Esta versión de GitHub Enterprise Server se discontinuó el 2026-04-23. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Herramientas de investigación para incidentes de seguridad

Las herramientas principales GitHub que puede usar para investigar los incidentes de seguridad, cuáles son las mejores herramientas para las que se usan y consideraciones comunes que afectan a los datos que están disponibles.

En este artículo

Use esta referencia para decidir qué GitHub herramientas usar durante una investigación de seguridad, qué preguntas pueden responder cada herramienta y qué factores pueden afectar a los datos que puede ver.

Nota:

La disponibilidad de cada herramienta (y los datos que proporciona) varía según GitHub el plan, el rol y los permisos, la habilitación de características y la configuración previa al incidente (por ejemplo, la transmisión de registros de auditoría y la divulgación de direcciones IP requieren una configuración previa).

Vista de actividad

Utilice

  • Obtenga información general sobre la actividad en un repositorio específico, incluidas las combinaciones, las inserciones, las inserciones forzadas, las creaciones y eliminaciones de ramas, que se atribuyen a actores específicos durante un período definido.
  • Correlaciona las apariciones de código sospechoso con envíos o fusiones relacionadas.
  • Responda a preguntas sobre cuándo se realizó un cambio, quién lo hizo, en qué rama, y explore el historial de diferencias o confirmaciones.

Permissions

Acceso de lectura al repositorio.

Recursos clave

Notas y limitaciones

  • La vista de actividad se usa mejor como una superficie inicial de navegación y correlación; no tiene la misma integridad o capacidad de consulta que las exportaciones en bruto de registros de auditoría.
  • Algunos incidentes requieren correlación entre repositorios u organizaciones, lo que puede ser más fácil en el registro de auditoría.

Registros de auditoría

Utilice

  • Responda a preguntas sobre lo que ha cambiado, cuándo y por quién en una empresa u organización.
  • Investigue los eventos que pueden haber habilitado el riesgo o indicarlo, como cambios en la pertenencia, los roles, los permisos o la generación o el uso de tokens de acceso, etc.
  • Atribuye acciones relevantes para la seguridad a un actor (usuario o integración) y cree una escala de tiempo de investigación.
  • Filtre por actor, acción, dirección IP (si está habilitada) o token, para identificar la actividad sospechosa o el uso del token de seguimiento.
  • Correlacionar la actividad entre varios repositorios o organizaciones.

Permissions

  • Para ver el registro de auditoría de la organización, debe ser propietario de la organización.
  • Para ver el registro de auditoría de empresa, debe ser administrador de empresa.
  • Para ver el registro de seguridad (cuenta personal), debe ser el propietario de la cuenta.
  • Para ver los datos del registro de auditoría exportados a un sistema externo de administración de eventos e información de seguridad (SIEM), el sistema de administración de registros u otras herramientas y servicios, necesita acceder a ese sistema.

Recursos clave

Notas y limitaciones

  • GitHubproporciona tres registros de auditoría: registros de seguridad de empresa, organización y usuario.****
  • La interfaz de usuario del GitHub registro de auditoría tiene funcionalidades limitadas de filtrado y búsqueda . Por este motivo, se recomienda que las empresas transmitan el registro de auditoría de empresa a un sistema externo de administración de registros o SIEM para realizar consultas más avanzadas.
    • La transmisión de registros de auditoría a un sistema de administración de registros o SIEM externo requiere una configuración anterior. Consulte Streaming del registro de auditoría de su empresa.
    • Sin el streaming de registros de auditoría, no podrá ejecutar consultas más complejas, como correlacionar eventos entre organizaciones o repositorios, o cambiar el enfoque desde un token específico a todos los eventos relacionados.
    • Los datos de eventos del sistema Git se incluyen en la secuencia.
  • Se recomienda streaming de eventos de solicitud de API; esto requiere una configuración anterior. Consulte Streaming del registro de auditoría de su empresa.
  • Para las empresas en GitHub Enterprise Cloud, se recomienda mostrar las direcciones IP en los registros de auditoría; esto requiere una configuración previa. Consulte Presentación de direcciones IP en el registro de auditoría de la empresa.
  • Los diferentes GitHub planes tienen diferentes ofertas de disponibilidad de datos y retención de datos:
    • GitHub Free y GitHub Team planes no pueden ver la actividad de API ni los eventos de Git.
    • Las organizaciones independientes (organizaciones que no forman parte de una empresa) no pueden transmitir los registros de auditoría, no pueden ver eventos de solicitud de API y están limitados a 7 días para los datos de eventos de Git.
    • Para empresas con GitHub Enterprise Cloud:
      • Si su empresa usa Enterprise Managed Users, el registro de auditoría también incluye registros de seguridad de usuario (eventos relacionados con cuentas de usuario, como la actividad de inicio de sesión y el uso de tokens).
      • Si su empresa _no usa_Enterprise Managed Users, el GitHub registro de auditoría solo incluye eventos relacionados con la cuenta de empresa y las organizaciones dentro de ella.
  • Los registros de auditoría no incluyen la vista de página ni la telemetría de exploración del repositorio.

Gráfica de dependencias

Utilice

  • Compruebe si un repositorio depende de un paquete vulnerable o en peligro (o versión).
  • Revise las dependencias nuevas o sospechosas que se pueden haber introducido durante un incidente.
  • Filtre y explore las dependencias por ecosistema o relación (directa o transitiva).
  • Exporte una lista de materiales de software (SBOM) para fines de auditoría o para conservar la evidencia.

Permissions

  • Escriba o mantenga el acceso al repositorio.

Recursos clave

Notas y limitaciones

  • El gráfico de dependencias se genera a partir de archivos de manifiesto/bloqueo admitidos (y envíos opcionales en tiempo de compilación), por lo que puede ser incompleto o diferente de lo realmente creado e implementado. Para obtener la vista más precisa, especialmente para las dependencias resueltas durante la CI/compilación, debe complementar el gráfico de dependencias con el envío de dependencias en el momento de la compilación (u otra proveniencia de la compilación, como SBOM).

          GitHub búsqueda de código

Utilice

  • Búsqueda de Indicadores de Compromiso (IoCs) entre repositorios, como flujos de trabajo malintencionados conocidos o nombres de paquetes.
  • Evaluar rápidamente el radio de explosión potencial verificando si los patrones de código sospechosos, como un secreto filtrado o un fragmento de código malintencionado, aparecen en otros repositorios de la organización o empresa.
  • Delimita la búsqueda usando distintos calificadores que pueden ser útiles durante un incidente, por ejemplo:
    • Busque dentro de un repositorio, organización o empresa determinados (mediante los repo:, org:, enterprise: calificadores).
    • Buscar en rutas de archivos específicas (path:.github/workflows repo:ORG-NAME/REPO-NAME).

Permisos requeridos

  • Para buscar en repositorios públicos, debe iniciar sesión en su GitHub cuenta.
  • Para buscar en repositorios privados, debe tener acceso de lectura a esos repositorios.

Recursos clave

Notas y limitaciones

  • Admite la búsqueda regex.
  • Busca solo en la rama predeterminada de un repositorio. Si el código sospechoso se introdujo en una rama no predeterminada y no se ha combinado, la búsqueda de código no la encontrará.
  • Puede usar la búsqueda de código para determinar si hay un patrón o IoC presente, pero no proporciona contexto, como cuando el código se agregó o por quién. Debe usar la búsqueda de código junto con otras herramientas, como registros de auditoría, vista de actividad o comprobación de la vista de responsabilidad, historial de confirmaciones y historial de pull requests de un repositorio.

Información general de seguridad y alertas de seguridad

Utilice

  • Consulte una vista general de todas las alertas de seguridad (secret scanning, code scanning y Dependabot alertas) en los repositorios de una organización o empresa.
  • Evaluar lo que GitHub ya ha detectado e identificar qué repositorios se ven afectados.
  • Realice un seguimiento de las nuevas alertas creadas durante un incidente (lo que puede indicar la explotación activa o la propagación).

Permisos requeridos

  • Para ver los datos de las organizaciones en el nivel empresarial, un administrador de empresa debe tener el rol propietario de la organización o administrador de seguridad en las organizaciones pertinentes.
  • Para ver los datos de los repositorios en el nivel de organización, se requiere el rol propietario de la organización o administrador de seguridad.

Recursos clave

Notas y limitaciones

  • Las alertas de secretos filtrados, código vulnerable, dependencias vulnerables y malware solo son visibles si las características pertinentes se habilitaron y configuraron antes del incidente.

Ejecuciones y registros de flujo de trabajo

Utilice

  • Confirme lo que se ejecutó en CI/CD en un momento determinado (como los comandos ejecutados o la dependencia instalada).
  • Investigue las ejecuciones sospechosas de flujo de trabajo, como las desencadenadas por un usuario desconocido o en un momento inusual, para ver qué acciones se realizaron, qué secretos se accedieron y qué código se ejecutó.
  • Determine si un flujo de trabajo tenía acceso a algún secreto.

Permisos requeridos

  • Acceso de lectura al repositorio.

Recursos clave

Notas y limitaciones

  • GitHub censura automáticamente los secretos de los registros de flujo de trabajo.
  • De forma predeterminada, los registros de flujo de trabajo se conservan durante GitHub 90 días, pero puede configurar este período de retención para que sea más largo (hasta 400 días para repositorios privados).