この記事のガイダンスは、エンタープライズ所有者、組織の所有者、セキュリティ マネージャー、およびセキュリティ チームを対象としています。 ただし、この記事で参照するいくつかの機能を有効にするには、エンタープライズ所有者ロールが必要です。
Introduction
セキュリティ インシデントが発生した場合、何が起こったかを調査し、影響の範囲を理解し、脅威を封じ込める機能は、適切なツールとプロセスが既に配置されている必要があります。 この記事では、インシデントが発生する 前に 実行する必要がある主要なアクションをまとめて、チームが迅速かつ効果的に対応できるようにします。
重要なツールを事前に設定する
次の調査ツールは、 GitHub 企業を設定するときに既定では使用できません。 インシデントが発生する前に、これらの機能を有効にすることを強くお勧めします。
これらの制御は、インシデント対応、コンプライアンス、運用の透明性に不可欠です。 チームが存在しない場合、調査中に、特に履歴データが必要な API アクティビティ、Git アクティビティ、実行時間の長いインシデントに関して、大きな可視性のギャップが生じる可能性があります。
監査ログ ストリーミング
エンタープライズ監査ログは、セキュリティ情報イベント管理 (SIEM) システムにストリーミングする必要があります。 これにより、監査ログ データ (監査イベントと Git イベントの両方を含む) のコピーがシステムに保持されます。このシステムでは、大量のデータにわたって複雑なクエリを実行し、既定の保持期間を超えてデータを保持できます。
これはインシデントで重要です。一部の高価値イベントは GitHub 監査ログ Web UI に表示されず、ログはエクスポートして外部に保持しない限り、限られた時間しか使用できないためです。
ストリーミングログを使用すると、企業や組織のオーナーは、対応中のアドホックなデータ収集に依存せずに、ユーザー、アプリ、トークン、SSHキーからのアクティビティを個別に調査できます。
監査ログ ストリーミングを設定するには、 企業の監査ログのストリーミング を参照してください。
STREAM API リクエスト イベント
既定では、監査ログ ストリームには API 要求イベントは含まれません。 API 要求ストリーミングを有効にして、侵害されたトークンまたはアプリによる未承認の API アクセスまたはデータ流出を検出して調査できるようにします。
API 要求の監査ログ ストリーミングの有効化を参照してください。
IP アドレスの表示
既定では、 GitHub はエンタープライズ監査ログにソース IP アドレスを表示しません。 調査中、ソース IP は、アクター (ユーザーまたはアプリ) からのアクティビティが信頼できるアドレスまたは未知のアドレスからのアクティビティかどうかを確認するのに役立ちます。
GitHub Enterprise Cloud上の企業は、IP アドレスの漏えいを有効にすることができます。Enterprise の監査ログに IP アドレスを表示する を参照してください。
ID プロバイダーのログを保持する
企業で SAML または OIDC 認証を使用している場合は、IdP ログに同様の保持戦略を採用します。
保持 IdP ログは、認証アクティビティを調査し、プロビジョニングとプロビジョニング解除のイベント (数か月にわたって展開されるインシデントなど) を長期間にわたって確認するのに役立ちます。
ツール、制限事項、および一般的な調査領域について理解する
インシデントが発生する前に、調査中に使用できる GitHub ツールとサーフェスを確認し、各ツールの機能と制限事項を理解します。
以下ついての理解を深めてください。
- GitHub 調査用のツールおよびサーフェス、その制限を含む。 「セキュリティ インシデントの調査ツール」を参照してください。
- アクセス トークンによって実行される監査ログ イベントの識別 などのセキュリティ上の脅威の発生時に監査ログを使用するための主要な手順。
- 一般的な調査領域と、特定の脅威シグナルに対して実行できるチェック。 「一般的なセキュリティ インシデントの調査領域」を参照してください。
封じ込め戦略について理解する
インシデントが発生する前に、必要になる可能性がある即時の封じ込めアクションを確認します。 これらのアクションをセキュリティチームと運用チームで事前に計画することで、迅速に対応できます。つまり、セキュリティ インシデント対応計画 (SIRP) に明確なガイダンスを含めることができます。
に精通する:
- 資格情報の取り消し、IP 許可リストの有効化、ユーザーの一時停止、その他のアクセス無効化アクションなど、 GitHubに対する一般的な包含アクション。 脅威を封じ込めるを参照してください。
- GitHubにプログラムでアクセスできる資格情報の種類ごとの失効オプション。 「GitHub 資格情報の種類のリファレンス」を参照してください。
- GitHub Enterprise Cloud上の企業の場合: SSO のロックダウンやすべてのユーザー トークンとキーの削除など、大規模なインシデントの企業所有者が利用できる一括緊急アクション。 「企業内のセキュリティ インシデントへの対応」を参照してください。
セキュリティ インシデント対応計画 (SIRP) を準備する
最新のSecurity Incident Response Plan (SIRP) を作成および最新の状態に維持します。
プランで次の内容を定義する必要があります。
- 役割と責任
- エスカレーション経路
- 通信プロトコル
- 重大度分類の条件
- 一般的な脅威の種類に対するステップ バイ ステップの対応手順
Copilot は、チームのニーズとリソースに基づいて、この計画の下書きと調整に役立ちます。
ガイダンスについては、「 インシデント対応とは」を参照してください。