As diretrizes neste artigo são destinadas a proprietários corporativos, proprietários de organizações, gerentes de segurança e equipes de segurança. No entanto, você precisará ter a função de proprietário da empresa para habilitar vários dos recursos referenciados neste artigo.
Introduction
Quando ocorre um incidente de segurança, a capacidade de investigar o que aconteceu, entender o escopo do impacto e conter a ameaça depende de ter as ferramentas e os processos certos já em vigor. Este artigo reúne as principais ações que você deve executar antes que um incidente ocorra para que sua equipe esteja equipada para responder de forma rápida e eficaz.
Configurar ferramentas críticas com antecedência
As ferramentas de investigação a seguir não estão disponíveis por padrão quando você configura sua GitHub empresa. É altamente recomendável habilitar esses recursos antes que qualquer incidente ocorra.
Esses controles são essenciais para resposta a incidentes, conformidade e transparência operacional. Sem eles, sua equipe pode ter grandes lacunas de visibilidade durante uma investigação, especialmente para atividade de API, atividade do Git e incidentes de longa execução em que você precisa de dados históricos.
Transmissão de logs de auditoria
Você deve transmitir os logs de auditoria empresarial para um sistema SIEM (Gerenciamento de Eventos e Informações de Segurança). Isso mantém uma cópia dos dados de log de auditoria (incluindo eventos de auditoria e eventos git) em um sistema em que você pode executar consultas complexas em grandes volumes de dados e reter dados além dos períodos de retenção padrão.
Isso é fundamental em um incidente porque alguns eventos de alto valor não são visíveis na UI da web do GitHub log de auditoria e os logs só estão disponíveis por um tempo limitado, a menos que você os exporte e mantenha externamente.
Com logs em tempo real, os proprietários de empresas e entidades podem investigar de forma independente a atividade dos usuários, aplicativos, tokens e chaves SSH, em vez de depender de uma coleta de dados ad hoc numa resposta ativa.
Para configurar o streaming de log de auditoria, consulte Como transmitir o log de auditoria para sua empresa.
Transmitir eventos de solicitação de API
Por padrão, o fluxo de log de auditoria não incluirá eventos de solicitação de API. Habilite o streaming de solicitação de API para que você possa detectar e investigar o acesso não autorizado à API ou a exfiltração de dados por tokens ou aplicativos comprometidos.
Consulte Habilitação do streaming dos logs de auditoria de solicitações de API.
Exibir endereços IP
Por padrão, GitHub não mostra endereços IP de origem no log de auditoria da empresa. Durante uma investigação, os IPs de origem ajudam você a verificar se a atividade de um ator (um usuário ou aplicativo) veio de um endereço confiável ou desconhecido.
As empresas em GitHub Enterprise Cloud podem habilitar a divulgação de endereço IP, consulte Exibir endereços IP no log de auditoria da sua empresa.
Reter logs do provedor de identidade
Se sua empresa usar a autenticação SAML ou OIDC, adote uma estratégia de retenção semelhante para seus logs de IdP.
Os logs de IdP retidos ajudam você a investigar a atividade de autenticação e a examinar eventos de provisionamento e desprovisionamento em janelas de tempo mais longas, incluindo incidentes que se desenrolam ao longo de meses.
Familiarize-se com ferramentas, limitações e áreas comuns de investigação
Antes de ocorrer um incidente, examine as GitHub ferramentas e superfícies que você pode usar durante uma investigação e entenda as funcionalidades e limitações de cada ferramenta.
Familiarize-se com:
- GitHub ferramentas e superfícies para investigações, incluindo suas limitações. Consulte Ferramentas de investigação para incidentes de segurança.
- Principais procedimentos para usar o log de auditoria durante uma ameaça de segurança, como Identificar eventos de log de auditoria executados por um token de acesso.
- Áreas de investigação comuns e as verificações que você pode executar para sinais de ameaça específicos. Consulte Áreas comuns de investigação de incidentes de segurança.
Familiarize-se com estratégias de contenção
Antes de ocorrer um incidente, examine as ações de contenção imediatas que você pode precisar. Planejar essas ações com antecedência com suas equipes de segurança e operações ajuda você a responder rapidamente e significa que você pode incluir diretrizes claras em seu Plano de Resposta a Incidentes de Segurança (SIRP).
Familiarize-se com:
- Ações comuns de contenção em GitHub, como revogar credenciais, habilitar uma lista de IPs permitidos, suspender usuários e outras ações de bloqueio de acesso. Veja Conter a ameaça.
- Opções de revogação para cada tipo de credencial que pode acessar GitHubprogramaticamente. Consulte Tipos de credenciais do GitHub: Referência.
- Para empresas em GitHub Enterprise Cloud: as ações de emergência em massa disponíveis para os proprietários da empresa em um incidente crítico, como bloquear o SSO e excluir todos os tokens e chaves de usuário. Consulte Respondendo a incidentes de segurança em sua empresa.
Preparar um SIRP (Plano de Resposta a Incidentes de Segurança)
Crie e mantenha um Plano de Resposta a Incidentes de Segurança (SIRP) atualizado para a sua empresa.
Seu plano deve definir:
-
Funções e responsabilidades
-
Caminhos de escalonamento
-
Protocolos de comunicação
-
Critérios de classificação de severidade
-
Procedimentos de resposta passo a passo para tipos de ameaça comuns
Copilot pode ajudá-lo a elaborar e refinar esse plano com base nas necessidades e recursos da sua equipe.
Para obter diretrizes, consulte o que é resposta a incidentes.