Préparation d’un incident de sécurité

Assurez-vous que vous disposez des outils et des processus en place pour répondre efficacement à un incident de sécurité.

Dans cet article

Les conseils fournis dans cet article sont destinés aux propriétaires d’entreprise, aux propriétaires d’organisations, aux gestionnaires de sécurité et aux équipes de sécurité. Toutefois, vous devez disposer du rôle propriétaire de l’entreprise pour activer plusieurs fonctionnalités référencées dans cet article.

Présentation

Lorsqu’un incident de sécurité se produit, la possibilité d’examiner ce qui s’est passé, de comprendre l’étendue de l’impact et de contenir la menace dépend de l’utilisation des outils et processus appropriés déjà en place. Cet article regroupe les actions clés que vous devez entreprendre avant qu’un incident ne se produise afin que votre équipe soit équipée pour répondre rapidement et efficacement.

Configurer des outils critiques à l’avance

Les outils d’investigation suivants ne sont pas disponibles par défaut lorsque vous configurez votre GitHub entreprise. Nous vous recommandons vivement d’activer ces fonctionnalités avant tout incident.

Ces contrôles sont essentiels pour la réponse aux incidents, la conformité et la transparence opérationnelle. Sans eux, votre équipe peut avoir des lacunes majeures de visibilité lors d’une investigation, en particulier pour l’activité d’API, l’activité Git et les incidents de longue durée où vous avez besoin de données historiques.

Streaming des journaux d’audit

Vous devez diffuser en continu les journaux d’audit d’entreprise vers un système SIEM (Security Information and Event Management). Cela conserve une copie de vos données de journal d’audit (y compris les événements d’audit et les événements Git) dans un système où vous pouvez exécuter des requêtes complexes sur de grands volumes de données et conserver des données au-delà des périodes de rétention par défaut.

Cela est essentiel dans un incident, car certains événements à valeur élevée ne sont pas visibles dans l’interface utilisateur web du GitHub journal d’audit, et les journaux sont disponibles uniquement pendant un temps limité, sauf si vous les exportez et les conservez en externe.

Avec les journaux diffusés en continu, les propriétaires d’entreprise et d’organisation peuvent examiner indépendamment l’activité des utilisateurs, des applications, des jetons et des clés SSH, au lieu de dépendre de la collecte de données ad hoc pendant une réponse active.

Pour configurer la diffusion en continu du journal d’audit, consultez Streaming de journaux d’audit pour votre entreprise.

Événements de demande d’API Stream

Par défaut, le flux du journal d’audit n’inclut pas d’événements de demande d’API. Activez la diffusion en continu des demandes d’API afin de détecter et d’examiner l’accès à l’API non autorisé ou l’exfiltration de données par des jetons ou des applications compromis.

Consultez Activation de la diffusion en continu du journal d’audit des demandes d’API.

Afficher les adresses IP

Par défaut, GitHub n’affiche pas les adresses IP sources dans le journal d’audit d’entreprise. Pendant une enquête, les adresses IP sources vous aident à vérifier si l’activité d’un acteur (utilisateur ou application) provient d’une adresse approuvée ou inconnue.

Les entreprises sur GitHub Enterprise Cloud peuvent activer la divulgation d’adresses IP, voir Affichage des adresses IP dans le journal d’audit de votre entreprise.

Conserver les journaux du fournisseur d’identité

Si votre entreprise utilise l’authentification SAML ou OIDC, adoptez une stratégie de rétention similaire pour vos journaux IdP.

Les journaux idP conservés vous aident à examiner l’activité d’authentification et à passer en revue les événements de provisionnement et de déprovisionnement sur des fenêtres de temps plus longues, y compris les incidents qui se déroulent sur des mois.

Familiarisez-vous avec les outils, les limitations et les domaines d’investigation courants

Avant qu’un incident ne se produise, passez en revue les GitHub outils et les surfaces que vous pouvez utiliser pendant une investigation et comprenez les fonctionnalités et limitations de chaque outil.

Familiarisez-vous avec :

Familiarisez-vous avec les stratégies de confinement

Avant qu’un incident ne se produise, passez en revue les actions de confinement immédiates dont vous pourriez avoir besoin. La planification de ces actions à l’avance avec vos équipes de sécurité et d’exploitation vous aide à répondre rapidement et signifie que vous pouvez inclure des conseils clairs dans votre plan de réponse aux incidents de sécurité (SIRP).

Familiarisez-vous avec :

  • Actions de confinement courantes sur GitHub, telles que la révocation des informations d’identification, l’activation d’une liste d’autorisations IP, la suspension des utilisateurs et d’autres actions de désactivation d’accès. Voir Contenir la menace.
  • Options de révocation pour chaque type d’informations d’identification pouvant accéder par programmation à GitHub. Consultez « Référence des types d'identifiants GitHub ».
  • Pour les entreprises sur GitHub Enterprise Cloud: les actions d’urgence en bloc disponibles pour les propriétaires d’entreprise dans un incident majeur, telles que le verrouillage de l’authentification unique et la suppression de tous les jetons et clés utilisateur. Consultez « Réponse aux incidents de sécurité dans votre entreprise ».

Préparer un plan de réponse aux incidents de sécurité (SIRP)

Créez et gérez un plan de réponse aux incidents de sécurité (SIRP) up-to-date pour votre entreprise.

Votre plan doit définir :

  • Rôles et responsabilités

  • Chemins d’escalade

  • Protocoles de communication

  • Critères de classification de gravité

  • Procédures de réponse pas à pas pour les types de menaces courants

            Copilot peut vous aider à rédiger et à affiner ce plan en fonction des besoins et des ressources de votre équipe.

Pour obtenir des conseils, consultez La réponse aux incidents.

Étapes suivantes