Preparación de un incidente de seguridad

Asegúrese de que tiene las herramientas y los procesos implementados para responder de forma eficaz a un incidente de seguridad.

En este artículo

Las instrucciones de este artículo están dirigidas a propietarios empresariales, propietarios de la organización, administradores de seguridad y equipos de seguridad. Sin embargo, tendrá que tener el rol de propietario de empresa para habilitar varias de las características a las que se hace referencia en este artículo.

Introduction

Cuando se produce un incidente de seguridad, la capacidad de investigar lo que ha ocurrido, comprender el ámbito de impacto y contener la amenaza depende de tener las herramientas y procesos adecuados ya implementados. En este artículo se reúnen las acciones clave que debe realizar antes de que se produzca un incidente para que el equipo esté equipado para responder de forma rápida y eficaz.

Configuración de herramientas críticas de antemano

Las siguientes herramientas de investigación no están disponibles de forma predeterminada al configurar su GitHub empresa. Se recomienda encarecidamente habilitar estas características antes de que se produzca cualquier incidente.

Estos controles son críticos para la respuesta a incidentes, el cumplimiento y la transparencia operativa. Sin ellos, el equipo puede tener importantes brechas de visibilidad durante una investigación, especialmente para la actividad de API, la actividad de Git y los incidentes de larga duración en los que necesita datos históricos.

Streaming de registros de auditoría

Debe transmitir los registros de auditoría de empresa a un sistema de administración de eventos e información de seguridad (SIEM). Esto mantiene una copia de los datos del registro de auditoría (incluidos los eventos de auditoría y los eventos de Git) en un sistema donde puede ejecutar consultas complejas en grandes volúmenes de datos y conservar los datos más allá de los períodos de retención predeterminados.

Esto es fundamental en un incidente porque algunos eventos de alto valor no están visibles en la interfaz de usuario web del GitHub registro de auditoría y los registros solo están disponibles durante un tiempo limitado a menos que se exporten y los conserven externamente.

Con los registros transmitidos, los propietarios de la empresa y de la organización pueden investigar de forma independiente la actividad de usuarios, aplicaciones, tokens y claves SSH, en lugar de depender de la recopilación de datos ad hoc durante una respuesta activa.

Para configurar el streaming de registros de auditoría, consulte Streaming del registro de auditoría de su empresa.

Eventos de solicitud de Stream API

De forma predeterminada, el flujo de registro de auditoría no incluirá eventos de solicitud de API. Habilite el streaming de solicitudes de API para que pueda detectar e investigar el acceso a api no autorizado o la filtración de datos mediante tokens o aplicaciones en peligro.

Consulte Habilitación del streaming de registros de auditoría de solicitudes de API.

Mostrar direcciones IP

De forma predeterminada, GitHub no muestra las direcciones IP de origen en el registro de auditoría de empresa. Durante una investigación, las direcciones IP de origen le ayudan a comprobar si la actividad de un actor (un usuario o una aplicación) procede de una dirección de confianza o desconocida.

Las empresas en GitHub Enterprise Cloud pueden habilitar la divulgación de direcciones IP, consulte Presentación de direcciones IP en el registro de auditoría de la empresa.

Conservar los registros del proveedor de identidades

Si su empresa usa la autenticación SAML o OIDC, adopte una estrategia de retención similar para los registros de IdP.

Los registros de IdP retenidos le ayudan a investigar la actividad de autenticación y a revisar los eventos de aprovisionamiento y desaprovisionamiento durante más tiempo, incluidos los incidentes que se desarrollan durante meses.

Familiarícese con las herramientas, las limitaciones y las áreas de investigación comunes

Antes de que se produzca un incidente, revise las GitHub herramientas y superficies que puede usar durante una investigación y comprenda las funcionalidades y limitaciones de cada herramienta.

Familiarícese con:

Familiarícese con estrategias de contención

Antes de que se produzca un incidente, revise las acciones de contención inmediata que podría necesitar. Planear estas acciones de antemano con los equipos de seguridad y operaciones le ayuda a responder rápidamente y significa que puede incluir instrucciones claras en el Plan de respuesta a incidentes de seguridad (SIRP).

Familiarícese con:

  • Acciones comunes de contención en GitHub, como revocar credenciales, habilitar una lista de direcciones IP permitidas, suspender usuarios y otras acciones de deshabilitación de acceso. Consulte Contener la amenaza.
  • Opciones de revocación para cada tipo de credencial que puede acceder mediante programación a GitHub. Consulte Referencia de tipos de credenciales de GitHub.
  • Para las empresas en GitHub Enterprise Cloud: las acciones de emergencia masivas disponibles para los propietarios de la empresa en un incidente importante, como bloquear el inicio de sesión único y eliminar todos los tokens y claves de usuario. Consulte Responder a incidentes de seguridad en su empresa.

Preparar un plan de respuesta a incidentes de seguridad (SIRP)

Cree y mantenga un Plan de Respuesta a Incidentes de Seguridad (SIRP) actualizado para su empresa.

El plan debe definir lo siguiente:

  • Roles y responsabilidades

  • Rutas de escalación

  • Protocolos de comunicación

  • Criterios de clasificación de gravedad

  • Procedimientos de respuesta paso a paso para tipos de amenazas comunes

            Copilot puede ayudarle a redactar y refinar este plan en función de las necesidades y los recursos de su equipo.

Para obtener instrucciones, consulte ¿Qué es la respuesta a incidentes?

Pasos siguientes