die IP-Adresse, die ungewöhnlichen Ereignissen oder verdächtigen Aktivitäten zugeordnet ist, erkannt wird.
- Durchsuchen Sie das Überwachungsprotokoll nach Ereignissen im Zusammenhang mit neu erstellten Bereitstellungsschlüsseln oder Apps, z. B.
public_key.create``integration_installation.create. - Überprüfen Sie das Überwachungsprotokoll auf unerwartete Repositoryänderungen, z. B. neue öffentliche Repositorys oder Sichtbarkeitsänderungen des Repositorys (von privat auf öffentlich), z. B.
repo.create,repo.access. - Verwenden Sie die Aktivitätsansicht auf Repository-Ebene, um eine Zeitleiste der letzten Pushs zu erstellen. Suchen Sie nach Pushs von unerwarteten Akteuren, erzwungenen Pushs oder ungewöhnlichen Branch-Namen.
Wichtige Tools
| Werkzeug | Purpose |
|---|---|
| Überwachungsprotokolle | Suchen und Überprüfen von Aktionen, Akteuren und IP-Adressen |
| Aktivitätsansicht | Überprüfen der Aktivität für bestimmte Repositories |
Wichtige Ressourcen
Datenexfiltration
Dieser Abschnitt kann in folgenden Fällen gelten:
Sie haben große Downloads oder ungewöhnliche API-Aktivitäten festgestellt oder Berichte darüber erhalten, dass Ihre Daten extern auftauchen.
Was soll überprüft werden?
- Durchsuchen Sie Überwachungsprotokolle nach Git-Vorgängen mit hohem Volumen (
git.clone,git.fetch) oder API-Anforderungen, insbesondere von einem unbekannten Akteur (actor) oder einer IP-Adresse (wenn die SICHTBARKEIT von IP-Adressen aktiviert ist), die die Massendatensammlung angeben.- Beachten Sie, dass Git-Ereignisse im Überwachungsprotokoll spezielle Zugriffsanforderungen und Aufbewahrungsrichtlinien aufweisen, die sich von anderen Überwachungsprotokollereignissen unterscheiden. Für GitHub Enterprise Cloud können Sie über die REST-API auf Git-Ereignisse zugreifen. Die Daten werden sieben Tage lang aufbewahrt, es sei denn, Sie streamen das Prüfprotokoll. Für GitHub Enterprise Server, Git-Ereignisse müssen in der Überwachungsprotokollkonfiguration aktiviert sein und sind nicht in Suchergebnissen enthalten.
- Ebenso erfordert das Erfassen von API-Aktivitäten in den Überwachungsprotokollen eine vorherige Konfiguration und ist standardmäßig nicht verfügbar.
- Überprüfen Sie die Überwachungsprotokolle auf Repositoryreplikations- oder Belichtungsereignisse, z. B. Repository-Sichtbarkeitsänderungen (von privat in öffentlich), unerwartete neue Repositorys, die erstellt werden (z. B. neue öffentliche Repositorys) oder Repositorys, die umbenannt oder übertragen werden (
repo.create,repo.access(Sichtbarkeitsänderungen),repo.rename,repo.transfer). - Überprüfen Sie ausgehende Mechanismen, z. B. Webhooks, die erstellt oder aktualisiert werden (
hook.createoder ähnliche Ereignisse in den Überwachungsprotokollen), und überprüfen Sie, ob webhook auf eine nicht erkannte Domäne verweist.
Wichtige Tools
| Werkzeug | Purpose |
|---|---|
| Überwachungsprotokolle | Suchen nach relevanten Aktionen |
Wichtige Ressourcen
Bösartiger Code und Workflowänderungen
Dieser Abschnitt kann in folgenden Fällen gelten:
Sie haben verdächtigen Code in Ihrem Repository gefunden, ein Sicherheitsforscher hat ein Problem gemeldet, oder Sie haben unerwartetes Workflowverhalten festgestellt.
Was soll überprüft werden?
- Überprüfen Sie die Registerkarte "Aktionen " für unerwartete Workflowausführungen, insbesondere die, die von unbekannten Benutzern oder zu ungewöhnlichen Zeiten ausgelöst wurden.
- Überprüfen Sie die Protokolle für Workflow-Ausführungen auf verdächtige Ausgaben.
- Verwenden Sie GitHub die Codesuche, um verdächtige Dateien oder Codezusätze zu finden, insbesondere in Workflowdateien (
.github/workflows/), Shellskripts oder Konfigurationsdateien. - Verwenden Sie die Aktivitätsansicht, um Pushes zu ungewöhnlichen Branch-Namen, Force-Pushes und Pushes von unerwarteten Akteuren zu überprüfen.
- Überprüfen Sie die Überwachungsprotokolle auf Änderungen an Sicherheitseinstellungen oder Deaktivierungsaktionen (suchen Sie nach Ereignissen wie
repository_ruleset.destroy, oderrepository_secret_scanning_push_protection.disableanderen.delete,.disable``.destroyEreignissen). - Überprüfen Sie die Überwachungsprotokolle auf Ereignisse im Zusammenhang mit dem Hinzufügen neuer selbstgehosteter Runner (z. B.
org.register_self_hosted_runner,repo.register_self_hosted_runnerEreignisse). - Überprüfen Sie Dependabot alerts oder GitHub Advisory Database auf Hinweise im Zusammenhang mit GitHub Actions, die in Ihren Workflows verwendet werden.
Wichtige Tools
| Werkzeug | Purpose |
|---|---|
| Workflow-Ausführungen und -Protokolle | Überprüfen der Workflowausführung und Überprüfen der Protokollausgabe |
| Aktivitätsansicht | Identifizieren von unerwarteten Pushes, erzwungenen Pushes oder Pushes von unbekannten Akteuren |
| [ |
GitHub Codesuche](/code-security/reference/security-incident-response/investigation-tools#github-code-search) | Suchen nach verdächtigen Codemustern |
| Überwachungsprotokolle | Nach Aktion filtern, um Änderungen der Sicherheitseinstellung zu finden |
Wichtige Ressourcen
Angriffe auf Schadsoftware und Lieferketten
Dieser Abschnitt kann in folgenden Fällen gelten:
Sie haben eine Schadsoftware- oder Abhängigkeitswarnung erhalten, ein schädliches Paket vermuten oder unerwartete Abhängigkeiten in Ihren Projekten bemerkt.
Was soll überprüft werden?
- Suchen Sie nach einer Dependabot Schadsoftwarewarnung, die Ihnen Details zum schädlichen Paket (z. B. Paketname, betroffene Versionen und die gepatchte Version) sowie Korrekturschritte mitteilen kann. Derzeit nur für Pakete im
npmÖkosystem unterstützt. - Durchsuchen Sie GitHub Advisory Database, um zu überprüfen, ob GitHub Warnhinweise zu Abhängigkeiten (oder Abhängigkeitsversionen) meldet, die Ihre Projekte verwenden. Suchen Sie
type:malwarespeziell nach Schadsoftware in der Beratungsdatenbank. - Verwenden Sie GitHub die Codesuche, um nach Verweisen auf das verdächtige Paket oder die Aktion in Ihrer Organisation zu suchen.
- Überprüfen Sie das Abhängigkeitsdiagramm für Ihre Repositorys, um neue oder unerwartete Abhängigkeiten zu identifizieren.
- Verwenden Sie die Aktivitätsansicht, um den Commit-Verlauf zu überprüfen und die letzten Änderungen an Abhängigkeitsmanifesten oder Lockfiles zu überprüfen (z. B.
package.json,package-lock.json,Gemfile.lock). Überprüfen Sie Blame-Ansichten und Pull-Requests, um zu ermitteln, wer die Änderungen eingeführt hat und ob sie überprüft wurden. - Überprüfen Sie kürzlich erstellte Sicherheitswarnungen in der Sicherheitsübersicht Ihrer Organisation.
Wichtige Tools
| Werkzeug | Purpose |
|---|---|
| [ |
GitHub Code-Suche](/code-security/reference/security-incident-response/investigation-tools#github-code-search)| Suchen nach Verweisen auf das verdächtige Paket oder die Aktion |
| Abhängigkeitsdiagramm | Visualisieren und Überprüfen von Abhängigkeiten |
|
Dependabot Warnungen | Überprüfen auf Warnungen im Zusammenhang mit anfälligen Abhängigkeiten |
| GitHub Advisory Database| Suchen Sie nach type:malware. |
| Aktivitätsansicht | Überprüfen der letzten Push-Vorgänge an Repositories |
| Sicherheitsübersicht | Überprüfen der aktuellen Sicherheitswarnungen in einer Organisation oder einem Unternehmen |